اطلاعات ۸۰ میلیون ایرانی از سرورهای سازمان ثبت احوال فاش شد

اخباری در شبکه‌های اجتماعی دست‌به‌دست می‌شود که نشان می‌دهد ازطریق رباتی می‌توان کد ملی هر فرد ایرانی را استعلام و به آن دسترسی پیدا کرد. همچنین گفته می‌شود که ربات، اطلاعات را مستقیما از سرورهای ثبت احوال دریافت می‌کند. تیم امنیتی پشتیبان این بات نیز اعلام کرده است که پیش‌از این موضوع را، هم به‌صورت کتبی و هم به‌صورت شفاهی با سازمان افتا مطرح کرده است اما این سازمان در پاسخ به ادعای آن‌ها گفته است «هیچ‌کاری نمی‌توانید بکنید». 

ماجرا از این قرار است که شب گذشته یک بات تلگرامی مدعی شد که توانسته با دسترسی مستقیم به سرورهای ثبت احوال اطلاعات کاربران مانند نام، نام خانوادگی، شماره ملی و نام پدر را در اختیار درخواست‌کنندگان مختلف بگذارد.

طبق ادعای صاحبان ربات، این اطلاعات مستقیم از دیتابیس‌های ثبت احوال استخراج شده و به کاربران نشان داده می‌شود؛ به‌عبارتی اطلاعات ۸۰ میلیون ایرانی با مشخصات کامل شناسنامه‌ای قابل استخراج است و حتی امکان دسترسی به اطلاعات افراد متولدشده در روز نیز وجود دارد. بررسی‌ها نشان می‌دهد که دلیل درز اطلاعات از سرورهای ثبت احوال اشتراک‌گذاری این اطلاعات، اقدامی ازسوی وزارت بهداشت بوده است، در حالی‌که مجوزهای لازم برای اشتراک‌گذاری اطلاعات میان این دو نهاد از کارگروه تعامل‌پذیری اخذ نشده؛ همچنین پروتکل‌های امنیتی لازم برای اشتراک‌گذاری داده‌ها که پیش از این از سوی کارگروه تعامل‌پذیری تدوین شده در این اشتراک‌گذاری رعایت نشده است. درحال‌حاضر این بات غیرفعال شده است و با ارسال پیام به آن، پشتیبان تیم پاسخ می‌دهد که تیم، فردا ربات را آزاد می‌کند.

براساس توضیحات ابوترابی، دسترسی غیرمجاز تنها به اطلاعات بخش محدودی از شهروندان ایرانی بوده که حالا در امنیت کامل قرار دارد. براساس اظهارت او باتوجه به شیوع ویروس کرونا در کشور وزارت بهداشت نیاز به اطلاعات سامانه‌ی احراز هویت ثبت احوال داشته و براساس تفاهم‌نامه‌ای که آن‌ها با این وزارت‌خانه داشته‌اند قرار بوده تا این اطلاعات با حفظ حریم خصوصی با وزارت بهداشت به اشتراک‌ گذاشته شود؛ اما در نهایت به دلیل یک اشتباه وزارت بهداشت، اطلاعات این سامانه در اینترنت قرار گرفته است. ابوترابی در توضیح جزییات گفت:

وزارت بهداشت مانند ۲۰۰ دستگاه دیگر با ما تفاهم‌نامه‌ای امضا کرده تا بحث تبادل اطلاعات مربوط به احراز هویت در فضای مجازی را انجام دهیم. براساس این تفاهم‌نامه و باتوجه به شرایط حساس کشور در زمان شیوع ویروس کرونا هم اطلاعات سامانه ثبت‌احوال طبق پروتکل‌های امنیتی لازم با وزارت بهداشت به اشتراک گذاشته شد؛ اما متأسفانه به‌نظر می‌رسد یک اشتباه غیر عمد که می‌تواند حاصل فشارهای این‌ روزها باشد، باعث شده که این وزارت‌خانه اطلاعات را در اینترنت قرار دهد.

به‌گفته‌ی ابوترابی، سامانه‌ی ثبت احوال از نظر امنیتی از بالاترین پروتکل‌های حفاظتی استفاده می‌کند و آن‌ها بعد از اینکه متوجه افزایش عجیب استعلام از سامانه‌ی خود شده‌اند، شروع به بررسی کرده و بعد ازاینکه متوجه مشکل شده‌اند جلوی دسترسی‌ها را گرفته‌اند. او همچنین تأکید کرد که هیچ اطلاعاتی از کاربران روی این سامانه درز پیدا نکرده است.

این ادعای ابوترابی درحالی است که گزارش‌های مختلف برخی کاربران در شبکه‌های اجتماعی همراه‌با عکس‌های منتشر شده دراین‌زمینه نشان می‌دهد باتی که به‌صورت مستقیم به سامانه‌ی ثبت احوال متصل شده، توانسته اطلاعاتی مانند نام، نام خانوادگی، شماره‌ی ملی و نام پدر را در اختیار جست‌وجوگران در بات خود بگذارد.

این اولین باری نیست که در روزهای اخیر خبر انتشار اطلاعات کاربران ایرانی در شبکه‌های اجتماعی منتشر می‌شود. اولین خبر مربوط به درز اطلاعات بیش از ۴۲ میلیون کاربر ایرانی بود که از نسخه‌ی غیررسمی تلگرام استفاده می‌کردند. پس از آن فروشگاه اپلیکیشن سیب اپ با انتشار بیانیه‌ای تأیید کرد اطلاعات ۵ میلیون از کاربران این اپلیکیشن فاش شده است و همچنین اعلام کرد که این اتفاق به دلیل پیکره‌بندی اشتباه فایروال روی یکی از ابزارهای سرچ مورداستفاده توسط کاربران رخ داده است.