به گزارش خبرنگار مهر، در ادامه افشای اطلاعات کاربران فضای مجازی طی روزهای اخیر که مربوط به لو رفتن اطلاعات کاربران نسخه غیررسمی اپلیکیشن تلگرام و یکی از بازارهای ایرانی نرم افزارهای آیفون می شد، شب گذشته نیز یک ربات تلگرامی، اطلاعات شناسنامه ای ۸۰ میلیون ایرانی را از طریق درج کد ملی هر شخص، در اختیار کاربران قرار داده است.
اگرچه این بات تلگرامی هم اکنون غیرفعال و از دسترس خارج شده است اما شواهد نشان می دهد که این درز اطلاعات از طریق سرورهای سازمان ثبت احوال و اشتراک گذاری اطلاعات با وزارت بهداشت صورت گرفته است.
این ربات با استعلام کد ملی هر شخص، اطلاعات کامل شناسنامه ای وی را اعلام کرده و مدعی شده که این اطلاعات را به طور مستقیم از دیتابیس سازمان ثبت احوال استخراج می کند و حتی این باگ را پیش از این نیز به صورت کتبی و شفاهی به مرکز افتا گزارش داده است.
این درحالی است که مطابق مصوبه ۵۴ شورای عالی فضای مجازی ( آذرماه سال ۹۷)، نحوه دسترسی به استعلامات داده های الکترونیک دستگاههای دولتی و نیز تعیین مدل پیاده سازی تبادل اطلاعات و استعلام الکترونیکی بین دستگاهی، از وظایف و اختیارات کارگروه تعامل پذیری دولت الکترونیکی است.
در این راستا رضا باقری اصل رئیس کارگروه تعامل پذیری دولت الکترونیک در گفتگو با خبرنگار مهر، در خصوص اقداماتی که این کارگروه در پی درز اطلاعات کاربران ایرانی در دست انجام دارد، توضیح داد.
وی گفت: جزئیات اینکه این اطلاعات از طریق ثبت احوال و دستگاهی که این اطلاعات را گرفته، چگونه و به چه نحوی منتقل و جابهجا شده است در دسترس نیست. به همین دلیل اطلاعات فعلی ما غیررسمی بوده و پیگیری به عمل آمده از سازمان ثبت احوال نیز هنوز به نتیجه نرسیده است.
رئیس کارگروه تعامل پذیری دولت الکترونیک خاطرنشان کرد: هیچ درخواستی از وزارت بهداشت و سازمان ثبت احوال به کارگروه تعامل پذیری دولت الکترونیک جهت تبادل اطلاعات، مطرح نشده است. این درحالی است که پیش از عید نوروز و با توجه به شرایط کرونا با مسئولان دو دستگاه صحبت کرده و آمادگی خود را برای نیازمندی تبادل اطلاعات این دستگاه ها در مباحث بحران کرونا اعلام کردیم؛ حتی پیشنهاد برگزاری جلسه فوقالعاده کارگروه تعامل پذیری دولت الکترونیک را دادیم.
باقری اصل تاکید کرد: تکالیف هر دستگاه مطابق مصوبه کارگروه تعامل پذیری دولت الکترونیکی (مصوبه ۵۴ شورای عالی فضای مجازی) مشخص است. به این معنی که دستگاهها برای تبادل داده یکسری اختیارات ذاتی دارند که میتوانند از آنها استفاده کنند و یا می توانند از مشورتها، تجارب و زیرساخت هایی که در کارگروه تعامل پذیری دولت الکترونیک طرح می شود، استفاده کند.
وی گفت: در موضوع افشای اطلاعات شناسنامه ای کاربران، اطلاعات فنی دقیقی از اینکه این حجم از دیتا از طریق مرکز ملی تبادل اطلاعات (NIX ) تبادل شده و یا اینکه دستگاه دریافت کننده اطلاعات، به اشتباه اطلاعاتی را در بستر اینترنت بارگذاری کرده است، در دست ما نیست.
دبیر شورای اجرایی فناوری اطلاعات ادامه داد: اما از نظر جزئیات مقرراتی نیز، ما درخواستی در این خصوص دریافت نکردیم؛ به این معنی که مجوز اشتراک گذاری اطلاعات میان وزارت بهداشت و ثبت احوال از کارگروه تعامل پذیری اخذ نشده است؛ چنانچه اگر درخواستی از این بابت دریافت می شد حتماً ملاحظات امنیتی و ملاحظات کسب و کار و ریسک های انجام تبادل اطلاعات میان دو دستگاه را گوشزد کرده و حداقل در این مسیر همراه با این دستگاهها پذیرش مسئولیت میکردیم.
وی با بیان اینکه گذر اطلاعات دستگاهها از مرکز ملی تبادل اطلاعات (NIX ) اجباری است، افزود: جزئیات اتفاق فوق روز شنبه و از طریق ارسال نامه کتبی به وزارت بهداشت و سازمان ثبت احوال پیگیری می شود و سهل انگاری احتمالی را گوشزد می کنیم که تا از این پس، مسیر تبادل اطلاعات میان دستگاهها از طریق اتصال NIX صورت گیرد و ریسک تهدیدات امنیتی پایین بیاید.
باقری اصل گفت: در اتفاق صورت گرفته ظاهراً یکی از سامانههای وزارت بهداشت که در شرایط بحران کرونا راهاندازی شده، از دیتای ثبت احوال استفاده می کرده که این اطلاعات لو رفته است. با این وجود اما هنوز مشخص نشده که این دیتا از چه مسیری گذر کرده است. یعنی مشخص نیست که اتصال به صورت برخط (آنلاین) بوده و یا اینکه از پایگاه اطلاعاتی جابجا شده است. تنها چیزی که می دانیم این است که دیتای ربات تلگرامی موثق است.
رئیس کارگروه تعامل پذیری دولت الکترونیک خاطرنشان کرد: اینکه اطلاعات از سرویسهای سازمان ثبت احوال نشت کرده ، لزوماً به معنای این نیست که ثبت احوال مقصر این ماجرا است. اما این موضوع باید با حضور نمایندگان وزارت بهداشت و سازمان ثبت احوال در کارگروه تعامل پذیری دولت الکترونیک که نمایندگان ۳ قوه در آن حضور دارند، پیگیری شود.
دبیر شورای اجرایی فناوری اطلاعات با اشاره به « مصوبه SLA کارگروه تعامل پذیری دولت الکترونیک» در خصوص نحوه اتصال دستگاههای دولتی به مرکز ملی تبادل اطلاعات و شرایط اشتراک گذاری اطلاعات بین دستگاهی، گفت: در این مصوبه مشخص شده که چگونه تبادل اطلاعات صورت گیرد و ضوابط پیوست امنیتی نیز از جمله الزامات این مصوبه است؛ بنابراین اگر وزارت بهداشت و سازمان ثبت احوال این مصوبه را رعایت نکرده باشند و اطلاعات بین دستگاهی را به صورت مستقیم تبادل کرده باشند، خلاف مصوبه شورای عالی فضای مجازی عمل کرده و پس از بررسی در مورد آن تصمیم گیری خواهد شد.