راه پرداخت
راه پرداخت؛ رسانه فناوری‌های مالی ایران

حفره امنیتی در سامانه رفاهی

اخیرا مدیرعامل سازمان هدفمندی یارانه‌ها در مصاحبه‌ای تلویزیونی اعلام کرد که سایت «رفاهی دات‌آی‌آر»که مرجع ثبت اطلاعات خانوارها در قانون هدفمندی یارانه‌هاست بسیار قوی و ایمن است و این سایت توسط دانشمندان ایرانی طراحی شده است و امکان اشتباه نرم‌افزاری در آن وجود ندارد.

این سایت همچنین مرجع ثبت درخواست انصراف از دریافت یارانه توسط افراد نیز به‌شمار می‌رود اما با نگاهی به وضعیت این سایت، مشاهده می‌شود که حفره وحشتناکی در آن وجود دارد که از نظر سطح خطای امنیتی در حد فاجعه ملی تلقی می‌شود؛ به این ترتیب که برای ورود به این سایت و اعلام شماره حساب یا اعلام اطلاعات یارانه پرداختی یا انصراف از یارانه تنها از شما شماره ملی تقاضا می‌کند و گزینه شماره سریال شناسنامه، کاملا صوری است و هر عددی را وارد کنید از شما می‌پذیرد! به این ترتیب هر فردی با دانستن شماره ملی فردی دیگر می‌تواند به پانل اختصاصی خانوارها در سامانه رفاهی دستیابی پیدا کند.

اطلاع از شماره ملی افراد کار چندان پیچیده‌ای نیست، اولا در ده‌ها سازمان و نهاد، اطلاعات سجلی افراد و از جمله کد ملی ثبت شده است و به همین دلیل هم ابتدای ثبت نام خانوارها برای اعلام شماره حساب، برخی از بانک‌ها با استفاده از شماره ملی مشتریان خود، وارد سامانه شده و شماره حساب‌های خود را اعلام کردند! ثانیا با یک جست‌وجوی ساده اینترنتی می‌توان هزاران فایل حاوی شماره ملی افراد را به دست آورد؛ شماره‌هایی که به دلایل مختلف در اختیار شرکت‌ها یا نهادها قرار داده شده و اکنون از اینترنت سر درآورده است.

خبرنگار همشهری برای آزمایش ورود به این سامانه، چندین شماره ملی سرچ شده از اینترنت را وارد سامانه رفاهی کرد و با کمال تعجب اطلاعات شخصی افراد روی این سامانه به راحتی مشاهده شد. آیا این است حاصل یک طراحی موفق در راه‌اندازی سایتی به این درجه از اهمیت؟ چرا دولت قادر به حفظ اطلاعات محرمانه مردم نیست و به این سادگی اطلاعات حساب‌های یارانه‌ای آنها را در معرض دسترسی سایرین قرار داده است؟ با اینکه این حفره امنیتی از ماه‌ها پیش مشخص بوده، ظاهرا هیچ تلاشی برای رفع آن انجام نشده است و تنها یک تدبیر کم فایده برای بخش انصراف از یارانه اندیشیده شده که تایید نهایی انصراف را منوط به درج کدی کرده است که بعد از انصراف اینترنتی پیامک می‌شود؛ این تدبیر نیز درصورت دسترسی غیرمجاز افراد به تلفن همراه فرد مورد نظر خنثی می‌شود.

ظاهرا اساس این مشکل از آنجا نشأت گرفته که طراحان سایت قائل به پیش‌بینی رمز ورود قابل تعریف توسط کاربران نبوده‌اند و به‌طور پیش‌فرض رمز ورود را شماره سریال شناسنامه افراد تعریف کرده‌اند اما بعدا به‌دلیل عدم‌دسترسی احتمالی به کل شماره سریال‌های شناسنامه‌های سرپرستان خانوارها، این گزینه به‌صورت صوری تعریف شده و درج هر عددی پذیرفته شده است.

پیشنهاد این است که مانند سامانه بانکداری الکترونیک تمام بانک‌های کشور که تعداد مشتریان آنها قطعا از تعداد سرپرستان خانوار بیشتر است، تعریف رمز عبور برای ورود به سامانه برعهده خود سرپرستان خانوار گذاشته شود تا امنیت اطلاعات شخصی افراد حفظ و از دسترسی‌های غیرمجاز یا اختلال‌های احتمالی جلوگیری شود.

حفره امنیتی مذکور از نظر سطح امنیتی حتی توسط هکرهای آماتور نیز قابل شناسایی و رسوخ است و وجود آن در چنین سایتی با گستره ملی باعث حیرت و تعجب فعالان حوزه امنیت سایبری است.

حمید ضیایی‌پرور

روزنامه همشهری

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.