نقص امنیتی؛ آنلاین ترابرد نکنید

چند هفته بیشتر از افشای اطلاعات ۲۰ میلیون مشترک ایرانسل از طریق یک ربات تلگرام نمی گذرد. این اتفاق باعث شد حفاظت از اطلاعات مشترکین تلفن همراه تبدیل به یک نگرانی وسیع در سطح جامعه شود.

این نگرانی ها و اعتراضات تا آنجا پیش رفت که بسیاری از مقامات دولتی از جمله رییس جمهور و وزیر ارتباطات را وادار به موضع‌گیری در این زمینه کرد.

رییس جمهور در نشست «شورای عالی فضای مجازی» در پاسخ به شرایط بوجود آمده بر صیانت از اطلاعات و حریم خصوصی مشترکین اپراتورهای تلفن همراه و برخورد قانونی با هرگونه سوء استفاده در این حوزه را لازم دانسته بود و بر اتخاذ تدابیر ویژه در حوزه حفاظت از حریم خصوصی برای جلوگیری از هرگونه دسترسی غیرمجاز تاکید کرده بود.

به گزارش خبرگزاری فارس و هم‌زمان با ماجرای افشای اطلاعات مشترکان، دوران آزمایشی طرح ترابردپذیری آغاز شد و بنظر می‌رسد حداقل در زمینه ترابرد اپراتورها اهمیت این موضوع را جدی نگرفته‌اند چرا که بررسی‌ها نشان می‌دهد صفحات ترابرد اپراتورها حتی با گذشت چند هفته از اجرای رسمی آن صفحات ترابرد از امنیت استاندارد ( پشتیبانی از پروتکل SSL) برخوردار نیستند. عجیب آنکه سازمان تنظیم مقررات و ارتباطات رادیویی نیز به عنوان متصدی این طرح نسبت به افزایش امنیت صفحات ترابرد اپراتورها حساسیت لازم را به‌خرج نداده است.

ترابرد از طریق فرم‌های ناامن

برای ارسال درخواست ترابرد هر سه اپراتور تلفن همراه در سایت های خود فرم‌هایی را برای دریافت اطلاعات شخصی مشترکین قرار داده‌اند که اطلاعات شخصی و حساس افراد نظیر ایمیل، آدرس دقیق پستی، شماره شناسنامه، کد ملی، شماره تلفن ثابت و همراه را از مشترکین دریافت می کنند در حالی که سایت هیچ یک از اپراتورها به پروتکل امنیتی SSL-TLS مجهز نشده است.

این پروتکل امنیتی امکان شنود و درز اطلاعات را بین کامپیوتر مشترک و سرور اپراتور را به حداقل می‌رساند و در نبود این پروتکل احتمال رصد اطلاعاتی که مشترکین در فرم‌های ترابرد یا سایر فرم‌های موجود در سایت اپراتورها وارد می کنند از سوی هکرها بسیار بالاست.

بطور کلی پروتکل SSL-TSL را می‌توانید هنگام ورود به یک صفحه‌ی وب در بخش بالای مرورگر جایی که آدرس آن صفحه نوشته شده است تشخیص دهید. اگر آدرس با عبارت https با رنگ سبز آغاز شده بود آن صفحه مجهز به SSL-TLS است و اگر آدرس تنها با عبارت http شروع شده بود آن صفحه و سایت به این پروتکل مهم امنیتی مجهز نیست.

در سال‌های اخیر بسیاری از سایت های مهم دولتی از جمله سایت وزارت ارتباطات و حتی بعضی سایت‌های کوچک خصوصی به این پروتکل مجهز شده‌اند و عجیب است که چگونه انجام این مهم از ذهن اپراتورها و رگولاتوری دور مانده است.

برای اثبات اهمیت و لزوم استفاده از SSL می توان به سایت ده‌ها اپراتور تلفن همراه در سایر کشورها سر زد خواهید دید که حتی اپراتورهای آفریقایی نیز سایت‌های خود را به SSL مجهز کرده اند.

این ضعف امنیتی برای ده‌ها میلیون مشترک تلفن همراه خطری بالقوه محسوب می‌شود و شایسته است سازمان تنظیم مقررات رادیویی ضمن الزام اپراتورها به رعایت این استاندارد امنیتی تا زمان اجرای SSL اپراتورها را از ثبت‌نام و دریافت اطلاعات مشترکین به صورت آنلاین منع کند.

بنابه اجماعی که متخصصین امنیت سایبری در استفاده از SSL دارند به مشترکان محترم توصیه می‌شود تا قبل از مجهز شدن سایت اپراتورها به این امکان امنیتی از انجام ترابرد در این سایتها خودداری کنند.