اسنپفود بیانیه تکمیلی خود را درباره هک دیتای این شرکت منتشر کرد.
متن این بیانیه به شرح زیر است:
بامداد روز یک شنبه، ۱۰ دی، یک گروه هکری که پیش از این نیز چند کسبوکار دیگر را هک کرده بود، خبر از دسترسی به دیتای کاربران اسنپفود داد. از همان لحظه، تیم امنیت اسنپفود اقدامات امنیتی لازم را آغاز و سپس با همکاری پلیس فتا، نسبت به شناسایی و رفع حفره امنیتی اقدام کردند.
همانطور که در بیانیه اولیه نیز ذکر شد، ما در اسنپفود مسئولیت این اتفاق را میپذیریم و به منظور حفاظت از اطلاعات کاربران نهایت تلاش خود را به کار خواهیم گرفت. در این گزارش قصد داریم، ضمن عذرخواهی از تمامی کاربرانمان و قدردانی از همراهیشان، به منظور شفافیت بیشتر، شرحی از اقدامات انجامشده و آتی را در اختیار عموم قرار دهیم.
پس از اقدامات امنیتی اولیه، ضمن مذاکره موفقیتآمیز با گروه هکری برای جلوگیری از انتشار اطلاعات کاربران، اقدامات زیر در دستور کار قرار گرفت:
از لحظات اولیه اطلاع از وقوع مشکل، تمامی دسترسیهای سیستمی مسدود شدند. همزمان بررسی تمامی لاگهای دسترسی در قسمتهای مختلف سامانه کلید خورد. این فرایند همچنان در حال انجام است و تا بررسی کامل تاریخچه دسترسیها و فعالیتها ادامه خواهد داشت.
در مورد دسترسی به حسابها و اطلاعات پرداخت و سوء استفاده احتمالی باید گفت که نظر به encrypted بودن کلمههای عبور، امکان لاگین در اکانتهای کاربران وجود نخواهد داشت. با توجه به عدم امکان دسترسی به اکانت کاربری، اختلالی در مسیرهای پرداختی ایجاد نخواهد شد و امکان کلاهبرداری یا سناریوهای مشابه وجود ندارد.
کلیه اطلاعات پرداخت بانکی کاربران نیز، اعم از اطلاعات مربوط به کد امنیتی کارت (CVV2)، رمز عبور و تاریخ انقضا، در امنیت کامل قرار دارد و مطابق مقررات بانک مرکزی، این اطلاعات در هیچ یک از پلتفرمها ذخیره نمیشود.
آدرس CDN عکسهای الحاق شده به تیکتهای پشتیبانی بعد هک بسته شد.
به کاربران اطمینان میدهیم تمامی تلاش اسنپفود در راستای کشف و حل مشکل ایجاد شده و مهمتر از آن جلوگیری از وقوع دسترسیهای مشابه، حتی در کوچکترین سطح، خواهد بود.همچنین، اقدامات زیر نیز جهت جلوگیری از بروز این اتفاق در آینده اتخاذ شده است:
در اولین قدم، امنیت دسترسی به منابع حساس سیستم با استانداردهای جدید و سختگیرانهتر بهروز خواهد شد.
همکاری با تیمهای مختلف جهت آزمودن استانداردهای امنیتی در لایههای مختلف به شکل جدی توسعه مییابد.
ظرفیتهای زیرساختی پایش دسترسیها در سامانه به شکل قابل توجهی در حال افزایش است.
آگاهیسازی عمومی همکاران در بخشهای مختلف در حوزه دسترسی به دادهها با جدیت بیشتری دنبال خواهد شد.
امکان حذف اکانت توسط کاربران در دستور کار قرار گرفت.
در اسنپفود دپارتمان امنیت با استانداردها و روشهای مختلف همواره مشغول رصد، محدودسازی و بهبود وضعیت امنیت دادهها و سایر منابع حساس سامانه است. رخدادی همچون مورد اخیر نشانگر امکان بهبود و ارتقای تمهیدات امنیتی است. همچنین دامنه فعالیتهای امنیتی سازمان در فضای جدید به حوزه مهندسی اجتماعی و مراقبتهای دسترسی نیز توسعه خواهد یافت.
گفتتنی است بامداد دهم دی گروه هکری IRLeaks با انتشار پستی در کانال تلگرامی خود از هک شدن دادههای شرکت اسنپفود خبر داد. این گروه هکری که در تابستان امسال اطلاعات تپسی را هک کرده بود، نمونهای از اطلاعات هک شده را منتشر و قیمت فروش آن را ۳۰ هزار دلار اعلام کرد. این دیتا شامل اطلاعات بیش از ۲۰ میلیون کاربر، ۵۱ میلیون آدرس کاربر، ۱۸۰ میلیون دستگاه، ۳۶۰ میلیون سفارش، ۳۵ هزار پیک، ۶۰۰ هزار پرداخت سفارش، ۱۶۰ میلیون سفر انجام شده توسط پیک، ۲۴۰ هزار Vendor و ۸۸۰ میلیون سفارش محصول بود.
چندی بعد هکرهای اسنپ فود در اطلاعیه در کانال تلگرامی خود ادعا کردند که دادههای هکشده اسنپفود به هیچکس فروخته نشده و نخواهد شد.
3 پاسخ
بهتر است با کارشناسانی نظیر جادی و میلاد نوری مشاوره کنید.
خود این گروه خمری را در قبال مبلغی قابل توجه به همکاری دعوت کنید.
از شرکت های برندینگ استفاده کنید تا صدمات وارده به برند را عارضه یابی کرده و با روش های PRبتوانند بحران را تبدیل به فرصت کنند.
فقط همین؟
مسئولیت اجتماعی یعنی این؟
خودتون متوجه هستید که جان بسیاری از هموطنانتون رو به خطر انداختید؟ یا ….
شاید اگه این اتفاق توی یه جغرافیای دیگه می افتاد جرایم کمر شکنی رو متحمل میشدید.
اگه فردا یکی مثل اوفوود جاتون رو گرفت یکی از دلایل اصلیش همین بی مسئولیتتون و سلب اعتماد از شما بوده.
** واقعا احمقانه است اگه فکر کنیم این دیتا فروخته نمیشه. چون تقریبای دیتای نصف مردم ایرانه!
فقط نمیدونم شماره ثابتی که زنگ زد بهم و گفت شما فلان تاریخ از فلان رستوران سفارش غذا داشتید و اینم آدرستون هست و شما توی قرعه کشی برنده گوشی ایکس شدید و برای دریافت هدایای جانبی اون مبلغ 960 هزار تومن واریز کنید این اطلاعات رو از کجا آورده!!!
مبلغی که برای فروش اطلاعات در نظر گرفتن قاعدتا عددی نبود که کسی نتونه بخره و به نظرم خیلی ها خریدن