شعارسال: یک موسسه امنیت سایبری مستقل با نام Security Discovery گزارش کرد که توانسته به دلیل نقص امنیتی در پایگاه داده یکی از سرویسهای تاکسی اینترنتی داخل کشور به اطلاعات بیش از 6.8 میلیون کاربر ایرانی این سرویس دست پیدا کند. این اتفاق با توجه به تعداد بسیار گسترده اطلاعات لو رفته میتواند بسیار مهم بوده و امنیت این سرویس را زیر سوال ببرد.
این خبر ساعاتی پیش در صفحه اصلی سایت این شرکت منتشر شده و نشان میدهد که متخصصین Security Discovery در جریان پایش و سنجش میزان مقاومت پایگاه دادههای مختلف توسط سرویس جستجوی تخصصی اینترنتی BinaryEdge تواسنته اند به پایگاه دادهای از نوع MongoDB روی یکی از سرورهای جستجو شده در ایران دست پیدا کنند که اطلاعات مربوط به یک سرویس تاکسی اینترنتی ایرانی در آن ذخیره میشده است.
اطلاعاتی که در این سرویس توسط این تیم کلاه سفید کشف شده شامل نام و نام خانوادگی، شماره ملی 10 رقمی راننده، شماره تلفن همراه و همچنین یک تاریخ که به نظر مربوط به فاکتور صورتحسابهای رانندههای این سرویس باشد است.
مدیر این سایت آقای باب دیاچنکو در همین زمینه اعلام کرده که اطلاعات این دیتابیس که با نام ‘doroshke-invoice-production‘ ذخیره شده بودهاند حاوی دو مجموعه است که به فراخور سال ارائه خدمات رانندهها در پایگاه داده جمع شده و شامل اطلاعاتی به شرح زیر است:
فاکتور invoice95: حاوی اطلاعات مربوط به سال 1395 کاربران سرویس با مجموع 70،952 رکورد
فاکتور invoice96: حاوی اطلاعات مربوط به سال 1396 کاربران سرویس با مجموع 6،031،317 رکورد
به این نکته توجه داشته باشید که این رکوردها ممکن است مربوط به کلیه افرادی که اطلاعات آنها درز کرده نباشد و ممکن است برخی افراد در هر دو سال در سرویس مربوطه فعال به کار بوده باشند.
در این پایگاه داده لو رفته هیچ کدی مربوط به مشخصات شرکتی که ارائه دهنده این سرویسهاست مشاهده نمیشود.
اما بعد از اینکه آقای دیاچنکو و دوستانش به این نقص امنیتی بزرگ پی بردند به نظر داستان را به گروه امداد امنیت کامپیوتری ایران یا همان IRCERT گزارش داده و علاوه بر آن تحقیقات خود را با تیم امنیتی با تجربه سایت در این موضوع گسترش دادهاند.
این گروه برای اینکه به صحبت اطلاعات پی ببرد حتی با برخی کاربرانی که شماره تلفن آنها در این پایگاه داده قرار گرفته نیز تماس برقرار کرده و به صورت همزمان تماسی هم با دو شرکت اسنپ و تپسی برقرار نموده تا مشخص شود که آیا این اطلاعات صحت دارند یا خیر.
در این حالت دو شرکت اسنپ و تپسی به صورت رسمی پاسخی به استعلام این گروه امنیتی نداده است و در گزارش منتشر شده آمده که تنها میتوان این مورد را حدس زد که این اطلاعات بخشی از یک زیرساخت بزرگ بوده و مالک آن به صورت رسمی مشخص و تأیید نشده است.
در حال حاضر این گروه اعلام کرده که اطلاعات این افراد حداقل برای سه روز به همین شکلی که در تصویر بالا دیدید توسط استعلام ساده امنیتی در موتورهای جستجوی خاص قابل دسترسی است و مشخص نیست و به هیچ عنوان نمیتوان امنیت آنها را تضمین کرد.
البته میتوان این احتمال را هم مطرح کرد که این اطلاعات پیش از این توسط گروهی دیگر از هکرها سرقت شده و حالا به این صورت در وب قرار گرفته باشد و یا اینکه یک اشتباه انسانی در مجموعه شرکتی که صاحب آنهاست منجر به این فاجعه امنیتی شده باشد.
در انتهای این گزارش به این مورد اشاره شده که استفاده از پایگاه دادههایی مانند MongoDB و یا پایگاه داده NoSQL میتواند چه خطراتی را با خود به همراه داشته باشد و اینکه این حجم از اطلاعات مهم افراد یک سرویس بزرگ به این نحو ذخیره شدهاند نیز زیر سوال رفته است.
سایت شعارسال، با اندکی اضافات و تلخیص برگرفته از سایت شهر سخت افزار، تاریخ انتشار: 29فروردین1398 ، کدخبر: 22198: www.shahrsakhtafzar.com