https://www.linkedin.com/in/danial-farsi/
ایا نشت اطلاعاتی ۷۰ میلیون شهروند ایرانی صحت دارد؟
طبق این عکس از فروم های هکری یک هکر مدعی شده اطلاعاتی از کد ملی − نام و نام خانوادگی ۷۰ میلیون ایرانی دارد .هنوز صحت این ادعا تایید یا تکذیب نشده اما این هکر با ارايه عکس پایین مدعیست این اطلاعات واقعیست. با توجه به این دیتا های جدید و وجود ستون نام کاربری و شماره حساب میتوان مربوط به حساب ها و نرم افزار های اینترنتی و یا اطلاعاتی از بانک ها باشد و حتی گمانه زنی هایی در خصوص سامانه های ثبت احوال و یا اطلاع رسانی کرونا شک کرد که نیاز به بررسی و تایید سازمانی و سازمان افتا میباشد.
شب گذشته مبنی بر وجود یک بات تلگرامی جهت استعلام کد ملی بر آن شدیم تا بررسی هایی نسبت به این قضیه داشته باشیم.
با توجه به تصویر بالا یک بات تلگرامی با گرفتن اطلاعاتی همچون کد ملی و سال تولد داده هایی شامل : نام پدر − وضعیت حیات − تاریخ کامل تولد − نام و نام خانوادگی در اختیار کاربر میگذارد.
با توجه به اطلاعات فوق چندین سناریو مطرح است که با بررسی های بیشتر پی به وجود یک API جهت استعلام کد ملی از سوی سازمان ثبت احوال بردیم.
طبق تابع های ورودی این API مطابق تصویر بالا اطلاعات دریافتی مانند بات تلگرامی کد ملی و تاریخ تولد (بصورت کامل) میباشد(nid: کد ملی که میخواهید صحت آن را بررسی کنید و اجباری است و birthDate: تاریخ تولد صاحب این کد ملی که اجباری است، به صورت yyyy/mm/dd)
و همچنین این سرویس فقط در زمان های محدودی فعال میباشد (سرویس از ساعت ۲۰:۰۰ تا ساعت ۷:۰۰ غیر فعال است).
با توجه به تصویر موجود و همچنین بررسی های صورت گرفته میتوان گفت :
اطلاعاتی که این بات تلگرامی در اختیار کاربر میگذارد شامل ایراداتی میباشد (اشتباه در بیان وضعیت حیات و همچنین نداشتن بعضی از رنج کد ملی ها )پس قطعا دیتای موجود یا دیتای ثبت احوال و یا دیتایی بیشتر از آنچه APIختیار کاربر میگذارد میباشد.
همچنین در این بات تلگرامی پس از یک بار درخواست دادن برای کد ملی و سال تولد برای دفعات بعدی نیاز به سال تولد نمی باشد پس میتوان دریافت که این بات در حال جمع آوری همزمان داده از کاربران میباشد.
با توجه به اولین عکس درخواست ارسالی به بات در ساعت ۲ نیمه شب انجام شده است که باتوجه به عکس شماره دو این API در این ساعت غیر فعال میباشد . پس میتوان دریافت این بات تلگرامی اشراف کامل به دیتای شهروندان ایرانی دارد.
همچنین میتوان احتمال داد هکری این دیتا را جمع اوری و به فروش گذاشته باشد و این بات تلگرامی دیتا های خود را از هکر مذکور خریداری کرده باشد. یا همانطور که در ابتدا گفته شد این داده ها از سازمان ثبت احوال گرفته شده باشد اما نشت اطلاعاتی آن از طریق دیگر سامانه ها باشد .
البته در اینجا اشاره به چندین نکته خالی از لطف نیست:
عموما دیتا هایی مانند بالا که از طریق ارگان ثبت احوال در اختیار عموم قرار میگیرد باید و حتما(!) دارای کنترل های امنیتی برای در دسترس قرار گرفتن عموم و همچنین نکات امنیتی برای ارتباط با بات های اینترنتی مانند کپچا باشند.
همچنین میتوان احتمال ممکن است تمامی این سرویس های امنیتی برقرار اما توسط هکر ها دور خورده باشد.
ویا میتوان دریافت که ارایه دهنده بات اصلا به عنوان یک کاربر / سرویس گیرنده مجاز و عمومی و به عنوان یک واسط به API بالادستی وصل نمیشود و در واقع از یک شیوه دیگر مثل سواستفاده از یک باگ یا آسیب پذیری در نرم افزار یا حتی دسترسی غیر مجاز به دیتابیس، این سرویس را ارایه داده است. که این هم یعنی وجود یک باگ خطرناک در زیر ساخت های حیاتی کشور و نیاز به بررسی و گزارش دارد که این گزارش ها انجام شده است.
در حال حاضر هم بات مذکور از دسترس خارج شده و هم API نامرده شده نیز قابل اتصال نیست.
راهکار:
بهترین راهکار کنترل هایی مانند پایش برخط رفتارهای غیر طبیعی مانند اتصال بیش از اندازه از یک مبدا به API، احراز هویت مبدا اتصال به API (در صورتی که API عمومی نباشد) و ... از دیگر راهکارهای مقاوم سازی در مقابل این تهدیدات است.
مطلبی دیگر در همین موضوع
آموزش گام به گام پایتون - قسمت دوم
مطلبی دیگر در همین موضوع
طراحی، خودکارسازی و جمعآوری نتایج تست پروژه gREST
بر اساس علایق شما
من نمی نویسم ، مینوازم