یک توسعهدهنده وب از وجود حفره امنیتی مهمی در سامانه عمومی آمار وزارت صنعت خبر داد که دسترسی به اطلاعات هویتی تمامی شهروندان ایرانی را ممکن میکرد.
منبع : خبرگزاری فارس
یک توسعهدهنده وب از وجود حفره امنیتی مهمی در سامانه عمومی آمار وزارت صنعت خبر داد که دسترسی به اطلاعات هویتی تمامی شهروندان ایرانی را ممکن میکرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در روزهای اخیر شخصی به نام حسن ابیات با انتشار مستنداتی در توییتر اعلام کرد که در یکی از زیرپرتالهای سازمان صنعت معدن و تجارت با وارد کردن کد ملی افراد میتوان اطلاعات هویتی فرد را به دست آورد و با نوشتن یک نرمافزار که بیشتر از ۳۰ دقیقه طول نمیکشد و دانستن الگوی کد ملی، اطلاعات هویتی تمام ایرانیان را سرقت کرد.
وی برای جلوگیری از سوءاستفاده احتمالی نشانی زیرپرتال وزارت صنعت را منتشر نکرد، اما برای اثبات گفته خود اطلاعات هویتی محمود احمدینژاد، رئیسجمهور پیشین را استخراج و تصویر کدهای آن را منتشر کرد.
با طرح این موضوع، سجاد بنابی، دستیار وزیر ارتباطات و فناوری اطلاعات در امور جوانان در واکنش به اطلاعات ارائه شده از بررسی موضوع توسط مرکز ماهر خبر داد و اعلام کرد: حساب توییتری تازهتاسیس مرکز ماهر از فرد گزارش دهنده درخواست اطلاعات بیشتر کرد و از سوی دیگر این مرکز شبانه با برقراری ارتباط با مسئولان حوزه IT وزارت صنعت با اطلاعرسانی موضوع و درخواست بررسی سریع همه سامانههای آن وزارتخانه که دارای API فعال به اطلاعات ثبت احوال هستند، فهرست همه سایتهای محتمل را دریافت کرد. این سایتها برای شناسایی حفره مشابه، توسط یکی از تیمهای تخصصی مرکز ماهر ارزیابی امنیتی شدند. سرانجام صبح دیروز با توجه به حسن نیت فرد انتشاردهنده موضوع و ارسال اطلاعات دقیق به این مرکز، مشخص شد آسیبپذیری در سامانه آمار صنعت آن وزارتخانه وجود داشتهاست که پس از اطلاعرسانی به مسئولان آن وزارتخانه، هماکنون سامانه از مدار خارج شدهاست.
دستیار امور جوانان وزیر ارتباطات افزود: به نظر میرسد اگر سامانههای ملی کشور از بستر مرکز ملی تبادل اطلاعات و قواعد ملی سازمان فناوری اطلاعات به عنوان متولی دولت الکترونیکی استفاده کنند، احتمال بروز چنین خطاهایی کاهش یابد.
همچنین پس از حلوفصل مشکل، امیر ناظمی، رئیس سازمان فناوری اطلاعات ایران، نیز در این مورد گفت که چهار درس را از این ماجرا متصور است: درس اول؛ ذخیرهسازی دادههای شهروندان غیرقانونی است و به بهانه سرعت یا سخت بودن نمیتوان از اصول حریم خصوصی عدول کرد. دستگاههای دولتی حق ذخیرهسازی این دادهها را طبق قانون ندارند. این امر مطالبه عمومی است و مسئولان ردهبالای دولتی باید مدافع حقوق شهروندان باشند.
درس دوم؛ امنیت برآمده از شهروندان مسئولیتپذیر است. آن شهروند به جای سوءاستفاده زمینهساز حفظ حریم خصوصی هموطنانش شد. رفتار او نشانه وجود سرمایه اجتماعی در جامعه است. برای او، تصحیح اشتباهات موجود و حفاظت از هموطنانش بیش از شهرت یا منفعت مادی ارزش داشت. درس سوم؛ شبکههای اجتماعی اصلیترین راه میانبر میان شهروند و دولت است. درس چهارم؛ اصول اتصال به مرکز تبادل داده ملی (NIX) برای تبادل دادهها طراحی شده و نه ذخیرهسازی آن.
این موضوع در آخر هفته جاری رخ داد و در شبکههای مجازی آغاز شد و پایان یافت. وزارت صنعت، معدن و تجارت هنوز واکنشی به این موضوع نشان ندادهاست.