نشت اطلاعات کافه بازار تایید شد (+ بیانیه رسمی)

توضیحات: خبات کریمی; دسته: اخبار امنیت; 08 ارديبهشت 1398 15:00

روز گذشته یک فعال حوزه امنیت سایبری خبر از افشای کُد منبع و پایگاه داده کاربران کافه بازار با نزدیک به 40 میلیون کاربر ایرانی داد. در نهایت کافه بازار پس از تأیید تلویحی واقعه نشت، امروز با انتشار یک بیانیه دیگر جزئیات بیشتری ارائه کرد. به گفته بازار، کُد منبع یکی از زیرساخت‌های وب سایت کافه بازار به بیرون از این مجموعه نشت پیدا کرده است.

ماجرا زمانی آغاز شد که یک فعال توییتری ظاهراً خارج نشین به نام «محمد جرجندی» خبر از نشت کد منبع و پایگاه داده کاربران کافه بازار داد. هرچند چیز زیادی درباره جرجندی و سوابق وی نمی‌دانیم، اما در نهایت اصالت کُد منبع نشت پیدا کرده را تأیید کرد. بدتر اینکه جرجندی مدعی شده این داده‌ها بر روی اینترنت بارگذاری شده‌اند. همچنین این کارشناس امنیت از نشت پایگاه داده کافه بازار گفته است؛ ادعایی که در بیانیه جدید بازار جایی ندارد.

کافه بازار چیزی درباره چگونگی نشت کُدهای منبع زیرساخت وب سایت خود نگفته است، بنابراین نمی دانیم با یک واقعه هک روبرو هستیم یا افرادی از داخل خود بازار این کدها را نشت داده اند.

متن بیانیه دوم کافه بازار به شرح زیر است:

«کافه‌بازار پیرو بیانیه‌ی قبلی و در راستای سیاست خود مبنی بر شفافیت، کاربران را در جریان جزئیات جدید نتایج بررسی‌های تیم فنی کافه‌بازار درباره‌ی گزارشی که صبح روز شنبه ۷ اردیبهشت در شبکه‌های اجتماعی انتشار یافت، قرار می‌دهد.

طبق بررسی‌های تیم فنی کافه‌بازار مشخص شده است که سورس‌کد یکی از زیرسیستم‌های وب‌سایت کافه‌بازار به دست افرادی خارج از مجموعه رسیده است؛‌ در عین حال، همچنان هیچ گونه شواهدی در زمینه نشت اطلاعات حساب‌های کاربری به دست نیامده است.

تیم فنی این مسئله را از ساعات ابتدایی روز شنبه با جدیت پیگیری کرد و اشکال امنیتی را شناسایی و برطرف نمود.

در عین حال، جهت اطمینان خاطر کاربران، ضروری است کافه‌بازار بر نکات زیر تاکید کند:

- این دسترسی تنها به بخشی از زیرسیستم وب‌سایت کافه‌بازار صورت گرفته که تاثیری در امنیت اپلیکیشن بازار و تلفن همراه کاربران ندارد.

- رمز عبور کاربران بازار یا یک‌بارمصرف (OTP) بوده و امکان ورود شخص ثالث به حساب‌های کاربری وجود ندارد، یا به صورت salted، با شیوه‌ی ایمن SHA256، رمزگذاری شده و قابل بازیابی نیست.

کافه‌بازار بابت بروز مساله‌ی پیش‌آمده صمیمانه پوزش می‌خواهد و متعهد است حداکثر تلاش خود را جهت حفظ امنیت و اعتماد کاربران خود به کار ببرد. »

حال باید منتظر ماند و امیدوار بود نشت پایگاه داده و اطلاعات کاربران در کار نباشد، در غیر این صورت بزرگ‌ترین واقعه نشت اطلاعات پس از ایرانسل خواهد بود.