حفره امنیتی در یک سایت دولتی، اطلاعات مردم را به خطر انداخت

به گزارش کارگروه امنیت سایبربان؛ حسن ابیات، توسعه‌دهنده وب، در صفحه شخصی توییتر خود با انتشار سندی اعلام کرد یک از زیرپورتال‌های وزارت صنعت، معدن و تجارت دارای حفره امنیتی است که به راحتی اطلاعات هویتی تمام ایرانی‌ها را در دسترس سارقان قرار می‌دهد. وی برای اینکه از این سایت سوءاستفاده نشود آدرس آن را منتشر نکرده است. این فرد اعلام می‌کند سایت مذکور به اطلاعات ثبت‌ احوال دسترسی (API) داشته و یک فرد متخصص با دانستن الگوی کارت ملی و با برنامه‌نویسی یک نرم افزار ساده می‌تواند در کمتر از نیم ساعت به تمامی اطلاعات هویتی مردم دسترسی پیدا کند. وی همچنین برای اثبات حرف‌های خود مشخصات هویتی رئیس جمهور سابق (محمود احمدی نژاد) را پیدا کرده و تصویری از کد‌های آن را در صفحه اجتماعی خود منتشر کرده است.

حفره امنیتی در سایت دولتی برطرف شد

سجاد بنابی، دستیار وزیر ارتباطات و فناوری اطلاعات در امور جوانان در خصوص آسیب پذیری در سایت دولتی متعلق به وزارت صنعت عنوان کرد پس از اینکه از این موضوع مطلع شدیم، مرکز ماهر با این توسعه‌دهنده وب ارتباط برقرار کرده و از او خواستیم تا اطلاعات دقیق‌تری به ما ارائه کند. همچنین به صورت شبانه مسئولان حوزه IT وزارت صنعت را از این خبر آگاه کردیم و آن‌ها نیز تمامی سامانه‌های وزارت صنعت را که به API فعال اطلاعات ثبت‌ احوال مجهز بوده‌اند، مورد بررسی قرار داده و پس از تهیه لیستی از تمامی سایت‌ها، این سایت‌ها به تیم‌های تخصصی مرکز ماهر جهت بررسی‌های امنیتی ارجاع داده شدند. در نهایت صبح دیروز یک حفره امنیتی در سامانه آمار وزارت صنعت، معدن و تجارت شناسایی شد و به آن وزارتخانه اطلاع‌رسانی کردیم. در حال حاضر نیز سامانه مورد نظر غیر فعال است. بدون شک حسن نیت فرد انتشاردهنده این موضوع و ارسال اطلاعات دقیق به مرکز ماهر، موجب تسریع در شناساسی و حل این مشکل شد. اگر این سامانه‌ها از امکانات مرکز ملی تبادل اطلاعات و قواعد ملی سازمان فناوری اطلاعات بهره‌مند می‌شدند، این حفره امنیتی نیز به وجود نمی‌آمد.

دیدگاه رئیس سازمان فناوری اطلاعات

امیر ناظمی، رئیس سازمان فناوری اطلاعات ایران در خصوص این موضوع اظهار کرد از اتفاقی که رخ داده است می‌توانیم در چهار زمینه درس بگیرم. در درس اول باید بیاموزیم که نمی‌توان به بهانه دشوار بودن یا افزایش سرعت امور، داده‌های شهروندان را ذخیره کنیم؛ چرا که این کار غیر قانونی است و طبق قانون دستگاه‌های دولتی نسبت به ذخیره‌سازی این داده‌ها هیچ حقی ندارند. از این رو مسئولان دولتی موظفند از حقوق شهروندان دفاع کنند.

در درس دوم باید توجه داشته باشیم که چنین افرادی که با حسن نیت این اشتباه را به مسئولان گوشزد می‌کنند، قابل احترام هستند و باید در برابر آن‌ها مسئولیت‌پذیر باشیم؛ چرا که این فرد می‌توانست از این حفره امنیتی سوءاستفاده کرده و به فکر بحث‌های مالی باشد، اما تصمیم گرفت با اطلاع‌رسانی به موقع از حریم خصوصی دیگران محافظت کند. بدون شک رفتار او نشانه‌ وجود ‎سرمایه اجتماعی در جامعه‌ است. درس سوم بار دیگر به ما نشان داد که که شبکه های اجتماعی اصلی‌ترین و بهترین راه میان‌بر بین شهروندان و دولت‌مردان است. درس چهارم به ما خاطرنشان می‌کند که اصول اتصال به مرکز تبادل داده‌ی ملی (NIX) صرفا برای تبادل داده‌ها طراحی شده و نباید به ذخیره‌سازی داده‌ها اقدام کرد.

خبر کشف حفره امنیتی در سایت دولتی به چند روز پیش مربوط می‌شود که در فضای مجازی نیز دست به دست شد و پس از اینکه مسئولان از این موضوع مطلع شدند، بلافاصله مشکل مذکور را برطرف کردند. البته هنوز وزیر صنعت، معدن و تجارت درباره این خبر اظهارنظری نکرده است. پیش‌تر در سامانه ثبتارش وزارت صنعت (سایت ثبت سفارش خودرو) مشکلاتی مبنی بر هک یا دستکاری عمدی رسانه‌ای شد که عملکرد این سامانه‌های الکترونیکی را مختل کرده بود. بنابراین به نظر می‌رسد این وزارتخانه باید فکری به حال امنیت سامانه‌های زیرنظر خود کند.