اطلاعات چندین میلیون راننده یک شرکت حمل و نقلی ایران روی وب منتشر شد
امروز چندین حساب کاربری توییتر از لو رفتن بانک اطلاعاتی از رانندگان اینترنتی ایرانی خبر دادند. ساعتی پیش، محمدجواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات با تایید این خبر، از بررسی کامل این موضوع و گزارش رسمی آن به مردم خبر داد.
اولین بار، سایت امنیتی securitydiscovery اعلام کرد در حال نظارت و بررسی صحت بانکهای اطلاعاتی nonSql مبتنی بر موتور جستوجوی BinaryEdge، متوجه یک بانک اطلاعاتی آزاد و منتشر شده MongoDB شدند که حاوی اطلاعات رانندگان ایرانی است.
اطلاعات ۶.۵ تا ۷ میلیون راننده ایرانی استخدام شده در یک شرکت حمل و نقل اینترنتی ایران در این بانک اطلاعاتی ثبت شده است که اکنون روی وب در دسترس همگان هستند.
هر فیلد این بانک اطلاعاتی شامل نام و نام خانوادگی راننده خودرو، کد ملی ۱۰ رقمی راننده، شماره تلفن همراه و تاریخ فاکتورهای او است. گزارشهای منتشر شده نشان میدهد در یک رکورد نزدیک به ۷۴۰.۹۵۲ فیلد و در رکورد دیگری ۶.۰۳۱.۳۱۷ فیلد یافت میشود.
تمام این فیلدها منحصربهفرد هستند ولی ممکن است اطلاعات تکراری از رانندهها در آنها ثبت شده باشد. به این معنی که شاید به طور واقعی اطلاعات نزدیک به ۶.۵ میلیون راننده ایرانی منتشر نشده باشد.
تایید رسمی هک اطلاعات رانندههای اینترنتی
سایت securitydiscovery در بررسیهای مجدد خود مدعی شده است اطلاعات نزدیک به ۱ تا ۲ میلیون راننده منحصربهفرد در این بانک اطلاعاتی لو رفته است و مابقی فاکتورهای منتشر شده به نام آنها است.
محققان سایت securitydiscovery سریعا گزارش خود را به مرکز ماهر (CERT) ایران ارسال کردند و هنوز دارند روی این پرونده کار میکنند. جالب است محققان امنیتی این سایت با چندین راننده در ایران هم تماس گرفته و اطلاعات آنها را تطبیق دادند.
هنوز مشخص نیست که این بانک اطلاعاتی از شرکت حمل و نقل اینترنتی ایرانی سرقت رفته است یا بخشی از زیرساخت آنها است و باگها و ضعفهای امنیتی در ساخت و استفاده از بانکهای اطلاعاتی MongoDB است.
همانطور که اشاره شد؛ وزیر ارتباطات در توییتری اعلام کرد:
«گزارش منتشر شده در مورد وجود آسیبپذیری در نگهداری اطلاعات یک شرکت حمل و نقل اینترنتی، صحت دارد. بررسی تکمیلی در جریان است و گزارش آن رسما از طریق مرکز ماهر منتشر خواهد شد. این یک هشدار جدی برای کسب و کارهای اینترنتی بود. در امنیت اطلاعات کاربران جدیتر باشید.»
کاربران فضای مجازی در جواب توییت وزیر ارتباطات، از او درخواست تدوین قانونی مشابه با GPDR داشتند. برخی کاربران توییتر هم از وبسایت و صفحه «تماس با ما» مرکز ماهر ایراد گرفتند که بهروز نیست و برای چنین مواقعی طراحی نشده است.
احتمالا باید منتظر اطلاعات بیشتری درباره این نقض حریم خصوصی گسترده در روزهای آینده باشیم.
ای بابا چه بد.
تپسی بیچاره 🙁
ای بابا چه بد.
تپسی بیچاره 🙁
این اصلا خوب نیست.
بهتره مدیر پروژه ها به جای دلیور کردن فیچرهای جدید یه مقدار قابل توجهی رو به مسایل امنیتی اختصاص بدن چیزی که تو شرکت های که در حال رقابت شدید هستند برای مدیران پروژه اولویت بالایی نداره.
تیتر غلط است. اطلاعات روی وب منتشر نشده. هکر، اخلاقمدار بوده و آن را در اختیار cert دات ir گذاشته. روی وب فقط همین دو اسکرینشات منتشر شده که در متن شما هست و دیگر هیچ.