نشت اطلاعات شناسنامه‌ای کاربران ایرانی از طریق یک بات
باقری‌اصل: کارگروه تعامل‌پذیری دولت الکترونیک پیگیری می‌کند
کد مطلب: 16486
تاریخ انتشار : جمعه ۱۵ فروردين ۱۳۹۹ ساعت ۰۸:۵۰
 
در پی نشت اطلاعات شناسنامه‌ای ۸۰ میلیون کاربر ایرانی از طریق سرورهای سازمان ثبت احوال، رئیس کارگروه تعامل‌پذیری دولت الکترونیک از پیگیری این موضوع و تذکر به دستگاه‌های خاطی خبر داد.
باقری‌اصل: کارگروه تعامل‌پذیری دولت الکترونیک پیگیری می‌کند
 
 
Share/Save/Bookmark
در پی نشت اطلاعات شناسنامه‌ای ۸۰ میلیون کاربر ایرانی از طریق سرورهای سازمان ثبت احوال، رئیس کارگروه تعامل‌پذیری دولت الکترونیک از پیگیری این موضوع و تذکر به دستگاه‌های خاطی خبر داد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در ادامه افشای اطلاعات کاربران فضای مجازی طی روزهای اخیر که مربوط به لو رفتن اطلاعات کاربران نسخه غیررسمی اپلیکیشن تلگرام و سیب‌‌اپ، بازار ایرانی نرم‌افزارهای آیفون، می‌شد، شب گذشته نیز یک ربات تلگرامی، اطلاعات شناسنامه‌ای ۸۰ میلیون ایرانی را از طریق درج کد ملی هر شخص در اختیار کاربران قرار داده‌است.

اگرچه این بات تلگرامی هم‌اکنون غیرفعال و از دسترس خارج شده‌است، اما شواهد نشان می‌دهد که این درز اطلاعات از طریق سرورهای سازمان ثبت احوال و اشتراک‌گذاری اطلاعات با وزارت بهداشت صورت گرفته‌است.

این ربات با استعلام کد ملی هر شخص، اطلاعات کامل شناسنامه‌ای وی را اعلام کرده و مدعی شده که این اطلاعات را به‌طور مستقیم از دیتابیس سازمان ثبت احوال استخراج می‌کند و حتی این باگ را پیش از این نیز به صورت کتبی و شفاهی به مرکز افتا گزارش داده‌است.

این درحالی است که مطابق مصوبه ۵۴ شورای عالی فضای مجازی (آذرماه سال ۹۷)، نحوه دسترسی به استعلامات داده‌های الکترونیک دستگاه‌های دولتی و نیز تعیین مدل پیاده‌سازی تبادل اطلاعات و استعلام الکترونیکی بین دستگاهی، از وظایف و اختیارات کارگروه تعامل‌پذیری دولت الکترونیکی است. در این راستا رضا باقری اصل، رئیس کارگروه تعامل‌پذیری دولت الکترونیک، در خصوص اقداماتی که این کارگروه در پی درز اطلاعات کاربران ایرانی در دست انجام دارد، گفت: جزییات اینکه این اطلاعات از طریق ثبت احوال و دستگاهی که این اطلاعات را گرفته، چگونه و به چه نحوی منتقل و جابه‌جا شده‌است در دسترس نیست. به همین دلیل اطلاعات فعلی ما غیررسمی بوده و پیگیری به عمل آمده از سازمان ثبت احوال نیز هنوز به نتیجه نرسیده‌است.

رئیس کارگروه تعامل پذیری دولت الکترونیک خاطرنشان کرد: هیچ درخواستی از وزارت بهداشت و سازمان ثبت احوال به کارگروه تعامل‌پذیری دولت الکترونیک جهت تبادل اطلاعات، مطرح نشده‌است. این درحالی است که پیش از عید نوروز و با توجه به شرایط کرونا با مسئولان دو دستگاه صحبت کرده و آمادگی خود را برای نیازمندی تبادل اطلاعات این دستگاه‌ها در مباحث بحران کرونا اعلام کردیم؛ حتی پیشنهاد برگزاری جلسه فوق‌العاده کارگروه تعامل ‌ذیری دولت الکترونیک را دادیم.

باقری اصل تاکید کرد: تکالیف هر دستگاه مطابق مصوبه کارگروه تعامل‌پذیری دولت الکترونیکی (مصوبه ۵۴ شورای عالی فضای مجازی) مشخص است. به این معنی که دستگاه‌ها برای تبادل داده، یک‌سری اختیارات ذاتی دارند که می‌توانند از آنها استفاده کنند و یا می‌توانند از مشورت‌ها، تجارب و زیرساخت‌هایی که در کارگروه تعامل پذیری دولت الکترونیک طرح می‌شود، استفاده کند.

وی گفت: در موضوع افشای اطلاعات شناسنامه‌ای کاربران، اطلاعات فنی دقیقی از اینکه این حجم از دیتا از طریق مرکز ملی تبادل اطلاعات (NIX ) تبادل شده و یا اینکه دستگاه دریافت‌کننده اطلاعات به اشتباه اطلاعاتی را در بستر اینترنت بارگذاری کرده‌است در دست ما نیست.

دبیر شورای اجرایی فناوری اطلاعات ادامه داد: اما از نظر جزییات مقرراتی نیز، ما درخواستی در این خصوص دریافت نکردیم؛ به این معنی که مجوز اشتراک‌گذاری اطلاعات میان وزارت بهداشت و ثبت احوال از کارگروه تعامل‌پذیری اخذ نشده‌است؛ چنان‌چه اگر درخواستی از این بابت دریافت می‌شد حتماً ملاحظات امنیتی و ملاحظات کسب‌و‌کار و ریسک‌های انجام تبادل اطلاعات میان دو دستگاه را گوشزد کرده و حداقل در این مسیر همراه با این دستگاه‌ها پذیرش مسئولیت می‌کردیم.

وی با بیان اینکه گذر اطلاعات دستگاه‌ها از مرکز ملی تبادل اطلاعات (NIX ) اجباری است، افزود: جزییات اتفاق فوق روز شنبه و از طریق ارسال نامه کتبی به وزارت بهداشت و سازمان ثبت احوال پیگیری می‌شود و سهل‌انگاری احتمالی را گوشزد می‌کنیم که تا از این پس، مسیر تبادل اطلاعات میان دستگاه‌ها از طریق اتصال NIX صورت گیرد و ریسک تهدیدات امنیتی پایین بیاید. در اتفاق صورت گرفته ظاهراً یکی از سامانه‌های وزارت بهداشت که در شرایط بحران کرونا راه‌اندازی شده از دیتای ثبت احوال استفاده می‌کرده که این اطلاعات لو رفته‌است. با این وجود اما هنوز مشخص نشده که این دیتا از چه مسیری گذر کرده است. یعنی مشخص نیست که اتصال به صورت برخط (آنلاین) بوده و یا اینکه از پایگاه اطلاعاتی جابه‌جا شده‌است. تنها چیزی که می‌دانیم این است که دیتای ربات تلگرامی موثق است. اینکه اطلاعات از سرویس‌های سازمان ثبت احوال نشت کرده، لزوماً به معنای این نیست که ثبت احوال مقصر این ماجرا است. اما این موضوع باید با حضور نمایندگان وزارت بهداشت و سازمان ثبت احوال در کارگروه تعامل‌پذیری دولت الکترونیک که نمایندگان سه قوه در آن حضور دارند، پیگیری شود.

دبیر شورای اجرایی فناوری اطلاعات با اشاره به «مصوبه SLA کارگروه تعامل پذیری دولت الکترونیک» در خصوص نحوه اتصال دستگاه‌های دولتی به مرکز ملی تبادل اطلاعات و شرایط اشتراک‌گذاری اطلاعات بین دستگاهی، گفت: در این مصوبه مشخص شده که چگونه تبادل اطلاعات صورت گیرد و ضوابط پیوست امنیتی نیز ازجمله الزامات این مصوبه است؛ بنابراین اگر وزارت بهداشت و سازمان ثبت احوال این مصوبه را رعایت نکرده‌باشند و اطلاعات بین دستگاهی را به صورت مستقیم تبادل کرده‌باشند، خلاف مصوبه شورای عالی فضای مجازی عمل کرده و پس از بررسی در مورد آن تصمیم‌گیری خواهدشد.
مرجع : خبرگزاری مهر