به گزارش خبرنگار حوزه رفاه و تعاون گروه اجتماعی باشگاه خبرنگاران جوان؛ انتشار خبر هک شدن سامانه آیداتیس وزارت بهداشت با اما و اگرهایی همراه شده است.اینکه آیا واقعا هک شده یا بانک اطلاعاتی سامانه آیداتیس حاوی مشخصات هویتی ۷۰۰ هزار بیمار اعتیادی از مسیر دیگری وارد این سایت مشکوک شده است.گمانه زنیهای بسیاری را ایجاد کرده است که عملا ۳ فرضیه را پیش رو قرار می دهد.
نکته اصلی این است که آیا کدهای ۱۸ رقمی و اسامی هویتی ادعا شده در این سایت هک شده آیا صحت دارد یا جعلی است؟ سوالی است که قبلا از پرداختن به فرضیه های هک باید به آن پاسخ داده شود.
بررسی های خبرنگار حاکی از آن است که کدهای ۱۸ رقمی درج شده در سایت مورد اشاره قطعا در سامانه آیداتیس موجود است.یعنی کافی است وارد سامانه آیداتیس شویدو با وارد کردن کد ۱۸ رقمی در سامانه آیداتیس با این پاسخ مواجه می شوید که این بیمار در یک مرکز تحت درمان است برای صحت این موضوع کدهایی از صفحات اول،میانی و انتهایی به صورت رندوم انتخاب شدند.بنابراین فارغ از بررسی تطابق کد ۱۸ رقمی و مشخصات هویتی درج شده به این نتیجه می رسیم که کدها درست است.
حال فرضیه هایی مطرح می شود که این کدها و مشخصات هویتی چگونه در این سایت درج شده است.خصوصا اینکه وزارت بهداشت مدعی است که اسامی کامل در سامانه آیداتیس درج نمی شود بلکه حرف اول نام،حرف اول نام خانوادگی،حرف اول نام پدر،تاریخ تولد و ۵ رقم اصلی سمت راست کد ملی در سامانه وارد می شود بنابراین شبهات این اتفاق بیش از پیش می شود.
اما 3 فرضیه مطرح شده در سامانه آیداتیس را بررسیمی کنیم، فرضیه اول:سامانه آیداتیس توسط یک هکر، هک شده است. فرضیه دوم: اطلاعات توسط کارمند وزارت بهداشت، کارمند شرکت طراح سامانه و به طور کلی دست اندرکاران این سامانه به طریقی به بیرون درز پیدا کرده است و فرضیه سوم اینکه درمانگران اعتیاد خود متحد شده و بصورت یکجا طبق گفته حریرچی، سخنگوی وزارت بهداشت ۶۷۵ هزار بیمار ثبت شده را از سراسر کشور جمع آوری کرده و در سایت هک شده قرار داده است.
اما فرضیه اول یعنی هک شدن سایت توسط هکر:
ایرادی که برخی به سایت هکرها گرفته اند این بوده که در سامانه نام و نام خانوادگی یعنی اطلاعات هویتی به صورت کامل درج نمی شود پس چطور هکر توانسته کدهای ۱۸ رقمی را همراه با اطلاعات هویتی منتشر کند.
غلامرضا سوادکوهی متخصص IT در این باره می گوید: یکی از ضعف های سامانه آیداتیس همین بوده است.یعنی اینکه اساسا کد ۱۸ رقمی تولید شده در سامانه آیداتیس بر اساس ساده ترین الگوریتم موجود در جهان آماده شده است.به اینگونه که مثلا شماره اول ملی، شماره دوم حرف اول نام ،شماره سوم حرف اول نام خانوادگی و غیره بوده و به عنوان مثل کسی که اول نامش الف بوده شماره ۰۱ می گرفته و کسی که اول نامش ب بوده ۰۲ می گرفته ....بنابراین هر کد ۱۸ رقمی تقریبا قابل «دی کد شدن» بوده است.
سوادکوهی ادامه داد:حالا اضافه کنید که ۶ رقم از ۵ رقم اصلی کد ملی که اختصاصی هر فرد است وارد این سامانه می شود. بنابراین با داشتن این ۵ رقم ما ۱۰کد ملی خواهیم داشت و با داشتن اول نام، اول نام خانوادگی، اول نام پدر با ضریب خطای یک به ۱۰ هزار، کد ملی فرد بدست می آید.بنابراین اگر کاربران آیداتیس اسامی بیماران خود را صحیح وارد کرده باشند هکر از این طریق توانسته به کد ملی فرد دسترسی پیدا کند.
حال سوال این است که از کد ملی چگونه می توان به مشخصات هویتی رسید؟ چون هکر از طریق «دی کد»، داشتن ۵ رقم از کد ملی توانسته به کد ملی فرد دسترسی پیدا کند.پاسخ سوال این است: هکر قبلا یا همزمان به بانک اطلاعات هویتی ثبت احوال هم دسترسی پیدا کرده و با قراردادن کد ملی فرد در بانک ثبت احوال سایر مشخصات هویتی فرد را از طریق این بانک بدست آورده است.
در اینجا می توان فرضیه دوم را مطرح کرد:
در میان فرضیه های باقیمانده بالا یعنی در مانگران و وزارت بهداشت ، این وزارت بهداشت است که دسترسی به سایت ثبت احوال دارد.یعنی کافی است به سامانه صدور پروانه های وزارت بهداشت مراجعه کنید به راحتی با قراردادن کد ملی می توانید به اطلاعات هویتی فرد مذکور دسترسی پیدا کنید.
احتمالا دستپاچگی محمود تارا مدیرکل فناوری وزارت بهداشت در مصاحبه با رسانه ها بلافاصله بعد از انتشار اسامی و بدون اعلام نظر کارشناسان امنیتی و قبل از بررسی کامل موضوع همین فرضیه بوده و احتمالا برای دور کردن اذهان از این فرضیه دست به مصاحبه زده است.خصوصا اینکه او در این مصاحبه قرارداشتن سرور در آلمان را قویا تکذیب کرده است.تکذیبی عجیب از مدیرکل فناوری اطلاعات که ظاهرا خبر نداشته است سایتهای معتبری در دنیا قرار دارد که سرور تمام سایتهای دنیا را ثبت می کند و با مصاحبه مقامات دولتی این ثبت و ضبط قابل انکار نیست.
اما فرضیه سوم درباره درمانگران اعتیاد:
این فرضیه به این معناست که حداقل ۶ هزار مرکز ترک اعتیاد در سراسر کشور بایکدیگر متحد شده و ۷۰۰ هزار بیمار خود را در این سایت بارگذاری کرده اند تا به وزارت بهداشت نشان دهند سامانه آیدااتیس نا امن است ولی این فرضیه جای ۲ سوال را باقی می گذارد: سوال اول اینکه اگر این ۶۰۰ هزار تا این اندازه با هم متحد و مخالف آیداتیس بودند که اسامی خود را در این سایت منتشر کردند چرا این اتحاد را به سمت این نبردند که اصلا اطلاعات را وارد آیداتیس نکنند؟اینگونه عقل حکم می کند که مخالفان انتشار اسامی آن هم ۶ هزار مرکز درمان اعتیاد به دلیل مخاطرات ناامن بودن آیداتیس چگونه اسامی را منتشر کرده اند؟ اصولا این اتحاد باید به این سمت می رفت که کلا اسامی را وارد نکنند یعنی عملا آیداتیس متوقف می کردند، چون ۶ هزار مرکز با هم متحد بودند و حاضر به همکاری با وزارت بهداشت نشدند.!!
غیرعاقلانه است که ۶ هزار مرکز اسامی خود را وارد آیداتیس کنند و بعد با هم متحد و دست به خودکشی شغلی بزنند یعنی ایجاد بی اعتمادی بیمارانشان نسبت به خودشان که جنبه قضایی هم برای آنها دارد.یعنی ۶ هزار مرکز با هم کارشان را از دست بدهند و با هم در مسیر دادگاه و محاکمه قرار بگیرند تا به وزارت بهداشت بگویند سامانه ناامن است!!!!
اما فرضیه مهمتر این است که تا اواخر سال گذشته کاربران این سامانه موظف بودند مشخصات هویتی را به صورت کامل وارد کنند و سیستم به صورت خودکار اقدام به تولید کد ۱۸ رقمی می کرد.بیم آن می رود که تا قبل از تغییر رویه سامانه آیداتیس یعنی وارد کردن ۵ رقم سمت راست و وارد کردن حرف اول، مشخصات کامل وارد این سامانه شده و کسی به آن دسترسی پیدا کرده باشد!
انتهای پیام/