در پی نشت اطلاعات شناسنامهای ۸۰ میلیون کاربر ایرانی از طریق سرورهای سازمان ثبت احوال، رئیس کارگروه تعاملپذیری دولت الکترونیک از پیگیری این موضوع و تذکر به دستگاههای خاطی خبر داد.
نشت اطلاعات شناسنامهای کاربران ایرانی از طریق یک بات
باقریاصل: کارگروه تعاملپذیری دولت الکترونیک پیگیری میکند
خبرگزاری مهر , 15 فروردين 1399 ساعت 8:50
در پی نشت اطلاعات شناسنامهای ۸۰ میلیون کاربر ایرانی از طریق سرورهای سازمان ثبت احوال، رئیس کارگروه تعاملپذیری دولت الکترونیک از پیگیری این موضوع و تذکر به دستگاههای خاطی خبر داد.
در پی نشت اطلاعات شناسنامهای ۸۰ میلیون کاربر ایرانی از طریق سرورهای سازمان ثبت احوال، رئیس کارگروه تعاملپذیری دولت الکترونیک از پیگیری این موضوع و تذکر به دستگاههای خاطی خبر داد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در ادامه افشای اطلاعات کاربران فضای مجازی طی روزهای اخیر که مربوط به لو رفتن اطلاعات کاربران نسخه غیررسمی اپلیکیشن تلگرام و سیباپ، بازار ایرانی نرمافزارهای آیفون، میشد، شب گذشته نیز یک ربات تلگرامی، اطلاعات شناسنامهای ۸۰ میلیون ایرانی را از طریق درج کد ملی هر شخص در اختیار کاربران قرار دادهاست.
اگرچه این بات تلگرامی هماکنون غیرفعال و از دسترس خارج شدهاست، اما شواهد نشان میدهد که این درز اطلاعات از طریق سرورهای سازمان ثبت احوال و اشتراکگذاری اطلاعات با وزارت بهداشت صورت گرفتهاست.
این ربات با استعلام کد ملی هر شخص، اطلاعات کامل شناسنامهای وی را اعلام کرده و مدعی شده که این اطلاعات را بهطور مستقیم از دیتابیس سازمان ثبت احوال استخراج میکند و حتی این باگ را پیش از این نیز به صورت کتبی و شفاهی به مرکز افتا گزارش دادهاست.
این درحالی است که مطابق مصوبه ۵۴ شورای عالی فضای مجازی (آذرماه سال ۹۷)، نحوه دسترسی به استعلامات دادههای الکترونیک دستگاههای دولتی و نیز تعیین مدل پیادهسازی تبادل اطلاعات و استعلام الکترونیکی بین دستگاهی، از وظایف و اختیارات کارگروه تعاملپذیری دولت الکترونیکی است. در این راستا رضا باقری اصل، رئیس کارگروه تعاملپذیری دولت الکترونیک، در خصوص اقداماتی که این کارگروه در پی درز اطلاعات کاربران ایرانی در دست انجام دارد، گفت: جزییات اینکه این اطلاعات از طریق ثبت احوال و دستگاهی که این اطلاعات را گرفته، چگونه و به چه نحوی منتقل و جابهجا شدهاست در دسترس نیست. به همین دلیل اطلاعات فعلی ما غیررسمی بوده و پیگیری به عمل آمده از سازمان ثبت احوال نیز هنوز به نتیجه نرسیدهاست.
رئیس کارگروه تعامل پذیری دولت الکترونیک خاطرنشان کرد: هیچ درخواستی از وزارت بهداشت و سازمان ثبت احوال به کارگروه تعاملپذیری دولت الکترونیک جهت تبادل اطلاعات، مطرح نشدهاست. این درحالی است که پیش از عید نوروز و با توجه به شرایط کرونا با مسئولان دو دستگاه صحبت کرده و آمادگی خود را برای نیازمندی تبادل اطلاعات این دستگاهها در مباحث بحران کرونا اعلام کردیم؛ حتی پیشنهاد برگزاری جلسه فوقالعاده کارگروه تعامل ذیری دولت الکترونیک را دادیم.
باقری اصل تاکید کرد: تکالیف هر دستگاه مطابق مصوبه کارگروه تعاملپذیری دولت الکترونیکی (مصوبه ۵۴ شورای عالی فضای مجازی) مشخص است. به این معنی که دستگاهها برای تبادل داده، یکسری اختیارات ذاتی دارند که میتوانند از آنها استفاده کنند و یا میتوانند از مشورتها، تجارب و زیرساختهایی که در کارگروه تعامل پذیری دولت الکترونیک طرح میشود، استفاده کند.
وی گفت: در موضوع افشای اطلاعات شناسنامهای کاربران، اطلاعات فنی دقیقی از اینکه این حجم از دیتا از طریق مرکز ملی تبادل اطلاعات (NIX ) تبادل شده و یا اینکه دستگاه دریافتکننده اطلاعات به اشتباه اطلاعاتی را در بستر اینترنت بارگذاری کردهاست در دست ما نیست.
دبیر شورای اجرایی فناوری اطلاعات ادامه داد: اما از نظر جزییات مقرراتی نیز، ما درخواستی در این خصوص دریافت نکردیم؛ به این معنی که مجوز اشتراکگذاری اطلاعات میان وزارت بهداشت و ثبت احوال از کارگروه تعاملپذیری اخذ نشدهاست؛ چنانچه اگر درخواستی از این بابت دریافت میشد حتماً ملاحظات امنیتی و ملاحظات کسبوکار و ریسکهای انجام تبادل اطلاعات میان دو دستگاه را گوشزد کرده و حداقل در این مسیر همراه با این دستگاهها پذیرش مسئولیت میکردیم.
وی با بیان اینکه گذر اطلاعات دستگاهها از مرکز ملی تبادل اطلاعات (NIX ) اجباری است، افزود: جزییات اتفاق فوق روز شنبه و از طریق ارسال نامه کتبی به وزارت بهداشت و سازمان ثبت احوال پیگیری میشود و سهلانگاری احتمالی را گوشزد میکنیم که تا از این پس، مسیر تبادل اطلاعات میان دستگاهها از طریق اتصال NIX صورت گیرد و ریسک تهدیدات امنیتی پایین بیاید. در اتفاق صورت گرفته ظاهراً یکی از سامانههای وزارت بهداشت که در شرایط بحران کرونا راهاندازی شده از دیتای ثبت احوال استفاده میکرده که این اطلاعات لو رفتهاست. با این وجود اما هنوز مشخص نشده که این دیتا از چه مسیری گذر کرده است. یعنی مشخص نیست که اتصال به صورت برخط (آنلاین) بوده و یا اینکه از پایگاه اطلاعاتی جابهجا شدهاست. تنها چیزی که میدانیم این است که دیتای ربات تلگرامی موثق است. اینکه اطلاعات از سرویسهای سازمان ثبت احوال نشت کرده، لزوماً به معنای این نیست که ثبت احوال مقصر این ماجرا است. اما این موضوع باید با حضور نمایندگان وزارت بهداشت و سازمان ثبت احوال در کارگروه تعاملپذیری دولت الکترونیک که نمایندگان سه قوه در آن حضور دارند، پیگیری شود.
دبیر شورای اجرایی فناوری اطلاعات با اشاره به «مصوبه SLA کارگروه تعامل پذیری دولت الکترونیک» در خصوص نحوه اتصال دستگاههای دولتی به مرکز ملی تبادل اطلاعات و شرایط اشتراکگذاری اطلاعات بین دستگاهی، گفت: در این مصوبه مشخص شده که چگونه تبادل اطلاعات صورت گیرد و ضوابط پیوست امنیتی نیز ازجمله الزامات این مصوبه است؛ بنابراین اگر وزارت بهداشت و سازمان ثبت احوال این مصوبه را رعایت نکردهباشند و اطلاعات بین دستگاهی را به صورت مستقیم تبادل کردهباشند، خلاف مصوبه شورای عالی فضای مجازی عمل کرده و پس از بررسی در مورد آن تصمیمگیری خواهدشد.
کد مطلب: 16486