درز اطلاعات کاربران ایرانی در کارگروه تعامل پذیری پیگیری می گردد - وبلاگ دخترانه ها

به گزارش وبلاگ دخترانه ها، در ادامه افشای اطلاعات کاربران فضای مجازی طی روزهای اخیر که مربوط به لو رفتن اطلاعات کاربران نسخه غیررسمی اپلیکیشن تلگرام و یکی از بازارهای ایرانی نرم افزارهای آیفون می شد، شب گذشته نیز یک ربات تلگرامی، اطلاعات شناسنامه ای 80 میلیون ایرانی را به وسیله درج کد ملی هر شخص، در اختیار کاربران قرار داده است.

اگرچه این بات تلگرامی هم اکنون غیرفعال و از دسترس خارج شده است اما شواهد نشان می دهد که این درز اطلاعات به وسیله سرورهای سازمان ثبت احوال و اشتراک گذاری اطلاعات با وزارت بهداشت اجرا شده است.

این ربات با استعلام کد ملی هر شخص، اطلاعات کامل شناسنامه ای وی را اعلام نموده و مدعی شده که این اطلاعات را به طور مستقیم از دیتابیس سازمان ثبت احوال استخراج می نماید و حتی این باگ را پیش از این نیز به صورت کتبی و شفاهی به مرکز افتا گزارش داده است.

این درحالی است که مطابق مصوبه 54 شورای عالی فضای مجازی (آذرماه سال 97)، نحوه دسترسی به استعلامات داده های الکترونیک دستگاههای دولتی و نیز معین مدل پیاده سازی تبادل اطلاعات و استعلام الکترونیکی بین دستگاهی، از وظایف و اختیارات کارگروه تعامل پذیری دولت الکترونیکی است.

در این راستا رضا باقری اصل رئیس کارگروه تعامل پذیری دولت الکترونیک در تبادل نظر با وبلاگ دخترانه ها، در خصوص اقداماتی که این کارگروه در پی درز اطلاعات کاربران ایرانی در دست انجام دارد، شرح داد.

وی گفت: جزئیات اینکه این اطلاعات به وسیله ثبت احوال و دستگاهی که این اطلاعات را گرفته، چگونه و به چه نحوی منتقل و جابه جا شده است در دسترس نیست. به همین دلیل اطلاعات فعلی ما غیررسمی بوده و پیگیری به عمل آمده از سازمان ثبت احوال نیز هنوز به نتیجه نرسیده است.

رئیس کارگروه تعامل پذیری دولت الکترونیک اظهار داشت: هیچ درخواستی از وزارت بهداشت و سازمان ثبت احوال به کارگروه تعامل پذیری دولت الکترونیک جهت تبادل اطلاعات، مطرح نشده است. این درحالی است که پیش از عید نوروز و با توجه به شرایط کرونا با مسئولان دو دستگاه صحبت نموده و آمادگی خود را برای نیازمندی تبادل اطلاعات این دستگاه ها در مباحث بحران کرونا اعلام کردیم؛ حتی پیشنهاد برگزاری جلسه فوق العاده کارگروه تعامل پذیری دولت الکترونیک را دادیم.

باقری اصل تاکید نمود: تکالیف هر دستگاه مطابق مصوبه کارگروه تعامل پذیری دولت الکترونیکی (مصوبه 54 شورای عالی فضای مجازی) معین است. به این معنی که دستگاهها برای تبادل داده یکسری اختیارات ذاتی دارند که می توانند از آنها استفاده نمایند و یا می توانند از مشورت ها، تجارب و زیرساخت هایی که در کارگروه تعامل پذیری دولت الکترونیک طرح می گردد، استفاده کند.

وی گفت: در موضوع افشای اطلاعات شناسنامه ای کاربران، اطلاعات فنی دقیقی از اینکه این حجم از دیتا به وسیله مرکز ملی تبادل اطلاعات (NIX) تبادل شده و یا اینکه دستگاه دریافت نماینده اطلاعات، به اشتباه اطلاعاتی را در بستر اینترنت بارگذاری نموده است، در دست ما نیست.

دبیر شورای اجرایی فناوری اطلاعات ادامه داد: اما از نظر جزئیات مقرراتی نیز، ما درخواستی در این خصوص دریافت نکردیم؛ به این معنی که مجوز اشتراک گذاری اطلاعات میان وزارت بهداشت و ثبت احوال از کارگروه تعامل پذیری اخذ نشده است؛ چنانچه اگر درخواستی از این بابت دریافت می شد حتماً ملاحظات امنیتی و ملاحظات کسب و کار و ریسک های انجام تبادل اطلاعات میان دو دستگاه را گوشزد نموده و حداقل در این راستا همراه با این دستگاهها پذیرش مسئولیت می کردیم.

وی با بیان اینکه گذر اطلاعات دستگاهها از مرکز ملی تبادل اطلاعات (NIX) اجباری است، اضافه کرد: جزئیات اتفاق فوق روز شنبه و به وسیله ارسال نامه کتبی به وزارت بهداشت و سازمان ثبت احوال پیگیری می گردد و سهل انگاری احتمالی را گوشزد می کنیم که تا از این پس، راستا تبادل اطلاعات میان دستگاهها به وسیله اتصال NIX صورت گیرد و ریسک تهدیدات امنیتی پایین بیاید.

باقری اصل گفت: در اتفاق اجرا شده ظاهراً یکی از سامانه های وزارت بهداشت که در شرایط بحران کرونا راه اندازی شده، از دیتای ثبت احوال استفاده می نموده که این اطلاعات لو رفته است. با این وجود اما هنوز معین نشده که این دیتا از چه راستای گذر نموده است. یعنی معین نیست که اتصال به صورت برخط (آنلاین) بوده و یا اینکه از پایگاه اطلاعاتی جابجا شده است. تنها چیزی که می دانیم این است که دیتای ربات تلگرامی موثق است.

رئیس کارگروه تعامل پذیری دولت الکترونیک اظهار داشت: اینکه اطلاعات از سرویس های سازمان ثبت احوال نشت نموده ، لزوماً به معنای این نیست که ثبت احوال مقصر این ماجرا است. اما این موضوع باید با حضور نمایندگان وزارت بهداشت و سازمان ثبت احوال در کارگروه تعامل پذیری دولت الکترونیک که نمایندگان 3 قوه در آن حضور دارند، پیگیری گردد.

دبیر شورای اجرایی فناوری اطلاعات با اشاره به مصوبه SLA کارگروه تعامل پذیری دولت الکترونیک در خصوص نحوه اتصال دستگاههای دولتی به مرکز ملی تبادل اطلاعات و شرایط اشتراک گذاری اطلاعات بین دستگاهی، گفت: در این مصوبه معین شده که چگونه تبادل اطلاعات صورت گیرد و ضوابط پیوست امنیتی نیز از جمله الزامات این مصوبه است؛ بنابراین اگر وزارت بهداشت و سازمان ثبت احوال این مصوبه را رعایت ننموده باشند و اطلاعات بین دستگاهی را به صورت مستقیم تبادل نموده باشند، خلاف مصوبه شورای عالی فضای مجازی عمل نموده و پس از آنالیز در خصوص آن تصمیم گیری خواهد شد.