اطلاعات ۸۰ میلیون ایرانی از سرورهای سازمان ثبت احوال فاش شد
اخباری در شبکههای اجتماعی دستبهدست میشود که نشان میدهد ازطریق رباتی میتوان کد ملی هر فرد ایرانی را استعلام و به آن دسترسی پیدا کرد. همچنین گفته میشود که ربات، اطلاعات را مستقیما از سرورهای ثبت احوال دریافت میکند. تیم امنیتی پشتیبان این بات نیز اعلام کرده است که پیشاز این موضوع را، هم بهصورت کتبی و هم بهصورت شفاهی با سازمان افتا مطرح کرده است اما این سازمان در پاسخ به ادعای آنها گفته است «هیچکاری نمیتوانید بکنید».
ماجرا از این قرار است که شب گذشته یک بات تلگرامی مدعی شد که توانسته با دسترسی مستقیم به سرورهای ثبت احوال اطلاعات کاربران مانند نام، نام خانوادگی، شماره ملی و نام پدر را در اختیار درخواستکنندگان مختلف بگذارد.
طبق ادعای صاحبان ربات، این اطلاعات مستقیم از دیتابیسهای ثبت احوال استخراج شده و به کاربران نشان داده میشود؛ بهعبارتی اطلاعات ۸۰ میلیون ایرانی با مشخصات کامل شناسنامهای قابل استخراج است و حتی امکان دسترسی به اطلاعات افراد متولدشده در روز نیز وجود دارد. بررسیها نشان میدهد که دلیل درز اطلاعات از سرورهای ثبت احوال اشتراکگذاری این اطلاعات، اقدامی ازسوی وزارت بهداشت بوده است، در حالیکه مجوزهای لازم برای اشتراکگذاری اطلاعات میان این دو نهاد از کارگروه تعاملپذیری اخذ نشده؛ همچنین پروتکلهای امنیتی لازم برای اشتراکگذاری دادهها که پیش از این از سوی کارگروه تعاملپذیری تدوین شده در این اشتراکگذاری رعایت نشده است. درحالحاضر این بات غیرفعال شده است و با ارسال پیام به آن، پشتیبان تیم پاسخ میدهد که تیم، فردا ربات را آزاد میکند.
سیفالله ابوترابی، سخنگوی سازمان ثبت احوال کشور توضیحاتی را دراینزمینه ارائه داده است. او از توقف دسترسی عمومی به پایگاه اطلاعاتی این سازمان از نیمهشب گذشته (۱۴ فروردین) خبر داده و اعلام کرده که این یک اشتباه غیرعمدی بوده که توسط وزارت بهداشت صورت گرفته است.
براساس توضیحات ابوترابی، دسترسی غیرمجاز تنها به اطلاعات بخش محدودی از شهروندان ایرانی بوده که حالا در امنیت کامل قرار دارد. براساس اظهارت او باتوجه به شیوع ویروس کرونا در کشور وزارت بهداشت نیاز به اطلاعات سامانهی احراز هویت ثبت احوال داشته و براساس تفاهمنامهای که آنها با این وزارتخانه داشتهاند قرار بوده تا این اطلاعات با حفظ حریم خصوصی با وزارت بهداشت به اشتراک گذاشته شود؛ اما در نهایت به دلیل یک اشتباه وزارت بهداشت، اطلاعات این سامانه در اینترنت قرار گرفته است. ابوترابی در توضیح جزییات گفت:
وزارت بهداشت مانند ۲۰۰ دستگاه دیگر با ما تفاهمنامهای امضا کرده تا بحث تبادل اطلاعات مربوط به احراز هویت در فضای مجازی را انجام دهیم. براساس این تفاهمنامه و باتوجه به شرایط حساس کشور در زمان شیوع ویروس کرونا هم اطلاعات سامانه ثبتاحوال طبق پروتکلهای امنیتی لازم با وزارت بهداشت به اشتراک گذاشته شد؛ اما متأسفانه بهنظر میرسد یک اشتباه غیر عمد که میتواند حاصل فشارهای این روزها باشد، باعث شده که این وزارتخانه اطلاعات را در اینترنت قرار دهد.
بهگفتهی ابوترابی، سامانهی ثبت احوال از نظر امنیتی از بالاترین پروتکلهای حفاظتی استفاده میکند و آنها بعد از اینکه متوجه افزایش عجیب استعلام از سامانهی خود شدهاند، شروع به بررسی کرده و بعد ازاینکه متوجه مشکل شدهاند جلوی دسترسیها را گرفتهاند. او همچنین تأکید کرد که هیچ اطلاعاتی از کاربران روی این سامانه درز پیدا نکرده است.
این ادعای ابوترابی درحالی است که گزارشهای مختلف برخی کاربران در شبکههای اجتماعی همراهبا عکسهای منتشر شده دراینزمینه نشان میدهد باتی که بهصورت مستقیم به سامانهی ثبت احوال متصل شده، توانسته اطلاعاتی مانند نام، نام خانوادگی، شمارهی ملی و نام پدر را در اختیار جستوجوگران در بات خود بگذارد.
این اولین باری نیست که در روزهای اخیر خبر انتشار اطلاعات کاربران ایرانی در شبکههای اجتماعی منتشر میشود. اولین خبر مربوط به درز اطلاعات بیش از ۴۲ میلیون کاربر ایرانی بود که از نسخهی غیررسمی تلگرام استفاده میکردند. پس از آن فروشگاه اپلیکیشن سیب اپ با انتشار بیانیهای تأیید کرد اطلاعات ۵ میلیون از کاربران این اپلیکیشن فاش شده است و همچنین اعلام کرد که این اتفاق به دلیل پیکرهبندی اشتباه فایروال روی یکی از ابزارهای سرچ مورداستفاده توسط کاربران رخ داده است.