حفره امنیتی در سایت دولتی متعلق به وزارت صنعت، اطلاعات مردم را به خطر انداخت.
به گزارش سرویس فضای مجازی خبرگزاری صداوسیما؛ به تازگی یک توسعه دهنده وب از وجود یک حفره امنیتی مهم در سامانه عمومی یک وزارتخانه خبر داد که دسترسی به اطلاعات هویتی تمامی شهروندان ایرانی را ممکن میکرد.
در روزهای اخیر شخصی به نام حسن ابیات توسعهدهنده وب، در صفحه توییتر خود با انتشار سندی اعلام کرد: یکی از زیرپورتالهای وزارت صنعت، معدن و تجارت دارای حفره امنیتی است که به راحتی اطلاعات هویتی تمام ایرانیها را در دسترس سارقان قرار میدهد.
وی برای اینکه از این سایت سوءاستفاده نشود آدرس آن را منتشر نکرده است.
این فرد اعلام میکند سایت مذکور به اطلاعات ثبت احوال دسترسی (API) داشته و یک فرد متخصص با دانستن الگوی کارت ملی و با برنامهنویسی یک نرم افزار ساده میتواند در کمتر از ۳۰ دقیقه به تمامی اطلاعات هویتی تمام ایرانیان دسترسی پیدا کند.
وی همچنین برای اثبات حرفهای خود مشخصات هویتی رئیس جمهور سابق (محمود احمدی نژاد) را پیدا کرده و تصویری از کدهای آن را در صفحه اجتماعی خود منتشر کرده است.
حفره امنیتی در سایت دولتی برطرف شد
سجاد بنابی، دستیار وزیر ارتباطات و فناوری اطلاعات در امور جوانان در خصوص آسیب پذیری در سایت دولتی متعلق به وزارت صنعت عنوان کرد پس از اینکه از این موضوع مطلع شدیم، مرکز ماهر با این توسعهدهنده وب ارتباط برقرار کرده و از او خواستیم تا اطلاعات دقیقتری به ما ارائه کند. همچنین به صورت شبانه مسئولان حوزه IT وزارت صنعت را از این خبر آگاه کردیم و آنها نیز تمامی سامانههای وزارت صنعت را که به API فعال اطلاعات ثبت احوال مجهز بودهاند، مورد بررسی قرار داده و پس از تهیه لیستی از تمامی سایتها، این سایتها به تیمهای تخصصی مرکز ماهر جهت بررسیهای امنیتی ارجاع داده شدند. در نهایت صبح دیروز یک حفره امنیتی در سامانه آمار وزارت صنعت، معدن و تجارت شناسایی شد و به آن وزارتخانه اطلاعرسانی کردیم. در حال حاضر نیز سامانه مورد نظر غیر فعال است. بدون شک حسن نیت فرد انتشاردهنده این موضوع و ارسال اطلاعات دقیق به مرکز ماهر، موجب تسریع در شناساسی و حل این مشکل شد. اگر این سامانهها از امکانات مرکز ملی تبادل اطلاعات و قواعد ملی سازمان فناوری اطلاعات بهرهمند میشدند، این حفره امنیتی نیز به وجود نمیآمد.
دیدگاه رئیس سازمان فناوری اطلاعات
امیر ناظمی، رئیس سازمان فناوری اطلاعات ایران در خصوص این موضوع اظهار کرد از اتفاقی که رخ داده است میتوانیم در چهار زمینه درس بگیرم؛
خبر کشف حفره امنیتی در سایت دولتی به چند روز پیش مربوط میشود که در فضای مجازی نیز دست به دست شد و پس از اینکه مسئولان از این موضوع مطلع شدند، بلافاصله مشکل مذکور را برطرف کردند. البته هنوز وزیر صنعت، معدن و تجارت درباره این خبر اظهارنظری نکرده است. پیشتر در سامانه ثبتارش وزارت صنعت (سایت ثبت سفارش خودرو) مشکلاتی مبنی بر هک یا دستکاری عمدی رسانهای شد که عملکرد این سامانههای الکترونیکی را مختل کرده بود؛ بنابراین به نظر میرسد این وزارتخانه باید فکری به حال امنیت سامانههای زیرنظر خود کند.