حفره امنیتی در سایت دولتی، اطلاعات مردم را به خطر انداخت

گجت نيوز/ حفره امنيتي در سايت دولتي وابسته به وزارت صنعت، معدن و تجارت، زمينه لو رفتن اطلاعات هويتي مردم را فراهم کرده است. اين آسيب‌پذيري را يکي از کاربران و توسعه‌دهندگان وب کشف کرد. حسن ابيات، توسعه‌دهنده وب، در صفحه شخصي توييتر خود با انتشار سندي اعلام کرد يک از زيرپورتال‌هاي وزارت صنعت، معدن و تجارت داراي حفره امنيتي است که به راحتي اطلاعات هويتي تمام ايراني‌ها را در دسترس سارقان قرار مي‌دهد. وي براي اينکه از اين سايت سوءاستفاده نشود آدرس آن را منتشر نکرده است. اين فرد اعلام مي‌کند سايت مذکور به اطلاعات ثبت‌ احوال دسترسي (API) داشته و يک فرد متخصص با دانستن الگوي کارت ملي و با برنامه‌نويسي يک نرم افزار ساده مي‌تواند در کمتر از نيم ساعت به تمامي اطلاعات هويتي مردم دسترسي پيدا کند. وي همچنين براي اثبات حرف‌هاي خود مشخصات هويتي رئيس جمهور سابق (محمود احمدي نژاد) را پيدا کرده و تصويري از کد‌هاي آن را در صفحه اجتماعي خود منتشر کرده است. حفره امنيتي در سايت دولتي برطرف شد سجاد بنابي، دستيار وزير ارتباطات و فناوري اطلاعات در امور جوانان در خصوص آسيب پذيري در سايت دولتي متعلق به وزارت صنعت عنوان کرد پس از اينکه از اين موضوع مطلع شديم، مرکز ماهر با اين توسعه‌دهنده وب ارتباط برقرار کرده و از او خواستيم تا اطلاعات دقيق‌تري به ما ارائه کند. همچنين به صورت شبانه مسئولان حوزه IT وزارت صنعت را از اين خبر آگاه کرديم و آن‌ها نيز تمامي سامانه‌هاي وزارت صنعت را که به API فعال اطلاعات ثبت‌ احوال مجهز بوده‌اند، مورد بررسي قرار داده و پس از تهيه ليستي از تمامي سايت‌ها، اين سايت‌ها به تيم‌هاي تخصصي مرکز ماهر جهت بررسي‌هاي امنيتي ارجاع داده شدند. در نهايت صبح ديروز يک حفره امنيتي در سامانه آمار وزارت صنعت، معدن و تجارت شناسايي شد و به آن وزارتخانه اطلاع‌رساني کرديم. در حال حاضر نيز سامانه مورد نظر غير فعال است. بدون شک حسن نيت فرد انتشاردهنده اين موضوع و ارسال اطلاعات دقيق به مرکز ماهر، موجب تسريع در شناساسي و حل اين مشکل شد. اگر اين سامانه‌ها از امکانات مرکز ملي تبادل اطلاعات و قواعد ملي سازمان فناوري اطلاعات بهره‌مند مي‌شدند، اين حفره امنيتي نيز به وجود نمي‌آمد. ديدگاه رئيس سازمان فناوري اطلاعات امير ناظمي، رئيس سازمان فناوري اطلاعات ايران در خصوص اين موضوع اظهار کرد از اتفاقي که رخ داده است مي‌توانيم در چهار زمينه درس بگيرم. در درس اول بايد بياموزيم که نمي‌توان به بهانه دشوار بودن يا افزايش سرعت امور، داده‌هاي شهروندان را ذخيره کنيم؛ چرا که اين کار غير قانوني است و طبق قانون دستگاه‌هاي دولتي نسبت به ذخيره‌سازي اين داده‌ها هيچ حقي ندارند. از اين رو مسئولان دولتي موظفند از حقوق شهروندان دفاع کنند. در درس دوم بايد توجه داشته باشيم که چنين افرادي که با حسن نيت اين اشتباه را به مسئولان گوشزد مي‌کنند، قابل احترام هستند و بايد در برابر آن‌ها مسئوليت‌پذير باشيم؛ چرا که اين فرد مي‌توانست از اين حفره امنيتي سوءاستفاده کرده و به فکر بحث‌هاي مالي باشد، اما تصميم گرفت با اطلاع‌رساني به موقع از حريم خصوصي ديگران محافظت کند. بدون شک رفتار او نشانه‌ وجود ‎سرمايه اجتماعي در جامعه‌ است. درس سوم بار ديگر به ما نشان داد که که شبکه هاي اجتماعي اصلي‌ترين و بهترين راه ميان‌بر بين شهروندان و دولت‌مردان است. درس چهارم به ما خاطرنشان مي‌کند که اصول اتصال به مرکز تبادل داده‌ي ملي (NIX) صرفا براي تبادل داده‌ها طراحي شده و نبايد به ذخيره‌سازي داده‌ها اقدام کرد. خبر کشف حفره امنيتي در سايت دولتي به چند روز پيش مربوط مي‌شود که در فضاي مجازي نيز دست به دست شد و پس از اينکه مسئولان از اين موضوع مطلع شدند، بلافاصله مشکل مذکور را برطرف کردند. البته هنوز وزير صنعت، معدن و تجارت درباره اين خبر اظهارنظري نکرده است. پيش‌تر در سامانه ثبتارش وزارت صنعت (سايت ثبت سفارش خودرو) مشکلاتي مبني بر هک يا دستکاري عمدي رسانه‌اي شد که عملکرد اين سامانه‌هاي الکترونيکي را مختل کرده بود. بنابراين به نظر مي‌رسد اين وزارتخانه بايد فکري به حال امنيت سامانه‌هاي زيرنظر خود کند. ما را در کانال «آخرين خبر» دنبال کنيد