.

اطلاعات چندین میلیون راننده یک شرکت حمل و نقلی ایران روی وب منتشر شد

امروز چندین حساب کاربری توییتر از لو رفتن بانک اطلاعاتی از رانندگان اینترنتی ایرانی خبر دادند. ساعتی پیش، محمدجواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات با تایید این خبر، از بررسی کامل این موضوع و گزارش رسمی آن به مردم خبر داد.

اولین بار، سایت امنیتی securitydiscovery اعلام کرد در حال نظارت و بررسی صحت بانک‌های اطلاعاتی nonSql مبتنی بر موتور جست‌وجوی BinaryEdge، متوجه یک بانک اطلاعاتی آزاد و منتشر شده MongoDB شدند که حاوی اطلاعات رانندگان ایرانی است.

اطلاعات ۶.۵ تا ۷ میلیون راننده ایرانی استخدام شده در یک شرکت حمل و نقل اینترنتی ایران در این بانک اطلاعاتی ثبت شده است که اکنون روی وب در دسترس همگان هستند.

هر فیلد این بانک اطلاعاتی شامل نام و نام خانوادگی راننده خودرو، کد ملی ۱۰ رقمی راننده، شماره تلفن همراه و تاریخ فاکتورهای او است. گزارش‌های منتشر شده نشان می‌دهد در یک رکورد نزدیک به ۷۴۰.۹۵۲ فیلد و در رکورد دیگری ۶.۰۳۱.۳۱۷ فیلد یافت می‌شود.

تمام این فیلدها منحصربه‌فرد هستند ولی ممکن است اطلاعات تکراری از راننده‌ها در آن‌ها ثبت شده باشد. به این معنی که شاید به طور واقعی اطلاعات نزدیک به ۶.۵ میلیون راننده ایرانی منتشر نشده باشد.

تایید رسمی هک اطلاعات راننده‌های اینترنتی

سایت securitydiscovery در بررسی‌های مجدد خود مدعی شده است اطلاعات نزدیک به ۱ تا ۲ میلیون راننده منحصربه‌فرد در این بانک اطلاعاتی لو رفته است و مابقی فاکتورهای منتشر شده به نام آن‌ها است.

محققان سایت securitydiscovery سریعا گزارش خود را به مرکز ماهر (CERT) ایران ارسال کردند و هنوز دارند روی این پرونده کار می‌کنند. جالب است محققان امنیتی این سایت با چندین راننده در ایران هم تماس گرفته و اطلاعات آن‌ها را تطبیق دادند.

هنوز مشخص نیست که این بانک اطلاعاتی از شرکت حمل و نقل اینترنتی ایرانی سرقت رفته است یا بخشی از زیرساخت آن‌ها است و باگ‌ها و ضعف‌های امنیتی در ساخت و استفاده از بانک‌های اطلاعاتی MongoDB است.

همان‌طور که اشاره شد؛ وزیر ارتباطات در توییتری اعلام کرد:

«گزارش منتشر شده در مورد وجود آسیب‌پذیری در نگهداری اطلاعات یک شرکت حمل و نقل اینترنتی، صحت دارد. بررسی تکمیلی در جریان است و گزارش آن رسما از طریق مرکز ماهر منتشر خواهد شد. این یک هشدار جدی برای کسب و کارهای اینترنتی بود. در امنیت اطلاعات کاربران جدی‌تر باشید.»

کاربران فضای مجازی در جواب توییت وزیر ارتباطات، از او درخواست تدوین قانونی مشابه با GPDR داشتند. برخی کاربران توییتر هم از وب‌سایت و صفحه «تماس با ما» مرکز ماهر ایراد گرفتند که به‌روز نیست و برای چنین مواقعی طراحی نشده است.

احتمالا باید منتظر اطلاعات بیشتری درباره این نقض حریم خصوصی گسترده در روزهای آینده باشیم.


  این نوشته‌ها را هم بخوانید

3 دیدگاه

  1. ای بابا چه بد.
    تپسی بیچاره :(
    این اصلا خوب نیست.
    بهتره مدیر پروژه ها به جای دلیور کردن فیچرهای جدید یه مقدار قابل توجهی رو به مسایل امنیتی اختصاص بدن چیزی که تو شرکت های که در حال رقابت شدید هستند برای مدیران پروژه اولویت بالایی نداره.

  2. تیتر غلط است. اطلاعات روی وب منتشر نشده. هکر، اخلاق‌مدار بوده و آن را در اختیار cert دات ir گذاشته. روی وب فقط همین دو اسکرین‌شات منتشر شده که در متن شما هست و دیگر هیچ.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
[wpcode id="260079"]