درز اطلاعات سفرهای رانندگان شرکت‌های حمل‌ نقل آنلاین در اینترنت

به گزارش پیوست، خبرهایی در خصوص درز اطلاعات ۶.۷ میلیون سفر ایرانی شامل نام، شماره ملی و شماره تلفن کاربران شرکت یا شرکت‌های فعال در حوزه حمل‌ونقل آنلاین در شبکه‌های مجازی منتشر شده است.
خبر درز این اطلاعات را اولین بار ظهر امروز (۲۹ فروردین) یک خبرنگار و محقق امنیتی آلمانی در توئیتر خود منتشر کرد. هنوز مشخص نیست درز این اطلاعات مربوط به کدام شرکت ایرانی است اما بر اساس اطلاعاتی که باب دیاچنکو در گزارشی که در همین مورد منتشر کرده، این نقض اطلاعاتی مربوط به شرکت‌های حمل و نقل شهری اینترنتی است. باب دیاچنکو می‌گوید احتمالا این اطلاعات درز پیدا کرده مربوط به شرکت‌های اسنپ یا تپسی باشند. اما اسنپ در توییتر خود این ادعا را رد کرده و گفته اطلاعات درز پیدا کرده متعلق به کاربران این شرکت فعال در حوزه حمل و نقل شهری نیست. از سوی دیگر چند ساعت بعد از اعلام خبر نشت اطلاعات رانندگان و ارتباط دادن آن با تپسی،‌ این شرکت هم در توییتر خود اعلام کرده است که با بررسی‌های صورت گرفته هیچ نوع حمله یا دسترسی به اطلاعات مسافران یا سفرها صورت نگرفته اما کماکان در حال بررسی اتفاق اخیر و ارتباط اطلاعات نشت پیدا کرده با اطلاعات رانندگان تپسی هستند.
هر چند گفته شده اطلاعات درز پیدا کرده در حال حاضر از دسترس عموم خارج شده اما هنوز هیچ جزییات روشنی تا این لحظه از سوی ارگان‌های امنیتی فعال در فضای مجازی از جمله مرکز ماهر ( مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای) در مورد این اتفاق منتشر نشده است. مرکز ماهر در تماس پیوست اعلام کرده که به دنبال دریافت اطلاعات دقیق در این زمینه است و تا زمان دریافت اطلاعات درست امکان اظهار نظر در مورد اتفاق رخ داده شده را ندارد.
داستان از کجا شروع شد؟
باب دیاچنکو در گزارش که در مورد این درز اطلاعات منتشر کرده گفته که در تاریخ ۱۸ آوریل در طول جست‌وجوهای روزانه خود در پایگاه داده‌‌ای از نوع MongoDB به پایگاه داده با نام «doroshke-invoice-production» برخورد کرده که اطلاعات فوق‌العاده حساسی در مورد فاکتورهای سفر رانندگان ایرانی را در دسترس قرار داده است. در این گزارش تاکید شده که در این پایگاه داده اطلاعاتی شامل نام و نام خانوادگی راننده، کد ملی، شماره تلفن و تاریخ فاکتورهای مرتبط با سال‌های ۹۵ و ۹۶ به چشم می‌خورد.
او همچنین در توئیتر خود نوشته است که تلاش کرده که این درز اطلاعات را از طریق تماس با مرکز ماهر ایران اعلام کند؛ اما هنوز پاسخی از سمت آن‌ها دریافت نکرده است.
تصویر توئیتی که محقق امنیتی آلمانی در مورد درز اطلاعات ۶.۷ میلیون کاربر ایرانی منتشر کرد:

باب دیاچنکو اعلام کرده که با دو شرکت فعال و بزرگ در بخش حمل ونقل آنلاین یعنی تپسی و اسنپ نیز پیام هشدار برای محدود کردن دسترسی عمومی به این اطلاعات را ارسال کرده و آن طور که او می‌گوید در حال حاضر دسترسی عمومی به این پایگاه داده محدود شده است و این اطلاعات درز پیدا کرده در شرایط امن قرار دارند.
در تماس پیوست با محمد تسلیمی، رییس مرکز ماهر او ضمن اعلام اینکه از طریق توییتر مرکز ماهر در جریان این درز اطلاعات قرار گرفته می‌گوید:‌ «بعد از بررسی‌ها متوجه شدیم که اقای دیاچنکو ایمیل به یک آدرس اشتباهی ارسال کرده است. ما ایمیل درست را به ایشان اعلام کرده و در حال حاضر هم با مکاتباتی که با ایشان داریم در حال دریافت اطلاعات دقیق در مورد این درز اطلاعات هستیم.» او تاکید می‌کند که تا زمان به دست آوردن اطلاعات موثق امکان ارایه توضیحات بیشتر در این زمینه را ندارد.
در همین زمینه تماس پیوست با شرکت‌های اسنپ و تپسی برای دریافت اطلاعات و ادعای مطرح شده در مورد ارتباط درز این اطلاعات با این دو شرکت بدون پاسخ مانده است.
اما اسنپ در توئیتر خود ارتباط درز این اطلاعات با این شرکت را رد کرده است. اسنپ در این توییت خود و از قول مدیر محصول فنی این شرکت گفته است:‌ «اطلاعات درز پیدا کرده ارتباطی با اسنپ ندارد و ساختار آن با اطلاعات اسنپ متفاوت است.»
همچنین بعد از چند ساعت تاخیر تپ‌سی در توییتر خود گفته است که با بررسی‌های صورت گرفته ۱۰۰ درصد این شرکت اطمینان دارد که هیچ نوع حمله یا دسترسی به اطلاعات مسافران یا سفرها تپ‌سی صورت نگرفته است. تپ‌سی در این توئیت تاکید کرده که تعداد رانندگان این شرکت تا به امروز ۷۵۰ هزار نفر است و در مورد لو رفتن اطلاعات ۶.۷ میلیون راننده مطرح شده، در حال بررسی ارتباط ادله ذکر شده با این شرکت هستند.