چالش اطلاعاتی در نرم‌‌افزارهای ایرانی

شرکت «تپسی»با انتشار اطلاعیه ای، هک شدن اطلاعات 60 هزار راننده را پذیرفت

انتشارخبری که حکایت از آسیب پذیری امنیتی یک شرکت حمل و نقل اینترنتی داشت، به همراه گزارش یک محقق آلمانی غوغای زیادی را در فضای مجازی برپا کرد. این محقق مدعی شده است که اطلاعات بیش از 6.7 میلیون نفر از رانندگان یک شرکت آژانس اینترنتی ایرانی لو رفته است. بررسی اطلاعات منتشر شده، نشان می‌دهد تعداد زیادی از این اطلاعات تکراری بوده است وبا توجه به تکراری بودن این اطلاعات، احتمالا اطلاعات یک تا دو میلیون نفر در این فایل بوده است.اطلاعات منتشر شده شامل، اسم، شماره تلفن و کد ملی رانندگان و همچنین تاریخ فاکتورهای مرتبط با سال‌های ۹۵ و ۹۶ بوده است و نگرانی برای  سواستفاده از حریم شخصی افراداحساس می شود.

بعد از انتشار این خبر، وزیر اطلاعات واکنش سریعی به آن نشان داد، «محمد جواد آذری جهرمی» وزیر ارتباطات و فناوری اطلاعات در توییتر خود نوشت: «گزارش منتشر شده در مورد وجود آسیب‌پذیری در نگهداری اطلاعات یک شرکت حمل و نقل اینترنتی، صحت دارد. بررسی تکمیلی در جریان است و گزارش آن رسما از طریق مرکز ماهر منتشر خواهد شد. این یک هشدار جدی برای کسب و کارهای اینترنتی است،در امنیت اطلاعات کاربران جدی‌تر باشید». 

بر اساس گزارش های منتشر شده،«باب دیاچنکو»، محقق امنیتی آلمانی که برای اولین‌بار به این نقض اطلاعاتی اشاره کرده، در این باره توضیح داده است: « برای پیدا کردن سرنخ‌های مرتبط با نقض اطلاعات در اینترنت جستجو می کردم که با پایگاه‌های داده حاوی اطلاعات حساس و در دسترس عموم برخورد کردم،همیشه در این مواقع تلاش می‌کنم تا با صاحبان پایگاه ها مکاتبه کنم تا دسترسی عمومی به اطلاعات حساس، محدود شود. از آنجا که دو شرکت فعال و بزرگ در ایران در زمینه حمل و نقل فعالیت دارند، احتمال می‌رود که این داده‌ها متعلق به شرکت اسنپ یا شرکت تپسی باشد. من به هر دوی این شرکت‌ها برای محدود کردن دسترسی عمومی به این اطلاعات پیام فرستادم، اما مشخص نیست که این اطلاعات مربوط به کدام یک از آن‌ها بوده است.»

بعد از انتشار  این خبر، اسنپ بلافاصله واکنش نشان داد و اعلام کرد این اطلاعات متعلق به این شرکت نیست. شرکت تپسی اما واکنش محتاطانه‌ای به این خبر داشته و اعلام کرد قطعا این اطلاعات مربوط به مسافران نیست، بعد از گذشت چند ساعت، تپسی  با انتشار اطلاعیه ای نفوذ هکرهایی به سیستم اطلاعاتی این شرکت را پذیرفت و بیان کرد که اطلاعات 60 هزار راننده در آی پی هک شده وجود داشته است. 

سایت securitydiscovery  نیز در بررسی‌های مجدد خود مدعی شده است اطلاعات نزدیک به ۱ تا ۲ میلیون راننده ایرانی منحصربه‌فرد در این بانک اطلاعاتی لو رفته است و مابقی فاکتورهای منتشر شده به نام آن‌ها است.محققان سایت securitydiscovery سریعا گزارش خود را به مرکز ماهر (CERT) ایران ارسال کردند و هنوز دارند روی این پرونده کار می‌کنند. گفته می شود که محققان امنیتی این سایت با چندین راننده در ایران هم تماس گرفته و اطلاعات آن‌ها را تطبیق دادند. همچنین یکی از گروه هایی که در حوزه امنیت سایبری فعالیت دارد، با توجه به سرچ های تخصصی، توانسته است ضعفی را در دیتا بیس مانگو (MongoDB یک پایگاه داده اپن سورس و رایگان) کشف کنند.

لایحه «صیانت از داده های شخصی» در انتظار  تصویب 

مدیر کل حقوقی سازمان فناوری اطلاعات ایران با توجه به انتشار این خبر، معتقد است اگر لایحه صیانت از داده های شخصی که نزدیک 5ماه است در کمیسیون فرعی هیات دولت مطرح شده، زودتر تصویب شود، قطعا از پیش آمدن مسائل این چنینی جلوگیری خواهد کرد.«محمدجعفرنعناکار» گفت: ما در این مورد با چند چالش رو به رو هستیم که مدت هاست از سوی حقوقدان های حوزه آی تی پیگیری می شود. سازمان فناوری اطلاعات ایران و مراکز دیگر پیگیر این مسئله هستند اما برای رسیدن به نتیجه، نیاز است سازمان های مختلف به شکل جمعی به این مسئله ورود کنند.وی در ادامه گفت: هر نوع سفر درون شهری که قرار است اتفاق بیفتد باید از سوی سازمان تاکسیرانی مورد بررسی قرار بگیرد و ممیزی های لازم در خصوص رانندگان، شیوه کار و پلتفرم اعمال شود. در واقع موضوع اصلی بحث در این حوزه، پلتفرم ها هستند که نقص های جدی متوجه آن هاست.این کارشناس حقوقی ادامه داد: از آن جایی که پلتفرم های ارائه خدمات تاکسی اینترنتی اطلاعات راننده، بخشی از اطلاعات مسافر و نیز آدرس های افراد را دریافت و ضبط می کنند، نیاز است که روی شیوه کار آن ها بررسی هایی صورت بگیرد، بررسی هایی که موجب می شود هم امنیت این داده ها حفظ و هم کارکرد نرم افزارها تائید شود. 

مدیرکل حقوقی سازمان فناوری اطلاعات با اشاره به این که مراکزی در ایران هستند که روی این مسائل کار می کنند، افزود: سازمان «افتا» که کار اصلی آن صدور گواهی های امنیت است و شورای عالی انفورماتیک سابق که تاییدیه فنی، نرم افزارها را صادر می کند و همین طور سازمان نظام صنفی رایانه ای کشور که به این پلتفرم ها گواهی فعالیت می دهد، مجموعه هایی هستند که روی چنین مسائلی کار می کنند. نعناکار در ادامه به یک نقص قانونی که باعث شده دستگاه ها نتوانند به خوبی روی فعالیت پلتفرم های اینترنتی نظارت کنند، اشاره کرد و گفت: از آذر ماه سال گذشته دایره حقوقی سازمان فناوری اطلاعات ایران با جدیت دنبال تصویب لایحه ای در این خصوص بوده است.پیش نویس لایحه «صیانت از داده های شخصی افراد» سال گذشته در وزارت ارتباطات نوشته شد و متن آن به کمیسیون فرعی هیات دولت رفت. متن نهایی لایحه در حال حاضر آماده ارائه به کمیسیون اصلی است. زمانی که این لایحه با تصویب مجلس به شکل قانون در بیاید، می تواند نقش موثری در زمینه صیانت از داده های شخصی کاربران ایفا کند.

این لایحه داده های شخصی افراد را تعریف و مشخص می کند که هر نهادی باید به چه شکل به این داده ها دسترسی پیدا کنند و بر اساس چه استانداردی آن را نگهداری کنند، چه زمانی نوبت معدوم سازی داده ها می رسد و اگر این اطلاعات به هر طریق نشت کرد، باید چطور با آن برخورد شود.این لایحه می تواند به قانون مترقی ای تبدیل شود که هم اکنون در اتحادیه اروپا در حال اجراست و اجرایی شدن آن در ایران،قانون آی تی کشور را چند پله ارتقا می بخشد. چرا که این لایحه همگام با نظرات و کنش های بین المللی است. اگر کارهای مربوط به تصویب این لایحه هر چه زودتر انجام شود، می توان اقدامات تامینی را در نظر گرفت تا دیگر شاهد بروز نشت اطلاعات کاربران نباشیم.