باگ افشای اطلاعات 80میلیون ایرانی

در دسترس قرار‌گرفتن اطلاعات خصوصی بیشتر از 80میلیون ایرانی در یکی از پورتال‌های وزارت صنعت و معدن حفره بزرگ امنیتی بود که یکی از کاربران متخصص توییتر در حوزه سایبری آن را در شب 16آبان‌ماه اعلام کرد. این آسیب‌پذیری بزرگ باعث شده بود هکرهای کلاه‌سفید بتوانند صرفا با وارد‌کردن کد ملی ایرانیان، به اطلاعات خصوصی آنها دسترسی داشته باشند. هرچند این مشکل هم‌اکنون برطرف‌شده اما رخ‌دادن آن باعث شده بحث‌های جدی درباره راه‌حل‌های برطرف‌کردن این مشکل در بگیرد.


ایراد طراحی به‌جای باگ امنیتی
مشکل اصلی در یکی از پورتال‌های زیرمجموعه وزارت صمت به‌وجود آمده که به‌خاطر مسائل امنیتی نام آن جایی ذکر نشده است. در بخشی از این پورتال یک سرویس آماری جدید ارائه شده بود که به کاربران یک سری خدمات خاص ارائه می‌داد. بخش اصلی این سرویس، به این صورت کار می‌کرد که، بعد از وارد‌کردن کد ملی درست، مجموعه‌ای از اطلاعات در اختیار فرد قرار می‌گرفت. به‌نظر می‌رسد قرار بوده این سامانه، صرفا به کاربر اطلاعات مورد درخواستش را ارائه کند اما تا روز 16آبان‌ماه، هرکسی می‌توانست با وارد‌کردن کد ملی شخصی دیگر، اطلاعات مربوط به آن را دریافت کند. سجاد بنابی، دستیار جوان وزیر ارتباطات در این‌باره به همشهری می‌گوید: «برخلاف آ‌نچه بعضی جاها گفته شده، در اینجا با یک باگ امنیتی طرف نیستیم و یک ایراد در طراحی موجب چنین اتفاقی شده است.» بعد از اعلام این نقطه آسیب‌پذیر در توییتر، مرکز ماهر جزئیات این مشکل را بررسی کرد‌ و گزارشی برای برطرف‌کردن آن در اختیار «صمت» گذاشت. سجاد بنابی در این‌باره می‌گوید: «اجراکننده برنامه چون به پیمانکار دسترسی نداشت، نتوانست تمام سامانه را بهبود بدهد. در عوض، ‌بخش مربوط به کد ملی برداشته شد.» گفته می‌شود قرار است امروز یک پیمانکار جدید کل سرویس را بازبینی کرده و بعد از برطرف‌کردن آسیب‌پذیری‌ها یک سامانه جدید راه‌اندازی کند.

     راه‌حل یک: سامانه جدید فاوا
راه‌حل مشاور جوان وزیر ارتباطات برای اجتناب از چنین مشکل‌هایی در آینده، ‌استفاده از شبکه ملی اطلاعات و مرکز تبادل اطلاعات دولتی است. او در این‌باره به همشهری می‌گوید: «طبق قوانین گرفتن یک کپی از اطلاعات ملی کشورها، توسط دستگاه‌ها و به‌صورت محلی منع قانونی دارد. برای رخ‌ندادن چنین مشکلاتی در آینده، درخواست ما این است که نیازمندی‌های اینچنینی، به‌صورت استعلامی از طریق سامانه Switch Government boss که متعلق به سازمان فناوری اطلاعات است، انجام شود. این سامانه به همه دستگاه‌های دولتی سرویس می‌دهد.»

   راه‌حل دو: نظارت نهاد ذینفع
تبعیت‌کردن از روال‌ها و استانداردهای فنی تبیین‌شده در معاونت الکترونیکی سازمان فناوری اطلاعات پیشنهاد دیگری است که بنابی ارائه می‌کند. به‌گفته او، هر زمان که قرار باشد سرویسی ارائه شود، باید از نظر فنی مشخصاتی را رعایت کند. بررسی این ویژگی‌ها می‌تواند بخش زیادی از مشکلات ‌ فعلی را حل کند. بنابی با اشاره به اینکه چنین برنامه‌هایی می‌تواند از مشکلی که در زمینه ترخیص خودرو پیش آمد، جلوگیری کند، ‌می‌گوید: «یکپارچه‌شدن روال‌های مختلف باعث می‌شود بسیاری از برنامه‌های بزرگ با دقت بالایی پیاده‌سازی شوند. ضمن اینکه، نظارت یک نهاد غیرذینفع می‌تواند وضعیت را بهبود بدهد.»