در معرض خطر قرار گرفتن پایگاه داده برنامه تپسی
مورخ 18 آوریل 2019 (29 فروردین 1398)، یک پایگاه داده MongoDB باز و عمومی در موتور جستجوی BinaryEdge پیدا شد که حاوی اطلاعات فوق العاده حساس در مورد رانندگان تاکسی آنلاین تپسی بود.
اطلاعات حساس موجود در این پایگاه داده شامل موارد زیر بود:
- نام و نام خانوادگی راننده
- شماره شناسنامه هر راننده
- شماره تلفن
- تاریخ فاکتور
پایگاه داده کشف شده با نام (doroshke-invoice-production‘ (doroshke means carriage in Persian منتشر شده بود که شامل 2 قسمت بود:
- invoice95 (تمام صورتحساب های سال 1395) تعداد کل پرونده ها: 740،952
- invoice96 (تمام صورتحساب های سال 1396) تعداد کل پرونده ها: 631،317
خطر انتشار دیتابیس های MongoDB یا NoSql بسیار زیاد است این انتشار میتواند ناشی از عدم تأیید اعتبار در نصب برنامه های مخرب یا ransomware باشد. پیکربندی های نامناسب اجازه می دهد تا هکرها مدیریت کل سیستم را با تمام مجوز ها و امتیازات آن به دست آورند. هنگامی که یک تروجان در سیستمی نفوذ می کند، می تواند از راه دور به منابع سرور اجازه دسترسی بدهد و حتی اجازه اجرای کد را برای سرقت و یا نابود کردن هر گونه داده ذخیره شده ایجاد کند.
امروزه برای کشف نشت داده ها، آسیب پذیری ها در اینترنت، از برخی موتورهای جستجو مشهور مانند Shodan، Censys، BinaryEdge و … استفاده میشود. به شما هم توصیه میکنیم تا سازمان خود را در انواع موتور های جستجو بررسی کنید و اگر دارای آسیب پذیری و نشت اطلاعات بود آنها را رفع کنید. برای این کار میتوانید مطالب منتشر شده در دو پست شودان و censys وب سایت کالی بویز را بررسی کنید.
واکنش مدیرعامل تپسی به لو رفتن اطلاعات برخی از رانندگان
از اتفاقی که افتاده ناراحتم و مسئولیت آن را پذیرفته و عذرخواهی می کنم. این اطلاعات شامل مشخصات مسافران و سفرها نمی شود. اطلاعات تنها در اختیار یک نفر است و تپسی با این فرد در تعامل است.
