امنیت دسترسی به منابع حساس با استانداردهای دقیق تر به روز می شود

هفته گذشته گروهی از هکرها که قبلا تپسی را هک کرده بودند به اطلاعات کاربران، پیک ها و فروشندگان اسنپ فود دسترسی پیدا کردند. این شرکت نیز با صدور بیانیه ای اعلام کرد که با همکاری پلیس فتا در حال شناسایی و رفع منبع آلودگی ناشی از این اقدام گروه هکری است. اما بیانیه دوم این شرکت نشان می دهد که اسنپ فود در حال تلاش برای بهبود سطح امنیتی و افزودن برخی ویژگی ها مانند ویژگی حذف اکانت است.

هکرها اطلاعات کاربران اسنپ فود را به قیمت 30 هزار دلار معادل یک و نیم میلیارد تومان برای فروش قرار داده بودند. در نهایت اسنپ فود اعلام کرد که اطلاعاتی که در اختیار هکرها قرار دارد توسط این تیم فروخته نشده است و به دیجیاتو گفت: در حال مذاکره با هکر هستیم و اطلاعات فروخته نشده و فروخته نخواهد شد. تیم هکر نیز در پیگیری دیجیاتو این موضوع را تایید کرد و به نظر می رسد خطر نشت اطلاعات برطرف شده است.

اسنپ ​​فود شب گذشته توضیحات تکمیلی خود را در این خصوص منتشر کرد و به کاربران خود اطمینان داد که امکان دسترسی به حساب کاربری و کلاهبرداری از کیف پول، حساب های بانکی یا سناریوهای مشابه وجود ندارد.

متن کامل بیانیه اسنپ فود در زیر آمده است:

“صبح روز یکشنبه 10 دسامبر، گروهی از هکرها که قبلا چندین شرکت دیگر را به خطر انداخته بودند، گزارش دادند که به اطلاعات کاربران اسنپ فود دسترسی پیدا کرده اند. از آن لحظه به بعد، تیم امنیتی اسنپ فود اقدامات امنیتی لازم را آغاز کرد و سپس با آن همکاری کرد. پلیس مناطق قبیله ای فدرال برای شناسایی آسیب پذیری امنیتی و رفع آن.

  خداحافظی احتمالی و زودهنگام Rain R3 با بازار ایران

همانطور که در بیانیه اولیه اشاره کردیم، ما در اسنپ فود مسئولیت این حادثه را بر عهده می گیریم و تمام تلاش خود را برای محافظت از اطلاعات کاربران انجام خواهیم داد. در این گزارش ضمن پوزش از تمامی کاربران و قدردانی از همکاری آنها، به منظور شفافیت بیشتر، قصد داریم شرح اقدامات انجام شده و آینده را در اختیار عموم قرار دهیم.

پس از انجام اقدامات اولیه امنیتی، ضمن مذاکره موفقیت آمیز با گروه هکر برای جلوگیری از انتشار اطلاعات کاربران، اقدامات زیر در دستور کار قرار گرفت:

  • از اولین لحظاتی که مشکل مشخص شد، تمامی دسترسی ها به سیستم مسدود شد. همزمان تمامی لاگ های دسترسی در قسمت های مختلف سیستم بررسی شد. این روند همچنان ادامه دارد و تا زمانی که سابقه دسترسی و فعالیت های شما به طور کامل بررسی نشود ادامه خواهد داشت.
  • در مورد دسترسی به حساب ها، اطلاعات پرداخت و احتمال سوء استفاده باید گفت که از آنجایی که رمزهای عبور رمزگذاری شده است، امکان ورود به حساب های کاربری وجود نخواهد داشت. از آنجایی که دسترسی به حساب کاربری کاربر غیرممکن است، هیچ گونه اختلالی در کانال های پرداخت ایجاد نمی شود و امکان کلاهبرداری یا سناریوهای مشابه وجود ندارد.
  • کلیه اطلاعات پرداخت بانکی کاربران از جمله اطلاعات مربوط به کد امنیتی کارت (CVV2)، رمز عبور و تاریخ انقضا کاملاً امن است و طبق مقررات بانک مرکزی، این اطلاعات در هیچ یک از پلتفرم‌ها ذخیره نمی‌شود.
  • آدرس CDN برای تصاویر پیوست شده به بلیط های پشتیبانی پس از دسترسی غیرمجاز بسته شده است.
  5 محصول CES که شما را وادار می کند بپرسید ... "اما چرا؟"

ما به کاربران اطمینان می دهیم که بهترین تلاش اسنپ فود برای شناسایی و حل مشکل و مهمتر از همه جلوگیری از وقوع دسترسی های مشابه، حتی در کوچکترین سطوح، انجام خواهد شد.

همچنین اقدامات زیر برای جلوگیری از این اتفاق در آینده اتخاذ شده است:

  • در گام اول، امنیت دسترسی به منابع حساس سیستم با استانداردهای جدید و سخت گیرانه تر به روز می شود.
  • همکاری با تیم های مختلف برای آزمایش جدی استانداردهای امنیتی در لایه های مختلف ایجاد شده است.
  • ظرفیت زیرساخت کنترل دسترسی سیستم به میزان قابل توجهی افزایش می یابد.
  • آگاهی عمومی همکاران در بخش های مختلف در زمینه دسترسی به داده ها با جدیت بیشتری پیگیری خواهد شد.
  • امکان حذف اکانت توسط کاربران در دستور کار قرار گرفت.

در اسنپ فود، دپارتمان امنیت همواره با استانداردها و روش های مختلف، وضعیت امنیتی داده ها و سایر منابع حساس سیستم را رصد، محدود و بهبود می بخشد. حادثه ای مانند مورد گذشته نشان می دهد که اقدامات امنیتی قابل بهبود و بهبود است. دامنه فعالیت های امنیتی سازمان در فضای جدید نیز به حوزه مهندسی اجتماعی و مراقبت های دسترسی گسترش می یابد.

منبع: https://digiato.com/iran-technology-news/snappfood-security-standard