کاربر توییتر باعث رفع یک باگ امنیتی بزرگ در سامانه وزارت صنعت شد

یک توسعه دهنده وب در توییتر خود باگ امنیتی یکی از سامانه‌های عمومی زیرمجموعه وزارت صنعت، معدن و تجارت خبر داد و معاونین وزیر ارتباطات از او تشکر کرده و اعلام کردند که باگ مذکور برطرف شده است. این حفره امنیتی به هکرها اجازه می‌داد که با وارد کردن کد ملی افراد، اطلاعات هویتی آنها را به دست آورد. این کارشناس امنیت اعلام کرده بود که در حقیقت می‌توان با نوشتن یک نرم افزار که بیشتر از 30 دقیقه طول نمی‌کشد و دانستن الگوی کد ملی، اطلاعات هویتی تمام ایرانیان را سرقت کرد.

حسن عبیات، توسعه دهنده وب و کارشناس امنیت، هفته گذشته از این حفره امنیتی پرده برداشت و به جهت پیشگیری از سودجویی برخی افراد، از دادن اطلاعات بیشتری همچون آدرس این سامانه اجتناب ورزید. او اما برای اثبات حرف‌هایش، اطلاعات هویتی رییس جمهور سابق کشورمان، محمود احمدی نژاد را منتشر ساخت و تصویر کدهای به دست آمده از این اطلاعات را نیز در توییتر خود قرار داد.

بعد از این اتفاقات، «مرکز ماهر» که به تازگی در توییتر حساب کاربری راه‌اندازی کرده است، با فرد مذکور تماس گرفت و ضمن گرفتن اطلاعات بیشتر از او، سریعا وارد عمل شده است.

باگ امنیتی در وزارت صنعت

به گفته «سجاد بنابی» دستیار وزیر ارتباطات این اتفاق در ساعات نیمه شب و سریعا رخ داده تا هرچه زودتر مشکل برطرف شود:

«این مرکز شبانه با برقراری ارتباط با مسئولین حوزه IT وزارت صنعت، با اطلاع رسانی موضوع و درخواست بررسی سریع همه سامانه‌های آن وزارت خانه که دارای API فعال به اطلاعات ثبت‌ احوال هستند، فهرست همه سایت‌های محتمل را دریافت کرد. این سایت‌ها برای شناسایی حفره مشابه، توسط یکی از تیم های تخصصی مرکز ماهر ارزیابی امنیتی شدند. سرانجام صبح دیروز با توجه به حسن نیت فرد انتشار دهنده موضوع و ارسال اطلاعات دقیق به این مرکز، مشخص شد آسیب‌پذیری در سامانه‌  آمار صنعت آن وزارت‌خانه وجود داشته است که پس از اطلاع رسانی به مسؤولین آن وزارت خانه، هم اکنون سامانه از مدار خارج شده است.»

باگ امنیتی در وزارت صنعت

«امیر ناظمی»، ‏رییس سازمان فناوری اطلاعات ایران نیز با انتشار توییتی با عنوان گزارش یک اشتباه، از فردی که گزارش اولیه را منتشر ساخته تشکر کرده و خبر از رفع این مشکل داده است. او همچنین خبر داده که از این ماجرا 4 درس گرفته است:

«درس ۱: ذخیره‌سازی داده‌های شهروندان غیرقانونی است و به بهانه‌ سرعت یا سخت بودن نمی‌توان از اصول حریم خصوصی عدول کرد. دستگاه‌های دولتی حق ذخیره‌سازی این داده‌ها را طبق قانون ندارند. این امر مطالبه عمومی است و مسولان رده بالای دولتی باید مدافع حقوق شهروندان باشند.

درس ۲: امنیت برآمده از شهروندان مسوولیت‌پذیر است. آن شهروند به جای سوءاستفاده زمینه‌ساز حفظ حریم خصوصی هموطنانش شد. رفتار او نشانه‌ وجود ‎سرمایه اجتماعی در جامعه‌ است. برای او، تصحیح اشتباهات موجود و حفاظت از هموطنانش بیش از شهرت یا منفعت مادی ارزش داشت.

درس ۳: شبکه‌های اجتماعی اصلی‌ترین راه میانبر میان شهروند و دولت است.

درس ۴: اصول اتصال به مرکز تبادل داده‌ی ملی (NIX) برای تبادل داده‌ها طراحی شده و نه ذخیره‌سازی آن.»

«مهدی نامی» کارشناس امنیت اطلاعات نیز ضمن تایید صحبت‌های ناظمی اظهار دارد که شبکه‌های اجتماعی چون توییتر که در آن دولتمردان حضور دارند، زمینه ساز خوبی برای گزارشات مردمی نسبت به برخی مشکلات جامعه شده است. نامی به دیجیاتو می‌گوید که در بین دولتمردان و مجلسی‌ها و دیگر افراد حکومتی، وزارت ارتباطات تاکنون بهتر از بقیه ارگان‌ها نسبت به گزارشات کاربران واکنش نشان داده‌اند:

«وزیر ارتباطات و دستیارانش در توییتر به مشکلات و توییت‌های متعددی که به آنها زده می‌شود جواب می‌دهند و هرچند برخی از سوالات اساسی را بی‌پاسخ می‌گذارند، اما نمی‌توان گفت که نسبت به تمام مسائل بی‌اهمیت هستند.»

باگ امنیتی در وزارت صنعت

او امید دارد که برخی سوالات اساسی همچون سابقه شرکت‌های ارزش افزوده و افشا شدن برخی مافیاها در صنایع ICT کشور نیز مورد پاسخ و واکنش مسئولان قرار بگیرد. نامی همچنین ضمن ابراز خشنودی نسبت به توییتر مرکز ماهر ابراز امیدواری می‌کند که دولتمردان نسبت به رفع فیلترینگ توییتر بیشتر عزم خود را جزم کنند و آن را پلی بین مردم و افراد حاکمیت بدانند:

«خود وزیر ارتباطات در اوایل کار خود درباره توییتر گفته بود که فضای بین مردم و دولتمردان در آنجا کمرنگ می‌شود و حضور تمام افراد دارای مقام و منصب را در آن از ضروریات دانسته بود. شاید برخی اظهارات و صحبت‌ها در توییتر لحن تندی داشته باشد اما انتقادات سازنده‌ای نیز در آن وجود دارد که یک نمونه آن همین کشف باگ موجود در سامانه وزارت صمت است.»

نامی وجود مشکلات فنی در زیرساخت‌های وزارتخانه‌های دولتی را امری عادی می‌داند و تاکید دارد که وزارت صمت به عنوان یکی از مهم‌ترین ارگان‌های نظام بارها به مشکلات امنیتی برخورده است:

«پیش از این نیز وزارت صنعت در موضوع هک یا دستکاری عامدانه در سایت ثبت خودرو از نظر صحت عمکلرد سامانه‌های الکترونیکی خود خبرساز شده بود. مشکلات امنیتی وزارت بهداشت و درمان نیز چند باری رسانه‌ای شده و هیچ کدام از وزارتخانه‌ها بعد از این وقایع، عملکرد درستی روی ادامه کار خود ندارند و به نظر می‌رسد مرکز ماهر باید نظارت دقیق‌تر و جدی‌تری روی آنها به عمل بیاورد.»

malltina

مطالب مرتبط

حمله باج افزاری گسترده علیه کانن؛ ۱۰ ترابایت دیتا به سرقت رفت

شرکت کانن اعلام کرده که هدف دو حمله باج افزاری بزرگ قرار گرفته است و دسترسی به ۱۰ ترابایت دیتای ارزشمند آن حالا منوط به پرداخت مبلغی نامشخص باج به عاملان این حملات است.البته این شرکت جزئیات زیادی در مورد نوع دیتای سرقت شده خود ارائه نکرده و مشخص نیست چه تعداد از کاربران آن... ادامه مطلب

رخنه اطلاعاتی در خاورمیانه بیش از میانگین جهانی روی دست شرکت‌ها خرج می‌گذارد

بر اساس جدیدترین پژوهش صورت گرفته، هزینه هر رخنه اطلاعاتی در خاورمیانه بیش از میانگین جهانی و برابر ۶.۵۲ میلیون دلار است.این تحقیق که توسط «IBM Security» و «Ponemon Institute» صورت گرفته، هزینه رخنه اطلاعاتی در ۱۷ کشور جهان در سال ۲۰۲۰ را مورد تحلیل قرار داده است. طبق این گزارش، میانگین هزینه هر رخنه... ادامه مطلب

ایرانسل برنده جایزه سال تحول دیجیتال ایران شد

ایرانسل «جایزۀ سال تحول دیجیتال ایران»، تندیس زرین رهبری دیجیتال، تندیس زرین زبدگی دیجیتال و تندیس برنزی نوآوری دیجیتال را در چهارمین دورۀ ارزیابی ملی تحول دیجیتال به دست آورد.در مراسم پایانی این ارزیابی که عصر سه‌شنبه، 14 مرداد ماه 1399 در دانشکدۀ مدیریت دانشگاه تهران به دلیل لزوم موازین بهداشتی با رعایت فاصله‌گذاری اجتماعی... ادامه مطلب

هکرها رمز عبور بیش از ۹۰۰ VPN سرور سازمانی را منتشر کردند

هکرها لینک دانلود لیستی حاوی نام کاربری، رمز عبور و آدرس‌های IP بیش از ۹۰۰ سرور سازمانی Pulse Secure VPN را در یک فروم هک منتشر کردند.سایت ZDNet به نسخه‌ای از این لیست دسترسی پیدا کرده و می‌گوید شامل اطلاعات زیر می‌شود: آدرس‌های IP سرورهای Pulse Secure VPN نسخه فریم ور سرور Pulse Secure VPN... ادامه مطلب

جریمه وزارت ارتباطات برای اپراتورهای متخلف سنگین‌تر شد

کمیسیون تنظیم مقررات، در مصوبه‌ای که امروز در دولت تصویب شد، اپراتورها را ملزم به توجه به اخطار سازمان تنظیم و بازگرداندن وجوه بسته‌های اینترنت به کاربران کرد؛ نکته مهم این مصوبه اینجاست که حالا وزارت ارتباطات می‌تواند در ازای هر روز تاخیر تا سقف یک دهم درصد از درآمد ناخالص سالیانه‌ی اپراتورها، آن‌ها را... ادامه مطلب

هکرهای منتسب به ایران برای اولین بار در یک حمله سایبری از DoH استفاده کردند

یک گروه هک منتسب به ایران موسوم به Oilrig به اولین گروه هک شناخته شده‌ای تبدیل شد که از پروتکل DNS-over-HTTPS یا DoH در حملاتش استفاده می‌کند.«Vincente Diaz»، از تحلیلگران بدافزار برای آنتی ویروس کسپرسکی می‌گوید گروه هک Oilrig ماه می سال جاری میلادی ابزار جدیدی را به مجموعه ابزارهای خود اضافه کرده است. به... ادامه مطلب

ویجیاتو

نظرات ۴

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟