پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
اخیرا مدیرعامل سازمان هدفمندی یارانهها در مصاحبهای تلویزیونی اعلام کرد که سایت «رفاهی داتآیآر»که مرجع ثبت اطلاعات خانوارها در قانون هدفمندی یارانههاست بسیار قوی و ایمن است و این سایت توسط دانشمندان ایرانی طراحی شده است و امکان اشتباه نرمافزاری در آن وجود ندارد.
این سایت همچنین مرجع ثبت درخواست انصراف از دریافت یارانه توسط افراد نیز بهشمار میرود اما با نگاهی به وضعیت این سایت، مشاهده میشود که حفره وحشتناکی در آن وجود دارد که از نظر سطح خطای امنیتی در حد فاجعه ملی تلقی میشود؛ به این ترتیب که برای ورود به این سایت و اعلام شماره حساب یا اعلام اطلاعات یارانه پرداختی یا انصراف از یارانه تنها از شما شماره ملی تقاضا میکند و گزینه شماره سریال شناسنامه، کاملا صوری است و هر عددی را وارد کنید از شما میپذیرد! به این ترتیب هر فردی با دانستن شماره ملی فردی دیگر میتواند به پانل اختصاصی خانوارها در سامانه رفاهی دستیابی پیدا کند.
اطلاع از شماره ملی افراد کار چندان پیچیدهای نیست، اولا در دهها سازمان و نهاد، اطلاعات سجلی افراد و از جمله کد ملی ثبت شده است و به همین دلیل هم ابتدای ثبت نام خانوارها برای اعلام شماره حساب، برخی از بانکها با استفاده از شماره ملی مشتریان خود، وارد سامانه شده و شماره حسابهای خود را اعلام کردند! ثانیا با یک جستوجوی ساده اینترنتی میتوان هزاران فایل حاوی شماره ملی افراد را به دست آورد؛ شمارههایی که به دلایل مختلف در اختیار شرکتها یا نهادها قرار داده شده و اکنون از اینترنت سر درآورده است.
خبرنگار همشهری برای آزمایش ورود به این سامانه، چندین شماره ملی سرچ شده از اینترنت را وارد سامانه رفاهی کرد و با کمال تعجب اطلاعات شخصی افراد روی این سامانه به راحتی مشاهده شد. آیا این است حاصل یک طراحی موفق در راهاندازی سایتی به این درجه از اهمیت؟ چرا دولت قادر به حفظ اطلاعات محرمانه مردم نیست و به این سادگی اطلاعات حسابهای یارانهای آنها را در معرض دسترسی سایرین قرار داده است؟ با اینکه این حفره امنیتی از ماهها پیش مشخص بوده، ظاهرا هیچ تلاشی برای رفع آن انجام نشده است و تنها یک تدبیر کم فایده برای بخش انصراف از یارانه اندیشیده شده که تایید نهایی انصراف را منوط به درج کدی کرده است که بعد از انصراف اینترنتی پیامک میشود؛ این تدبیر نیز درصورت دسترسی غیرمجاز افراد به تلفن همراه فرد مورد نظر خنثی میشود.
ظاهرا اساس این مشکل از آنجا نشأت گرفته که طراحان سایت قائل به پیشبینی رمز ورود قابل تعریف توسط کاربران نبودهاند و بهطور پیشفرض رمز ورود را شماره سریال شناسنامه افراد تعریف کردهاند اما بعدا بهدلیل عدمدسترسی احتمالی به کل شماره سریالهای شناسنامههای سرپرستان خانوارها، این گزینه بهصورت صوری تعریف شده و درج هر عددی پذیرفته شده است.
پیشنهاد این است که مانند سامانه بانکداری الکترونیک تمام بانکهای کشور که تعداد مشتریان آنها قطعا از تعداد سرپرستان خانوار بیشتر است، تعریف رمز عبور برای ورود به سامانه برعهده خود سرپرستان خانوار گذاشته شود تا امنیت اطلاعات شخصی افراد حفظ و از دسترسیهای غیرمجاز یا اختلالهای احتمالی جلوگیری شود.
حفره امنیتی مذکور از نظر سطح امنیتی حتی توسط هکرهای آماتور نیز قابل شناسایی و رسوخ است و وجود آن در چنین سایتی با گستره ملی باعث حیرت و تعجب فعالان حوزه امنیت سایبری است.
حمید ضیاییپرور
روزنامه همشهری