گروه هکری IRLeaks مدعی فروش داده‌های ۲۰ آژانس مسافرتی شد

گروه هکری IRLeaks که پیش‌تر نام آن در چندین رخداد امنیتی مهم در ایران مطرح شده بود، مدعی شده به مجموعه‌ای از داده‌های منتسب به بیش از ۲۰ آژانس مسافرتی و سامانه فروش بلیت ایرانی از جمله اسنپ‌تریپ دسترسی پیدا کرده است. آنها این اطلاعات را به قیمت 60 هزار دلار برای فروش گذاشته‌اند.

براساس آگهی منتشرشده توسط این گروه، بیش از ۱۰۷ میلیون رکورد در این مجموعه داده وجود دارد. IRLeaks مدعی است این داده‌ها شامل اطلاعات هویتی کاربران، سوابق خرید بلیت و اطلاعات رزرو سفر است.

بررسی‌های هاریکا نشان می‌دهد برخی از آژانس‌های مسافرتی مورد اشاره از یک سامانه فروش آنلاین مشترک استفاده می‌کرده‌اند.

چه اطلاعاتی به سرقت رفته‌اند؟

در توضیحات منتشرشده توسط IRLeaks، به وجود اطلاعاتی مانند نام و نام خانوادگی، شماره تلفن، آدرس ایمیل، تاریخ تولد، شماره ملی و شماره گذرنامه اشاره شده است. همچنین ادعا می‌شود اطلاعات مربوط به بلیت‌های هواپیما، قطار و اتوبوس و نیز رزرو هتل و اقامتگاه‌ها در این مجموعه وجود دارد.

آنچه این ادعا را نگران‌کننده می‌کند، صرفاً تعداد بالای رکوردها نیست، بلکه تجمیع اطلاعات هویتی با سوابق سفر کاربران است. در صورت صحت، چنین داده‌هایی می‌تواند برای حملات فیشینگ هدفمند، مهندسی اجتماعی، جعل هویت و سایر سوءاستفاده‌های سایبری مورد استفاده قرار گیرد.

بررسی‌های هاریکا از داده‌های منتشر شده نشان می‌دهد اطلاعات منتسب به برخی شرکت‌های نام‌برده صحیح اما قدیمی است. لازم به ذکر است اطلاعات کارت بانکی کاربران در چنین سامانه‌هایی ذخیره نمی‌شود و برخی شماره‌های تماس موجود نیز ممکن است مربوط به خطوط پشتیبانی باشند، نه شماره مستقیم مشتریان.

پای یک سامانه مشترک در میان است

در فهرست منتشرشده از سوی این گروه، نام شرکت‌های اسنپ‌تریپ، هفت اورنگ، تیک‌بان، هیلداسیر، رهبال آسمان، کارمانیا، آوان گشت، به پرواز تبریز، سپهر جم، تعطیلات، پیک خورشید، سفر ایران، علاالدین تراول، فاروس تور، نیوار پرواز ایرانیان، آسمان سپید، ساینا سیر، کاروان هوایی، آسمان پرواز و سفرهای علی‌فلک قرار دارد.

فرید یکانی مدیرعامل اسنپ‌تریپ در این باره به هاریکا می‌گوید: «اسنپ‌تریپ هک نشده است، در واقع فرانگر که یکی از تک پرووایدرهای بازار است هک شده. ما از یک سال پیش دیگر با آنها همکاری نداشتیم و در همان زمان نیز بخش خیلی کمی از فروش ما، شاید در حد 2 درصد از طریق آنها انجام می‌شد.»

به گفته وی، آنها داده‌های منتشر شده از سوی هکر را بررسی کرده و داده‌های مربوط به اسنپ‌تریپ برای سال 2024 بود و هیچ داده مالی نیز در آن قرار نداشت؛ چراکه اصلا داده‌های ملی مثل شماره کارت توسط پرووایدرها دریافت یا ذخیره نمی‌شود.

یکانی در ادامه مجددا تاکید کرد هک رخ داده مربوط به فرانگر بوده و ارتباطی به اسنپ‌تریپ یا سایر آژانس‌هایی که اسمی از آنها برده شده ندارد: «فرانگر در ارتباط با ما مسئولیت این اتفاق را پذیرفته است که آنها هک شده‌اند.»

مریم دادفرمای، مدیرعامل هیلداسیر نیز به هاریکا می‌گوید که فرانگر هک شده و آنها نیز از یک سال گذشته همکاری با این مجموعه نداشته‌اند.

به گفته وی یکی از سرورهای فرانگر مورد حمله قرار گرفته و داده‌های قدیمی روی آن قرار داشته است و فرانگر در حال پیگیری ماجرا از طریق پلیس فتا است.

هاریکا تلاش کرد این موضوع را از سمت فرانگر نیز پیگیری کند، اما پاسخی از آنها دریافت نکرد.

فعالیت دوباره گروه هکری IRLeaks

IRLeaks برای فعالان حوزه امنیت سایبری ایران نامی آشناست. این گروه در سال‌های گذشته مسئولیت یا ادعای مسئولیت چندین حمله سایبری از جمله علیه تپسی، اسنپ‌فود، سازمان حج و زیارت و برخی شرکت‌های بیمه‌ای را بر عهده گرفته بود. در برخی موارد، اصل وقوع رخداد امنیتی بعداً از سوی شرکت‌های هدف نیز تأیید شد.

با این حال اعضای این گروه مهرماه ۱۴۰۳ اعلام کردند به دلیل سیاست‌های تلگرام فعالیت خود را متوقف می‌کنند. اکنون پس از حدود یک سال، کانالی با نام IRLeaks بار دیگر فعال شده و گردانندگان این کانال مدعی آغاز دوباره فعالیت این گروه هستند. در پیام منتشرشده در این کانال آمده که بازگشت آنها در واکنش به «بی‌توجهی مدیران به امنیت داده‌ها» صورت گرفته است.