احتمال افشای داده میلیون‌ها اسرائیلی درنتیجه نقض امنیتی در پایگاه Shas

به گزارش کارگروه بین‌الملل سایبربان؛ به گفته کارشناسان فناوری، یک نقض جدی امنیتی در سیستم کامپیوتری مدیریت انتخابات حزب شاس (Shas)، آن را در برابر بهره‌برداری آسان، حتی از سوی کسانی که فقط دانش اولیه امنیت سایبری دارند، آسیب‌پذیر کرده است.

نقض در سیستم، که حاوی اطلاعات حامیان و فعالان شاس و اطلاعات همه اسرائیلی‌های واجد شرایط رأی دادن است، پس از افشای ناشناس در پادکست «CyberCyber» ​​به میزبانی آیدو کینان (Ido Kinan) و نوآم روتِم (Noam Rotem) فاش و سپس یافته‌ها به‌وسیله ران بار زیک (Ran Bar-Zik)، معمار نرم‌افزار، تأیید شد.

طبق گزارش وبگاه اسرائیلی کالکالیست (Calcalist)، این آسیب‌پذیری به‌وسیله افشاکننده ناشناس با استفاده از یک ابزار اسکن خودکار آنلاین، که چنین نقاط ضعفی را شناسایی می‌کند، کشف شد.

کارشناسان اعلام کردند که اطلاعاتی که در سیستم نگهداری می‌شود کمتر از خود نقض امنیتی نگران کننده نیست : اطلاعات شخصی دقیق از جمله روابط خانوادگی، شماره تلفن و حتی اطلاعات حساب بانکی میلیون‌ها اسرائیلی بالقوه که در ثبت‌نام رأی‌دهندگان گنجانده نشده است.

این نقض براساس یک ضعف شناخته شده 4 ساله در یک ابزار اشکال‌زدایی سیستم آنلاین مبتنی بر «PHP» است و نیازی به ابزارهای پیچیده برای سوءاستفاده از این ضعف نیست، زیرا تنها چیز مورد نیاز، یک مرورگر اینترنت است.

دیباگر فقط باید در مرحله آزمایش سیستم فعال و به محض اینکه برای استفاده گسترده باز شد، خاموش شود. اگر پس از فعال شدن سیستم، دیباگر همچنان فعال باشد، می‌توان به سادگی با افزودن چند کاراکتر به آدرس وب‌سایت سیستم و انجام چند عمل دیگر که نیازی به دانش کامپیوتری پیچیده‌ای ندارند، به آن نفوذ کرد.

وبگاه اورشلیم پست ادعا کرد که اگرچه نفوذ مورد بحث مسدود شده، اما هیچ راهی وجود ندارد که بتوان فهمید آیا اطلاعات موجود در سیستم قبل از پچ به بیرون درز کرده یا خیر. سهولت استفاده از این حفره و این واقعیت که بدون تلاش زیاد پیدا شده، این نگرانی را ایجاد می‌کند که چه کسی ممکن است تمام داده‌های شخصی ذخیره شده در سیستم را در اختیار داشته باشد.

واکنش Shas به نشت داده‌ها

شاس نیز مانند سایر احزاب، پیش از هر دور انتخابات، فهرست رأی‌دهندگان را از وزارت داخلی رژیم صهیونیستی دریافت می‌کند. اما لازم است در پایان هر انتخابات اطلاعات ارسالی از جمله کلیه جزئیات اضافه شده به آن از بین برود. با وجود این به نظر می‌رسد شاس اطلاعات شخصی رأی‌دهندگان دوره‌های قبلی انتخابات را حفظ کرده است.

سخنگوی حزب شاس در پاسخ به پرسش هاآرتص گفت :

«حزب سال‌ها است مانند سایر احزاب رژیم غاصب یک نرم‌افزار انتخاباتی حرفه‌ای و قابل اعتماد را راه‌اندازی می‌کند و یک پایگاه داده قانونی ثبت شده دارد. تمام اطلاعاتی که به‌وسیله شاس نگهداری می‌شود به‌طور قانونی از سوی این حزب جمع‌آوری و مطابق با قانون با همراهی بهترین کارشناسان امنیت سایبری در اسرائیل نگهداری و حفظ می‌شود.»

حزب اسرائیلی شاس در بیانیه‌ای ادعا کرد :

«ما در مورد نگرانی‌های مربوط به دسترسی غیرقانونی به پایگاه اطلاعاتی مطلع شدیم. بلافاصله پس از دریافت این اطلاعات، با استفاده از کارشناسان امنیتی یک بازرسی جامع از پایگاه داده انجام دادیم و تعدادی تغییرات فوری را اعمال کردیم تا همه اطلاعات به صورت امن نگهداری شوند. یک بازرسی جامع از سیستم‌های پایگاه داده و در صورت لزوم علیه هر طرفی که تشخیص داده شود خلاف قانون عمل کرده، عمل خواهد کرد.»

پلتفرم الکتور حزب لیکود اطلاعات شخصی را فاش می‌کند

به گزارش وای‌نت (Ynet)، در رویدادی مشابه، سال گذشته فهرستی از 5000 نام و شماره تلفن فعالان لیکود (Likud) از پلتفرم «الکتور» به اینترنت درز کرد که در سایت «Ghostbin» فاش شد.

این لیست به‌وسیله یک منبع ناشناس همراه با ایمیلی که در بسیاری از گروه‌ها پخش شده بود، بارگذاری شد و در آن نوشته شده بود :

«سیستم الکتور مورد استفاده لیکود و راست هک شده است. داده‌ها کم کم فاش می‌شوند تا زمانی که سیستم آفلاین شود. اینجا اولین دسته از «فعالان» است.»

اداره حفاظت از حریم خصوصی در وزارت دادگستری رژیم صهیونیستی تشخیص داد که شرکت الکتور و همچنین احزاب لیکود و خانه یهودی که خدمات فناوری را از شرکت الکتور دریافت کرده‌اند، مفاد قانون حفاظت از حریم خصوصی و مقررات مربوط به آن را نقض کرده‌اند.

این اداره صهیونیستی در بیانیه‌ای مدعی شد :

«یافته‌های رویه‌های اجرایی انجام‌شده به‌وسیله این سازمان حاکی از نقض قوانین، از جمله بسیاری از نقص‌های جدی در امنیت اطلاعات در سیستم‌های اطلاعاتی انتخابگر و همچنین در رفتار آن به‌عنوان دارنده اطلاعات شخصی حساس است.»