بدانیم که اطلاعات لو رفته متعلق به تپسی نیست، متعلق به ما است
ماجرا با یک مطلب از یک محقق امنیتی به نام باب دیاچنکو شروع شد که میگفت به حدود ۷ میلیون دیتای مربوط به یک شرکت تاکسی اینترنتی ایرانی دست پیدا کرده. در نمونههای ارائه شده مشخص است که این دیتابیس شامل نام راننده، تلفن راننده، کد ملی یا شناسنامه راننده و مبالغ کمیسیونی است که دریافت کرده است. حدود ۶۰۰هزار داده مربوط به سال ۱۳۹۵ و مابقی مربوط به سال ۱۳۹۶ است.
شیوه دسترسی به اطلاعات هم ساده بوده و بر خلاف اطلاعیه تپسی ربطی به نفوذ به سرورها و سیستم های امنیتی ندارد. مشکل اصلی قرار گرفتن یک کپی از کل این دیتابیس روی سروری است که بدون حتی یک پسورد به اینترنت متصل است. در واقع به همان سادگی که با باز کردن یک مرورگر اینترنتی می شود به یک وب سایت رفت و اخبار را خواند، هر کسی هم با باز کردن یک کلاینت مونگو و زدن آدرس دیتابیس مورد نظر میتوانست وارد آن شود و به این اطلاعات دسترسی پیدا کند. این محقق هم بعد از مواجهه با این مشکل امنیتی، با نوشتن یک مطلب به تشریح این مساله پرداخت و اعلام کرد که سعی کرده با آدمهای مرتبط در ایران تماس بگیرد و مساله را گوشزد کند.
اولین واکنشهای شرکتها انکار مسئله بود ولی بعد از چند ساعت، تپسی متقاعد شد که بخشی از مسئولیت را بپذیرد و البته بخشی را به گردن تحریمها بیندازد، مسالهای کاملا بیربط که البته این روزها به سنگر اول هر کسی که میخواهد از زیر بار هر چیزی شانه خالی کند تبدیل شده. در همین ساعتها هم محقق مورد نظر اعلام کرد که در حال همکاری با شرکت تپسی است تا رخنه مورد نظر را مسدود کنند؛ کاری بسیار ساده که احتمالا در قدم اول فقط شامل گذاشتن یک پسورد روی دیتابیس مورد نظر خواهد بود – و احتمالا حذف آن از اینترنت.
اما بحث ما، درباره همین یک مورد نشست اطلاعات نیست. پیش از این هم اطلاعات زیادی نشت کرده و در آینده هم خواهد کرد. بحث اصلی باید مربوط به مسئولیتها و قوانین مرتبط با چنین شرایطی باشد.در بسیاری از کشورها افراد میتوانند از سیستمهای خدماترسانی اینترنتی بدون نیاز به احراز هویت دقیق استفاده کنند. در کشوری آزاد شما برای گرفتن یک دوچرخه نیازی به اثبات هویت خود ندارید اما وضع ایران از این نظر روزبهروز در حال بدتر شدن است. در وضعیت فعلی که دولت بیشتر و بیشتر شرکتها را مجبور به تعیین هویت دقیق هر فرد استفاده کننده از هر سرویس آنلاین میکند، لزوم مشخص بودن سیاست دسترسی به این اطلاعات بیشتر از هر وقت دیگری است. در شرایط فعلی حداقل حق کاربران این است که:
۱. بدانند اطلاعاتی که از آن ها ثبت شده، توسط چه کسی قابل دسترسی است.
۲. بدانند و مطمئن باشند که شرکت جمع آوری کننده اطلاعات پروسههای دقیق برای حفاظت از این اطلاعات دارد.
۳. حق داشته باشند اطلاعات مربوط به خود را از سیستم دانلود یا از سیستم حذف کنند.
در مورد اتفاق اخیر، میشود مطمئن بود که در مرحلهای یک نفر نیاز به کار با اطلاعات سال ۹۵ و ۹۶ داشته و آنها را از دیتابیس اصلی به جایی ناامن منتقل کرده و بعد از اتمام کارش، فراموش کرده اطلاعات را حذف کند و این اطلاعات در جایی ناامن با دسترسی ناامن باقی مانده.
در حال حاضر حجم عظیمی از اطلاعات بسیار شخصی ما در سیستمهای آنلاین نگهداری میشود. سیستمهایی که اکثرا بدون توجه به نکات امنیتی و با سرعت برای بازار آماده شده اند. سرعتی که باعث شده توجه به امنیت برخلاف اطلاعیه تپسی، مسالهای فرعی و دست و پا گیر تلقی شود – که اگر اینطور نبود، محال بود دیتابیس کاربران روی اینترنت و به شکل عمومی در دسترس باشد. در کنار این بی توجهی باید به فعالیتهای غیراخلاقی احتمالی هم توجه کنیم. فرض کنیم یک کارمند بی اخلاق سرویس سفارش غذای آنلاین، در قبال دریافت پول، هر بار که پارتنر من غذایی سفارش میدهد من را مطلع کند یا حتی فقط در مواردی که شام دو نفره سفارش میدهد خبردار شوم. یا مثلا یک دوست برای کمک به دوستش، اطلاعات تمام سفرهای فلان کس را در اختیارش قرار دهد و موارد مشابه. من به عنوان یک کاربر اینگونه سرویس ها لازم دارم اطمینانی بیشتر از «کارمندهای ما بی اخلاق نیستند» داشته باشم.
استراتژی «گذاشتن آدم خوب در صندلی قدرت و انتظار خروجی خوب داشتن» همیشه شکست خورده است. پیروزیها ناشی از سیستمهای خوب و کنترلی هستند. برای اطمینان به شرکتها، لازم است شیوه نگهداری و پس از آن دسترسیهای افراد و سازمانها به اطلاعات کاملا کنترل شده و تحت شرایط مشخص باشد و با امکان پیگیری باشد. در مورد اخیر مسئول فرضی ایجاد گزارش از عملکرد دو ساله شرکت باید مشخص کند به چه اطلاعاتی و در چه بازه زمانیای نیاز دارد و همان را دریافت کند و پس از سپری شدن بازه زمانی مشخص شده، دسترسیاش به اطلاعات قطع شود. همچنین داشتن گواهینامههای مرتبط با امنیت و مشخص بودن روالهای امنیتی سازمانها و نحوه برخورد با نشت اطلاعات و جریمههای احتمالی و جریمههای بسیار سنگینتر در صورت نشت اطلاعات بدون گزارش به ذینفعان روشی است که قانونگذار میتواند از طریق آن، با موارد بعدی مقابله کند.
چیزی که مشخص است این است که در آینده هم با موارد مشابهی برخورد خواهیم کرد. این اطلاعات ممکن است برای جعل هویت یا زیرنظر گرفتن آدمها یا فشار به خاطر عدم همنوایی استفاده شود. هیچ روشی برای جلوگیری کامل از تکرار این مسئله وجود ندارد ولی دادن حق کنترل روی دیتاهای شخصی به صاحبان آن (مثلا حذف یا دانلود آنها از سیستمها)، اجبار شرکتها به اعلام هرگونه مشکل امنیتی از طریق جریمههای بسیار سنگین عدم انجام آن (به منظور آگاهی ذینفعان اصلی ماجرا از اینکه اطلاعاتشان در دستان کسی است که نباید باشد) و ایجاد قواعد روشن و صریح در مورد شیوههای امن کردن و دسترسی به اطلاعات در محدودههای مشخص میتواند ابعاد اینگونه مشکلات را کمتر کند.
جالب بود
ممنون عالی بود
من بعد از این قضیه از کار در شرکت تسپی کناره گیری کردم و فقط در اسنپ فعالم امیدوارم دوستان توجه کنن کجا کار میکنن
خیلی دقیق و زیبا نوشتید.ممنون
مطمئنا اگر اینقدر باز بود دیتابیس، اسنپ زودتر از همه، همه رو بر میداشت.
یک نفر نیست که الان این اطلاعات رو داشته باشه.
اطلاعات هیچ کس لو نرفته.
ولی در کل امنیت اطلاعات خیلی خیلی مهمه.
شما اگه اسنپ بودی وقتی این اطلاعات رو برداشتی تو سایتت بنر میزدی که ما این اطلاعات رو برداشتیم و کپی کردیم یا به تمام کاربرها پیامک میزدی؟
البته شاید هم ایمیل…
ما اول باید یوزر و پس روتر ها رو از عبارت هایی مثل admin 1245 در بیاریم که شروع کنیم برسیم به امن کردن دیتابیس
مقاله جادی هم که مثل همیشه عالی
ممنون به خاطر مطلب خوب و اشاره صحیحتون
خیلی جالب و موشکافانه بررسی کردید.