به تازگی یک توسعه دهنده وب از وجود یک حفره امنیتی مهم در سامانه‌ عمومی یک وزارتخانه خبر داده که دسترسی به اطلاعات هویتی تمامی شهروندان ایرانی را ممکن می‌کرد. به دلیل وجود این آسیب پذیری در سامانه آمار وزارت صنعت که به اطلاعات ثبت‌ احوال دسترسی مستقیم دارد ، اطلاعات هویتی تمام شهروندان ایرانی برای سارقان قابل دسترس بوده است.

به گزارش فارس، در روزهای اخیر شخصی به نام حسن ابیات با انتشار مستنداتی در توئیتر اعلام کرد که در یکی از زیرپورتال های سازمان صنعت معدن و تجارت با وارد کردن کد ملی افراد می‌توان اطلاعات هویتی فرد را به دست آورد و با نوشتن یک نرم افزار که بیشتر از 30 دقیقه طول نمی‌کشد و دانستن الگوی کد ملی، اطلاعات هویتی تمام ایرانیان را سرقت کرد.

وی برای جلوگیری از سوء استفاده احتمالی نشانی زیرپورتال وزارت صنعت را منتشر نکرد  اما برای اثبات گفته خود اطلاعات هویتی محمود احمدی نژاد را استخراج و تصویر کدهای آن را منتشر کرد.

با طرح این موضوع، سجاد بنابی دستیار وزیر ارتباطات و فناوری اطلاعات در امور جوانان در واکنش به اطلاعات ارایه شده، از بررسی موضوع توسط مرکز ماهر خبر داد.وی اعلام کرد:

حساب توییتری تازه تاسیس مرکز ماهر از فرد گزارش دهنده درخواست اطلاعات بیشتر کرد و از سوی دیگر این مرکز شبانه با برقراری ارتباط با مسئولین حوزه IT وزارت صنعت، با اطلاع رسانی موضوع و درخواست بررسی سریع همه سامانه‌های آن وزارت خانه که دارای API فعال به اطلاعات ثبت‌ احوال هستند، فهرست همه سایت‌های محتمل را دریافت کرد. این سایت‌ها برای شناسایی حفره مشابه، توسط یکی از تیم های تخصصی مرکز ماهر ارزیابی امنیتی شدند. سرانجام صبح دیروز با توجه به حسن نیت فرد انتشار دهنده موضوع و ارسال اطلاعات دقیق به این مرکز، مشخص شد آسیب‌پذیری در سامانه‌  آمار صنعت آن وزارت‌خانه وجود داشته است که پس از اطلاع رسانی به مسؤولین آن وزارت خانه، هم اکنون سامانه از مدار خارج شده است.

دستیار امور جوانان وزیر ارتباطات می‌گوید:

به نظر می‌رسد اگر سامانه‌های ملی کشور از بستر مرکز ملی تبادل اطلاعات و قواعد ملی سازمان فناوری اطلاعات به عنوان متولی دولت الکترونیکی استفاده کنند، احتمال بروز چنین خطاهایی کاهش یابد.

همچنین پس از حل و فصل مشکل، امیر ناظمی رییس سازمان فناوری اطلاعات ایران نیز دراین باره گفت که ۴ درس را از این ماجرا متصور است:

درس ۱: ذخیره‌سازی داده‌های شهروندان غیرقانونی است و به بهانه‌ سرعت یا سخت بودن نمی‌توان از اصول حریم خصوصی عدول کرد. دستگاه‌های دولتی حق ذخیره‌سازی این داده‌ها را طبق قانون ندارند. این امر مطالبه عمومی است و مسولان رده بالای دولتی باید مدافع حقوق شهروندان باشند.

درس ۲: امنیت برآمده از شهروندان مسوولیت‌پذیر است. آن شهروند به جای سوءاستفاده زمینه‌ساز حفظ حریم خصوصی هموطنانش شد. رفتار او نشانه‌ وجود ‎سرمایه اجتماعی در جامعه‌ است. برای او، تصحیح اشتباهات موجود و حفاظت از هموطنانش بیش از شهرت یا منفعت مادی ارزش داشت.

درس ۳: شبکه‌های اجتماعی اصلی‌ترین راه میانبر میان شهروند و دولت است. 

درس ۴: اصول اتصال به مرکز تبادل داده‌ی ملی (NIX) برای تبادل داده‌ها طراحی شده و نه ذخیره‌سازی آن.

این موضوع در آخر هفته جاری رخ داد که در شبکه های مجازی آغاز شد و پایان یافت و وزارت صنعت، معدن و تجارت هنوز واکنشی به این موضوع نشان نداده است. پیش از این نیز وزارت صنعت در موضوع هک یا دستکاری عامدانه در سایت ثبت سفارش خودرو از نظر صحت عمکلرد سامانه‌های الکترونیکی خود خبرساز شده بود.

نظر خود را اضافه کنید.

ارسال نظر بدون عضویت در سایت

0

نظرات (5)

  • مهمان - ksksksk

    سایت های زاقارتی سازمان های مختلف به ثبت احوال وصلن
    مخابراتم که حکم قدرت مطلق تو دنیاست

  • چی کار داشت به محمود? آدم دیگه نبود؟

  • مهمان - رضا

    بهتر بود از حسن نیت این شخص به نحو مقتضی تشکر میشد.
    شرکت گوگل به کسانی که حفره های امنیتی کروم یا اندروید را گزارش میکنند پول میده.

  • مهمان - مهدی

    در پاسخ به: مهمان - رضا

    با سابقه سیاه اینا ، روح کسی رو نگیرن، جایزه پیش کش ... :whistle

  • مهمان - رضا

    خب اینجا این سوال پیش میاد که وقتی یه dev web ساده میاد یه حفره تو یکی از سایت های سازمان بزرگ پیدا میکنه و اطلاعات کاربران به راحتی یا یه برنامه 30 دقیقه که خودش دستی نوشته سرقت میکنه چطوری اسراییل با اون حجم عظیم حملات ساییری که چند روز پیش به زیرساخت های کشور بخصوص همراه اول حمله داشته نتونسته آسیبی بزنه یا اطلاعاتی رو به سرقت ببره.
    خخخ???
    تازه حملاتم گفتند پر قدرت دفع شده.
    خود من به شخصه dev هستم سخت افزار، نرم افزار، وب،.... خیلی آسیب پذیری وجود داره که فقط کافی بررسی رمزگشایی و نفوذ پیدا کرد.
    هکرهای خوب معتقدند برای اینکه امنیت یک چیز بالاتر بره همواره باید نفوذ کرد و گزارش داد نه سرقت.
    ...

ورود به شهرسخت‌افزار

ثبت نام در شهر سخت افزار
ورود به شهر سخت افزار

ثبت نام در شهر سخت افزار

نام و نام خانوادگی(*)
لطفا نام خود را وارد کنید

ایمیل(*)
لطفا ایمیل خود را به درستی وارد کنید

رمز عبور(*)
لطفا رمز عبور خود را وارد کنید

شماره موبایل
Invalid Input

جزو کدام دسته از اشخاص هستید؟(*)

لطفا یکی از موارد را انتخاب کنید