کاربر توییتر باعث رفع یک باگ امنیتی بزرگ در سامانه وزارت صنعت شد

به گزارش آی تابناک : این حفره امنیتی به هکرها اجازه می‌داد که با وارد کردن کد ملی افراد، اطلاعات هویتی آنها را به دست آورد. این کارشناس امنیت اعلام کرده بود که در حقیقت می‌توان با نوشتن یک نرم افزار که بیشتر از 30 دقیقه طول نمی‌کشد و دانستن الگوی کد ملی، اطلاعات هویتی تمام ایرانیان را سرقت کرد.

حسن عبیات، توسعه دهنده وب و کارشناس امنیت، هفته گذشته از این حفره امنیتی پرده برداشت و به جهت پیشگیری از سودجویی برخی افراد، از دادن اطلاعات بیشتری همچون آدرس این سامانه اجتناب ورزید. او اما برای اثبات حرف‌هایش، اطلاعات هویتی رییس جمهور سابق کشورمان، محمود احمدی نژاد را منتشر ساخت و تصویر کدهای به دست آمده از این اطلاعات را نیز در توییتر خود قرار داد.

بعد از این اتفاقات، «مرکز ماهر» که به تازگی در توییتر حساب کاربری راه‌اندازی کرده است، با فرد مذکور تماس گرفت و ضمن گرفتن اطلاعات بیشتر از او، سریعا وارد عمل شده است.

به گفته «سجاد بنای» معاون وزیر ارتباطات این اتفاق در ساعات نیمه شب و سریعا رخ داده تا هرچه زودتر مشکل برطرف شود:

«این مرکز شبانه با برقراری ارتباط با مسئولین حوزه IT وزارت صنعت، با اطلاع رسانی موضوع و درخواست بررسی سریع همه سامانه‌های آن وزارت خانه که دارای API فعال به اطلاعات ثبت‌ احوال هستند، فهرست همه سایت‌های محتمل را دریافت کرد. این سایت‌ها برای شناسایی حفره مشابه، توسط یکی از تیم های تخصصی مرکز ماهر ارزیابی امنیتی شدند. سرانجام صبح دیروز با توجه به حسن نیت فرد انتشار دهنده موضوع و ارسال اطلاعات دقیق به این مرکز، مشخص شد آسیب‌پذیری در سامانه‌  آمار صنعت آن وزارت‌خانه وجود داشته است که پس از اطلاع رسانی به مسؤولین آن وزارت خانه، هم اکنون سامانه از مدار خارج شده است.»

«امیر ناظمی»، ‏رییس سازمان فناوری اطلاعات ایران نیز با انتشار توییتی با عنوان گزارش یک اشتباه، از فردی که گزارش اولیه را منتشر ساخته تشکر کرده و خبر از رفع این مشکل داده است. او همچنین خبر داده که از این ماجرا 4 درس گرفته است:

«درس ۱: ذخیره‌سازی داده‌های شهروندان غیرقانونی است و به بهانه‌ سرعت یا سخت بودن نمی‌توان از اصول حریم خصوصی عدول کرد. دستگاه‌های دولتی حق ذخیره‌سازی این داده‌ها را طبق قانون ندارند. این امر مطالبه عمومی است و مسولان رده بالای دولتی باید مدافع حقوق شهروندان باشند.

درس ۲: امنیت برآمده از شهروندان مسوولیت‌پذیر است. آن شهروند به جای سوءاستفاده زمینه‌ساز حفظ حریم خصوصی هموطنانش شد. رفتار او نشانه‌ وجود ‎سرمایه اجتماعی در جامعه‌ است. برای او، تصحیح اشتباهات موجود و حفاظت از هموطنانش بیش از شهرت یا منفعت مادی ارزش داشت.

درس ۳: شبکه‌های اجتماعی اصلی‌ترین راه میانبر میان شهروند و دولت است.

درس ۴: اصول اتصال به مرکز تبادل داده‌ی ملی (NIX) برای تبادل داده‌ها طراحی شده و نه ذخیره‌سازی آن.»

«مهدی نامی» کارشناس امنیت اطلاعات نیز ضمن تایید صحبت‌های ناظمی اظهار دارد که شبکه‌های اجتماعی چون توییتر که در آن دولتمردان حضور دارند، زمینه ساز خوبی برای گزارشات مردمی نسبت به برخی مشکلات جامعه شده است. نامی به دیجیاتو می‌گوید که در بین دولتمردان و مجلسی‌ها و دیگر افراد حکومتی، وزارت ارتباطات تاکنون بهتر از بقیه ارگان‌ها نسبت به گزارشات کاربران واکنش نشان داده‌اند:

«وزیر ارتباطات و دستیارانش در توییتر به مشکلات و توییت‌های متعددی که به آنها زده می‌شود جواب می‌دهند و هرچند برخی از سوالات اساسی را بی‌پاسخ می‌گذارند، اما نمی‌توان گفت که نسبت به تمام مسائل بی‌اهمیت هستند.»

او امید دارد که برخی سوالات اساسی همچون سابقه شرکت‌های ارزش افزوده و افشا شدن برخی مافیاها در صنایع ICT کشور نیز مورد پاسخ و واکنش مسئولان قرار بگیرد. نامی همچنین ضمن ابراز خشنودی نسبت به توییتر مرکز ماهر ابراز امیدواری می‌کند که دولتمردان نسبت به رفع فیلترینگ توییتر بیشتر عزم خود را جزم کنند و آن را پلی بین مردم و افراد حاکمیت بدانند:

«خود وزیر ارتباطات در اوایل کار خود درباره توییتر گفته بود که فضای بین مردم و دولتمردان در آنجا کمرنگ می‌شود و حضور تمام افراد دارای مقام و منصب را در آن از ضروریات دانسته بود. شاید برخی اظهارات و صحبت‌ها در توییتر لحن تندی داشته باشد اما انتقادات سازنده‌ای نیز در آن وجود دارد که یک نمونه آن همین کشف باگ موجود در سامانه وزارت صمت است.»

نامی وجود مشکلات فنی در زیرساخت‌های وزارتخانه‌های دولتی را امری عادی می‌داند و تاکید دارد که وزارت صمت به عنوان یکی از مهم‌ترین ارگان‌های نظام بارها به مشکلات امنیتی برخورده است:

«پیش از این نیز وزارت صنعت در موضوع هک یا دستکاری عامدانه در سایت ثبت خودرو از نظر صحت عمکلرد سامانه‌های الکترونیکی خود خبرساز شده بود. مشکلات امنیتی وزارت بهداشت و درمان نیز چند باری رسانه‌ای شده و هیچ کدام از وزارتخانه‌ها بعد از این وقایع، عملکرد درستی روی ادامه کار خود ندارند و به نظر می‌رسد مرکز ماهر باید نظارت دقیق‌تر و جدی‌تری روی آنها به عمل بیاورد.»