خبرگزاری صدا و سیما: به تازگی یک توسعه دهنده وب از وجود یک حفره امنیتی مهم در سامانه عمومی یک وزارتخانه خبر داد که دسترسی به اطلاعات هویتی تمامی شهروندان ایرانی را ممکن میکرد.
در روزهای اخیر شخصی به نام حسن ابیات توسعهدهنده وب، در صفحه توییتر خود با انتشار سندی اعلام کرد: یکی از زیرپورتالهای وزارت صنعت، معدن و تجارت دارای حفره امنیتی است که به راحتی اطلاعات هویتی تمام ایرانیها را در دسترس سارقان قرار میدهد.
وی برای اینکه از این سایت سوءاستفاده نشود آدرس آن را منتشر نکرده است.
این فرد اعلام میکند سایت مذکور به اطلاعات ثبت احوال دسترسی (API) داشته و یک فرد متخصص با دانستن الگوی کارت ملی و با برنامهنویسی یک نرم افزار ساده میتواند در کمتر از 30 دقیقه به تمامی اطلاعات هویتی تمام ایرانیان دسترسی پیدا کند.
وی همچنین برای اثبات حرفهای خود مشخصات هویتی رئیس جمهور سابق (محمود احمدی نژاد) را پیدا کرده و تصویری از کدهای آن را در صفحه اجتماعی خود منتشر کرده است.
حفره امنیتی در سایت دولتی برطرف شد
سجاد بنابی، دستیار وزیر ارتباطات و فناوری اطلاعات در امور جوانان در خصوص آسیب پذیری در سایت دولتی متعلق به وزارت صنعت عنوان کرد پس از اینکه از این موضوع مطلع شدیم، مرکز ماهر با این توسعهدهنده وب ارتباط برقرار کرده و از او خواستیم تا اطلاعات دقیقتری به ما ارائه کند. همچنین به صورت شبانه مسئولان حوزه IT وزارت صنعت را از این خبر آگاه کردیم و آنها نیز تمامی سامانههای وزارت صنعت را که به API فعال اطلاعات ثبت احوال مجهز بودهاند، مورد بررسی قرار داده و پس از تهیه لیستی از تمامی سایتها، این سایتها به تیمهای تخصصی مرکز ماهر جهت بررسیهای امنیتی ارجاع داده شدند. در نهایت صبح دیروز یک حفره امنیتی در سامانه آمار وزارت صنعت، معدن و تجارت شناسایی شد و به آن وزارتخانه اطلاعرسانی کردیم. در حال حاضر نیز سامانه مورد نظر غیر فعال است. بدون شک حسن نیت فرد انتشاردهنده این موضوع و ارسال اطلاعات دقیق به مرکز ماهر، موجب تسریع در شناساسی و حل این مشکل شد. اگر این سامانهها از امکانات مرکز ملی تبادل اطلاعات و قواعد ملی سازمان فناوری اطلاعات بهرهمند میشدند، این حفره امنیتی نیز به وجود نمیآمد.
دیدگاه رئیس سازمان فناوری اطلاعات
امیر ناظمی، رئیس سازمان فناوری اطلاعات ایران در خصوص این موضوع اظهار کرد از اتفاقی که رخ داده است میتوانیم در چهار زمینه درس بگیرم؛
در درس اول باید بیاموزیم که نمیتوان به بهانه دشوار بودن یا افزایش سرعت امور، دادههای شهروندان را ذخیره کنیم؛ چرا که این کار غیر قانونی است و طبق قانون دستگاههای دولتی نسبت به ذخیرهسازی این دادهها هیچ حقی ندارند. از این رو مسئولان دولتی موظفند از حقوق شهروندان دفاع کنند.
در درس دوم باید توجه داشته باشیم که چنین افرادی که با حسن نیت این اشتباه را به مسئولان گوشزد میکنند، قابل احترام هستند و باید در برابر آنها مسئولیتپذیر باشیم؛ چرا که این فرد میتوانست از این حفره امنیتی سوءاستفاده کرده و به فکر بحثهای مالی باشد، اما تصمیم گرفت با اطلاعرسانی به موقع از حریم خصوصی دیگران محافظت کند. بدون شک رفتار او نشانه وجود سرمایه اجتماعی در جامعه است.
درس سوم بار دیگر به ما نشان داد که که شبکههای اجتماعی اصلیترین و بهترین راه میانبر بین شهروندان و دولتمردان است.
درس چهارم به ما خاطرنشان میکند که اصول اتصال به مرکز تبادل دادهی ملی (NIX) صرفا برای تبادل دادهها طراحی شده و نباید به ذخیرهسازی دادهها اقدام کرد.
خبر کشف حفره امنیتی در سایت دولتی به چند روز پیش مربوط میشود که در فضای مجازی نیز دست به دست شد و پس از اینکه مسئولان از این موضوع مطلع شدند، بلافاصله مشکل مذکور را برطرف کردند. البته هنوز وزیر صنعت، معدن و تجارت درباره این خبر اظهارنظری نکرده است. پیشتر در سامانه ثبتارش وزارت صنعت (سایت ثبت سفارش خودرو) مشکلاتی مبنی بر هک یا دستکاری عمدی رسانهای شد که عملکرد این سامانههای الکترونیکی را مختل کرده بود؛ بنابراین به نظر میرسد این وزارتخانه باید فکری به حال امنیت سامانههای زیرنظر خود کند.