یک آسیب پذیری در سامانه آمار وزارت صنعت شناسایی شده است. با استفاده از این آسیب پذیری امکان لو رفتن اطلاعات هویتی ایرانیها وجود دارد.
به گزارش تکراتو، یک توسعه دهنده وب از وجود یک حفره امنیتی مهم در سامانه عمومی یک وزارتخانه خبر داد که دسترسی به اطلاعات هویتی تمامی شهروندان ایرانی را ممکن میکرد. این آسیب پذیری در سامانه آمار وزارت صنعت شناسایی شده است.
آسیب پذیری در سامانه آمار وزارت صنعت
در روزهای اخیر شخصی به نام حسن ابیات با انتشار مستنداتی در توئیتر اعلام کرد که در یکی از زیرپورتالهای سازمان صنعت معدن و تجارت با وارد کردن کد ملی افراد میتوان اطلاعات هویتی فرد را به دست آورد و با نوشتن یک نرم افزار که بیشتر از 30 دقیقه طول نمیکشد و دانستن الگوی کد ملی، اطلاعات هویتی تمام ایرانیان را سرقت کرد.
این فرد برای جلوگیری از سوء استفاده احتمالی نشانی زیرپورتال وزارت صنعت را منتشر نکرد، اما برای اثبات گفته خود اطلاعات هویتی محمود احمدی نژاد را استخراج و تصویر کدهای آن را منتشر کرد.
با طرح موضوع آسیب پذیری در سامانه آمار وزارت صنعت ، سجاد بنابی دستیار وزیر ارتباطات و فناوری اطلاعات در امور جوانان در واکنش به اطلاعات ارایه شده، از بررسی موضوع توسط مرکز ماهر خبر داد.
وی اعلام کرد که حساب توییتری تازه تاسیس مرکز ماهر از فرد گزارش دهنده درخواست اطلاعات بیشتر کرده و از سوی دیگر این مرکز شبانه با برقراری ارتباط با مسئولین حوزه IT وزارت صنعت، با اطلاع رسانی موضوع و درخواست بررسی سریع همه سامانههای آن وزارت خانه که دارای API فعال به اطلاعات ثبت احوال هستند، فهرست همه سایتهای محتمل را دریافت کرد. این سایتها برای شناسایی حفره مشابه، توسط یکی از تیم های تخصصی مرکز ماهر ارزیابی امنیتی شدند. سرانجام صبح دیروز با توجه به حسن نیت فرد انتشار دهنده موضوع و ارسال اطلاعات دقیق به این مرکز، مشخص شد آسیبپذیری در سامانه آمار صنعت آن وزارتخانه وجود داشته است که پس از اطلاع رسانی به مسؤولین آن وزارت خانه، هم اکنون سامانه از مدار خارج شده است.
دستیار امور جوانان وزیر ارتباطات میگوید:
به نظر میرسد اگر سامانههای ملی کشور از بستر مرکز ملی تبادل اطلاعات و قواعد ملی سازمان فناوری اطلاعات به عنوان متولی دولت الکترونیکی استفاده کنند، احتمال بروز چنین خطاهایی کاهش یابد.
همچنین پس از حل و فصل مشکل، امیر ناظمی رییس سازمان فناوری اطلاعات ایران نیز دراین باره گفت که ۴ درس از این ماجرا متصور است:
درس اول
ذخیرهسازی دادههای شهروندان غیرقانونی است و به بهانه سرعت یا سخت بودن نمیتوان از اصول حریم خصوصی عدول کرد. دستگاههای دولتی حق ذخیرهسازی این دادهها را طبق قانون ندارند. این امر مطالبه عمومی است و مسولان رده بالای دولتی باید مدافع حقوق شهروندان باشند.
درس دوم
امنیت برآمده از شهروندان مسوولیتپذیر است. آن شهروند به جای سوءاستفاده زمینهساز حفظ حریم خصوصی هموطنانش شد. رفتار او نشانه وجود سرمایه اجتماعی در جامعه است. برای او، تصحیح اشتباهات موجود و حفاظت از هموطنانش بیش از شهرت یا منفعت مادی ارزش داشت.
درس سوم
شبکههای اجتماعی اصلیترین راه میانبر میان شهروند و دولت هستند.
درس چهارم
اصول اتصال به مرکز تبادل دادهی ملی (NIX) برای تبادل دادهها طراحی شده و نه ذخیرهسازی آن.
و وزارت صنعت، معدن و تجارت هنوز واکنشی به این موضوع نشان نداده است. پیش از این نیز وزارت صنعت در موضوع هک یا دستکاری عامدانه در سایت ثبت خودرو از نظر صحت عمکلرد سامانههای الکترونیکی خود خبرساز شده بود.
آیا در زمینه ای تخصص و تجربه کافی را دارید؟ دانش خود را با کاربران تکراتو به اشتراک بگذارید. برای کسب اطلاعات بیشتر با ما تماس بگیرید.
.
منبع: farsnews
