تپسی و چالش مراقبت از داده‌های شخصی

محمدجواد آذری جهرمی، وزیر ارتباطات و اطلاعات فناوری ایران، با تأیید سرقت اطلاعات ۶۰هزار راننده شرکت "تپسی"، نسبت به امنیت داده‌های کاربران در کسب و کارهای اینترنتی هشدار داد. اطلاعات لو رفته شامل کد ملی، نام، نام خانوادگی و تاریخ صورتحساب‌های رانندگان تپسی می‌شود. آذری جهرمی اعلام کرده که بررسی‌های تکمیلی در جریان است و گزارش رسمی از طریق مرکز ماهر (مرکز امداد و هماهنگی رایانه‌ای) منتشر خواهد شد.

خبر نفوذ هکرها به پایگاه اطلاعات شرکت تپسی، روز پنجشنبه ۲۹ فروردین از سوی یک کارشناس امنیت سایپری به نام باب دیاچنکو در توئیتر اعلام شد. باب دیاچنکو نوشت هکرها با نفوذ به دیتابیس تپسی در ایران، داده‌های مربوط به ۶۰هزار راننده را ربوده‌اند. او نوشت که تلاش کرده موضوع را به مقامات وزرات ارتباطات ایران منتقل کند اما پاسخی از آنها نگرفته است.

مدیرکل حقوقی "سازمان فناوری اطلاعات ایران" که به وزارت ارتباطات وابسته است، افشای اطلاعات تپسی را "فاجعه" خوانده و از دادستانی خواسته به عنوان مدعی‌العموم به این مسئله ورود کند. 

تپسی ابتدا این خبر را تکذیب کرد اما چهار ساعت بعد خبر داد که هکرها تنها به یکی از سرورهای جانبی‌اش رخنه کرده‌اند.

تپسی پس از اعتراف به نفوذ هکرها به دیتابیس این شرکت بیانیه‌ای داد و در آن نوشت: «... با بررسی دقیق‌تر موضوع، تیم امنیت تپسی متوجه تلاش برای تعدادی نفوذ با منشاء خارجی به سرورهای این شرکت شد که تنها یکی از سرورهای جانبی مورد نفوذ هکرها با آدرس آی‌پی متعلق به کشور اوکراین قرار گرفته که فاکتورهای ۶۰هزار راننده فعال جهت حسابرسی مالیاتی در سال‌های ۹۵ و ۹۶ روی آن نگهداری می‌شدند.»

سامانه هوشمند درخواست تاکسی تپسی که از سال ۹۵ در ایران فعالیت می‌کند، اولویت اصلی این شرکت را حفاظت از اطلاعات کاربران دانسته و در پایان بیانیه نیز از محدودیت‌های ناشی از تحریم‌های فناوری برای این شرکت و سایر استارتاپ‌های ایرانی شکوه کرده است.

یکی از کاربران در توئیتر نوشته است: «از پاراگراف آخر که نقش گودرز رو داشته بگذریم؛ در دو اطلاعیه گفتن اولویت اول تپسی حفاظت از اطلاعات  است. اولویت اول تپسی حفاظت اطلاعات است؟ احیانا نباید تامین سفرهای شهری سریع، ایمن و مقرون به صرفه باشه؟»

خلاء قانون و فقدان نظارت

مدیر کل حقوقی سازمان فناوری اطلاعات ایران معتقد است که نشت اطلاعات کاربران، ناشی از نقص قانون در امر نظارت بر پلاتفرم‌های اینترنتی است. محمد جعفر نعناکار می‌گوید از آذر ۹۷ دایره حقوقی سازمان فناوری اطلاعات ایران با جدیت به دنبال تصویب لایحه‌ای در این خصوص بوده و متن نهایی پس از بحث و بررسی ۱۳ نهاد، آماده ارائه به کمیسیون هیات دولت است اما «متاسفانه نهادهای مرتبط در حلقه حقوقی موضوع هماهنگی لازم با یکدیگر را ندارند. برخی از نهادهای حاضر نیستند با بقیه دستگاه‌ها زیر یک چتر قرار بگیرند. قواعد کلی را یکسان سازی کنند تا چرخه حقوقی در این حوزه کامل شود.»

 مدیر کل حقوقی سازمان فناوری ایران می‌‌گوید "اتحادیه کشوری کسب وکارهای مجازی" از جمله نهادهایی است که برای تاکسی‌های اینترنتی مجوز می‌دهد در حالی که متولی اصلی این گونه پلاتفرم‌ها بر اساس استانداردهای خاص امنیت بین‌المللی، سازمان تاکسیرانی است: «در حال حاضر شرکت‌های تاکسی اینترنتی این پروانه را ندارند و فعالیت‌شان به شیوه دیگری است.»

بسیاری از کاربران توئیتر، بیانیه روابط عمومی تپسی را ناشیانه خوانده و از جای خالی عذرخواهی در آن ابراز شگفتی کرده‌اند. یک نفر نوشته است: «اکثر ما ایرانی‌ها مثل تپسی هستیم. همه‌اش دنبال این هستیم که اشتباهامونو بندازیم گردن این و اون و قبول نکنیم که خودمون گند زدیم.»

کاربر دیگری زیر بیانیه تپسی در توئیتر نوشته است: «...دیتابیس Mongodb بدون پسورد داشتید. و توش همه دیتاها بوده . به راحتی دیتابیس شما تو Shodan پیدا میشد. چرا درست و حسابی از مردم عذرخواهی نمیکنید‌؟ یاد گرفتیم تقی به توقی میخوره میگیم تحریمیم . authentication برای اون دیتابیس کوفتی میذاشتی تحریم حل بود.»