آیا اطلاعات ۴۰ میلیون کاربر کافه بازار هک شده است؟ [بروزرسانی: تایید آسیب‌پذیری]

باتوجه‌به تصاویر و صحبت‌های منتشرشده در توییتر، گفته می‌شود منبع کد اطلاعات ۴۰ میلیون کاربر کافه بازار هک شده است.

 

بحث امنیت اطلاعات نه‌تنها در کشور ما، بلکه در تمام سرویس‌های دنیای فناوری اطلاعات در سطح جهان، یکی از مهم‌ترین و در عین‌حال داغ‌ترین اخبار این حوزه است. شرکت‌های مطرح این حوزه با میلیون‌ها کاربر، بخش بزرگی از منابع خود را برای حفظ امنیت اطلاعات کاربران وقف می‌کنند. بااین‌حال هر سال شاهد نفود هکر و درز اطلاعات مختلفی هستیم که در این بین نام بزرگ‌ترین برند‌های جهان نیز به‌عنوان قربانی دیده می‌شود.

روز جاری، تصاویری از منبع کد و دیتابیس منتسب به کافه بازار در توییتر منتشر شد که به نقل از یک فعال توییتری، شامل اطلاعات ۴۰ میلیون کاربر این مارکت اندرویدی ایرانی می‌شود. اگر این اتفاق مورد تائید مراجع رسمی و مجموعه کافه بازار قرار بگیرد و از سوی دیگر، هکرها اقدام به انتشار اطلاعات به‌دست‌آورده کنند، متاسفانه باید گفت با یکی از بزرگ‌ترین دزدی‌های اطلاعات از سرویس‌های داخلی کشور مواجه خواهیم بود!

در تماس تلفنی زومیت با مجموعه کافه بازار این موضوع مورد تأیید قرار نگرفت و امیر حقیقت، مدیر روابط عمومی کافه بازار اذعان داشت تیم فنی در حال بررسی موضوع است و در حال حاضر نمی‌توان این اتفاق را تأیید یا رد کرد. در ابتدا این موضوع با صحبت کاربری با نام mohammad jorjandi در توییتر منتشر شد که با انتشار تصاویری نوشت:

منبع کد و دیتابیس کاربران کافه بازار در دست گروهی از هکرها و بخشی از آن منتشر شده است. بخشی از منبع را چک کردم که به نظر صحیح است؛ بهتر است خود کافه‌بازار این موضوع را انکار نکند. این سرویس بیش از ۴۰ میلیون نصب دارد و احتمالا این بزرگ‌ترین افشای اطلاعات سایبری ایران تا به امروز است. در حال بررسی منبع هستم؛ متاسفانه افشای اطلاعات قطعی است. پس از واکنش کافه بازار منبع در اختیار محققان قرار می‌گیرد (هم‌اکنون در اینترنت موجود است، البته منتشرکننده من نیستم)؛ منتظر دریافت بخشی از اطلاعات کاربران هستم.

سورس کد کافه بازار

بااین‌حال پس از بررسی زومیت، هنوز هیچ اطلاعاتی از کاربران کافه‌بازار در فضای اینترنت منتشر نشده است. به نقل از دیگر کاربران توییتر این خبر نه‌تنها از نظر فنی ارزش و اعتباری ندارد، بلکه تنها یک False Alarm است. به عبارتی دیگر می‌توان گفت با یک بزرگنمایی روبه‌رو هستیم.


به‌روزرسانی ۱: توضیح کافه‌بازار در خصوص اخبار منتشرشده در شبکه‌های مجازی درباره‌ی امنیت کاربران

روز شنبه ۷ اردیبهشت گزارش‌هایی در خصوص وجود مشکلی امنیتی در بازار، در شبکه‌های اجتماعی منتشر شده که همچون هشدارهای امنیتی مشابه در گذشته، تیم فنی در حال بررسی همه‌جانبه‌ی موضوع است. تاکنون شواهدی در زمینه‌ی نشت اطلاعات حساب‌های کاربری به دست نیامده است. چنان‌چه در ادامه‌ی بررسی‌ها نتایج تازه‌ای به دست آید، به‌طور شفاف به اطلاع کاربران خواهد رسید.

مهم‌ترین اصل برای کافه‌بازار حفظ امنیت داده‌های کاربران است؛ کافه‌بازار به کاربران خود اطمینان می‌دهد که مسئولانه تمامی اقدامات لازم جهت تأمین این امنیت را صورت می‌دهد. علاوه‌بر اقدام‌های پیوسته‌ای که در راستای حفظ امنیت سیستم‌ها صورت می‌گیرد، استفاده از دانش کارشناسان امنیتی که به‌صورت مسئولانه و قانونی، موارد امنیتی را متذکر می‌شوند، از سال‌ها پیش در اولویت کافه‌بازار بوده است.

تخصیص صفحه‌ی افشای مسئولانه و طرح اعطای پاداش در ازای کشف باگ‌های امنیتی (Bug Bounty Program) نیز با همین هدف انجام شده است و کافه‌بازار همواره از دریافت گزارش‌های مسئولانه‌ی امنیتی استقبال می‌کند؛ چرا که امنیت در دنیای دیجیتال مطلق نیست و تمامی شرکت‌های نرم‌افزاری، اعم از کوچک و بزرگ، ممکن است در معرض آسیب‌پذیری‌هایی در این حوزه باشند و کافه‌بازار نیز خود را از این قاعده مستثنی نمی‌داند.

لازم به ذکر است اظهارنظرها از سوی افراد مختلف در شبکه‌های اجتماعی، بازتاب نظر شخصی آن‌ها است و موضع رسمی کافه‌بازار تنها ازطریق حساب توییتر کافه‌بازار و وبلاگ روابط عمومی بازار اعلام می‌شود.

در صورت وجود هرگونه سؤال و جهت کسب اطلاعات بیشتر با پشتیبانی بازار با شماره ۴۱۲۵۳۰۰۰ -۰۲۱ تماس بگیرید.


به‌روزرسانی ۲: توضیح کافه‌بازار در مورد آسیب‌پذیری امنیتی گزارش‌شده

کافه‌بازار پیرو بیانیه‌ی قبلی و در راستای سیاست خود مبنی بر شفافیت، کاربران را در جریان جزئیات جدید نتایج بررسی‌های تیم فنی کافه‌بازار درباره‌ی گزارشی که صبح روز شنبه ۷ اردیبهشت در شبکه‌های اجتماعی انتشار یافت، قرار می‌دهد.

طبق بررسی‌های تیم فنی کافه‌بازار مشخص شده است که منبع‌کد یکی از زیرسیستم‌های وب‌سایت کافه‌بازار به دست افرادی خارج از مجموعه رسیده است؛‌ در عین حال، همچنان هیچ‌گونه شواهدی در زمینه نشت اطلاعات حساب‌های کاربری به دست نیامده است.

تیم فنی این مسئله را از ساعات ابتدایی روز شنبه با جدیت پیگیری کرد و اشکال امنیتی را شناسایی و برطرف کرد.

در عین حال، جهت اطمینان خاطر کاربران، ضروری است کافه‌بازار بر نکات زیر تاکید کند:

- این دسترسی تنها به بخشی از زیرسیستم وب‌سایت کافه‌بازار صورت گرفته که تاثیری در امنیت اپلیکیشن بازار و تلفن همراه کاربران ندارد.

- رمز عبور کاربران بازار یا یک‌بارمصرف (OTP) بوده و امکان ورود شخص ثالث به حساب‌های کاربری وجود ندارد، یا به‌صورت salted، با شیوه‌ی ایمن SHA256، رمزگذاری شده و قابل بازیابی نیست.

کافه‌بازار بابت بروز مسئله‌ی پیش‌آمده صمیمانه پوزش می‌خواهد و متعهد است حداکثر تلاش خود را جهت حفظ امنیت و اعتماد کاربران خود به کار ببرد.





تاريخ : یک شنبه 8 ارديبهشت 1398برچسب:, | | نویسنده : مقدم |