اخبار

۱۳۹۸/۱۰/۲۶ - ۰۰:۰۰:۰۰
کد خبر: ۱۶۱۶۱۸

اطلاعیه مرکز ماهر درباره هک سایت وزارت ارتباطات

سایت وزارت ارتباطات در روز دوشنبه ۲۲ دی‌ماه مورد حمله سایبری قرار گرفت و هکر که خودش را OP999 معرفی کرده بود، به بخشی از این سایت نفوذ کرد و متنی اعتراض‌آمیز منتشر کردند. شامگاه گذشته مرکز ماهر با تاخیر دو روزه بیانیه‌ای را منتشر کرد که در آن عنوان شده که این رویداد هیچ گونه نفوذ و دسترسی غیرمجاز یا اعمال تغییری در محتوای وبسایت صورت نگرفت. به گزارش ایلنا، در ساعات اولیه بامداد روز ۲۲ دی ۹۸ ادعایی در شبکه‌های اجتماعی مبنی بر دیفیس شدن برخی از زیردامنه‌های ict.gov.ir از سوی یک گروه هکری صورت گرفت. حمله‌ای که به سایت وزارت ارتباطات اتفاق افتاد از نوع دیفیس (Deface) بود. این نوع حمله یا هک از طریق باگ یا ضعف‌های امنیتی که در اسکریپت سایت مورد نظر یا سرور مورد نظر وجود دارد انجام می‌شود که این ضعف می‌تواند در هنگام برنامه‌نویسی اسکریپت یا نرم‌افزارهای نصب‌شده روی سرور به وجود بیاید و هکر با استفاده از باگ‌های موجود در سایت یا سرور مورد نظر اقدام به هک کرده و با توجه به توانایی و تجربه خود در زمانی مشخص موفق به هک کردن سایت مورد نظر و قرار دادن پیغام خود روی سایت شخص کند، درواقع هکر با باگی که به دست آورده است به فایل‌های آن سایت دسترسی پیدا می‌کند. حمله دیفیس (Deface) با هدف خاصی انجام می‌شود مثلا در بعضی حملات مشاهده شده که یک هکر دولتی به سایت دولتی رقیب حمله می‌کند و پیغام مورد نظر خود را بر روی وب سایت مورد نظر قرار می‌دهد در واقع این نوع حمله بیشتر در جهت اهدافی خاص انجام می‌شود که شخص بتواند از ترافیک سایت مورد نظر استفاده کرده و پیغام یا سخن خود را در معرض دید همگان قرار دهد.

 مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) با تاخیر دو روزه در اطلاعیه‌ای درباره این حمله هکرها به سایت وزارت ارتباطات و فناوری اطلاعات نوشت: «در ساعات اولیه بامداد روز

۲۲ دی ۹۸ ادعایی در شبکه‌های اجتماعی مبنی بر دیفیس شدن برخی از زیردامنه‌های

 ict.gov.ir از سوی یک گروه هکری مطرح گردید. با تکیه بر همکاران، ابزارها و فناوری‌های مورد استفاده، در چند دقیقه موضوع توسط مرکز ماهر رصد و مشخص شد که مهاجم با سوءاستفاده از یک فرم گزارش‌دهی، اقدام به بارگزاری یک فایل متنی در وب‌سایت کرده است. این موضوع در همان زمان پیگیری شده و محدودیت‌های لازم بر این قابلیت گزارش‌دهی اعمال شد. در این رویداد هیچ‌گونه نفوذ و دسترسی غیرمجاز یا اعمال تغییری در محتوای وب‌سایت صورت نگرفت. لازم به توضیح است این قابلیت بارگذاری فایل صرفا اجازه بارگذاری فایل‌های بی‌خطر جهت ارایه خدمت به کاربران را ارایه می‌کرد. از سوی دیگر ادعای مطرح شده در خصوص از دسترس خارج شدن وب‌سایت پس از این رخداد نیز مطلقا صحت نداشته و دسترسی با وب‌سایت به‌طور پیوسته برقرار بوده است.»

لزوم احراز هویت مشترکان هنگام خرید سیم‌کارت

اپراتورها برای جلوگیری از سوءاستفاده از خرید سیم‌کارت، موظف هستند تنها در دفاتر منتخب خود به کسانی که سیم‌کارتی به نامشان نیست، سیم‌کارت بدهند و سایر افراد نیز برای احراز هویت از رمز یک‌بار مصرف استفاده می‌کنند. به گزارش ایسنا، یکی از مشکلات دارندگان سیم‌کارت، همواره دریافت پیامک‌های مزاحم تبلیغاتی بوده که البته استفاده از شماره‌های شخصی برای ارسال این پیامک‌ها نیز مدتی است به روش‌های دیگر اضافه شده است. همچنین سوءاستفاده از سیم‌کارت‌هایی که نام و نشان ندارند، یکی دیگر از مشکلات عدم احراز هویت دارندگان سیم‌کارت به شمار می‌رود. سوءاستفاده‌هایی مانند فیشینگ هم می‌تواند تحت تاثیر ابهام در نظام هویت در فضای مجازی کشور رخ دهد.

در این راستا، پیمان قره‌داغی -مدیرکل حفاظت از حقوق مصرف‌کننده رگولاتوری- با بیان اینکه پیش از این هنگام ثبت‌نام سیم‌کارت، تخلفاتی در عوامل فروش یا دفاتر پیشخوان دولت انجام می‌شد، گفت: «برای جلوگیری از این تخلفات، ما مشترکان را به دو دسته تقسیم کردیم؛ مشترکان سیم‌کارت‌ اولی و غیرسیم‌کارت اولی که حداقل یک سیم‌کارت در هر یک از اپراتورها دارند. دسته دوم کسانی هستند که حداقل در یکی از اپراتورهای همراه اول، ایرانسل، رایتل یا اپراتورهای مجازی سیم‌کارت دارند. به اپراتورها اجازه دادیم حداکثر ۲۵۰ دفتر منتخب خود که تحت نظارت دقیق هستند، را به ما معرفی و در پرتال خود هم اعلام کنند. همچنین اپراتورها را ملزم کردیم اگر فردی که به دفتر مراجعه کرد، سیم‌کارت اولی بود، حتما از طریق این دفاتر که نظارت بیشتری هم از طرف سازمان و هم اپراتورها روی آنها انجام می‌شود، به مردم سیم‌کارت اول بدهند. فرآیند سیم‌کارت هم باید با رعایت پروتکل‌های احراز هویت، انجام شود، یعنی مردم به‌دقت شناسایی شده و از واگذاری سیم‌کارت به غیر از خود فرد دارنده مدرک شناسایی جلوگیری شود.» قره‌داغی با تاکید بر افزایش نظارت بر فرآیند احراز هویت، بیان کرد: «همچنین اگر فردی که درخواست دریافت سیم‌کارت داشت، سیم‌کارت اولی نبود، فرد مکلف است یکی از سیم‌کارت‌هایی که به نامش است را به دفتر فروش اعلام کند و پس از آن، یک کد OTP (یک بار مصرف) به آن شماره ارسال می‌شود و پس از دریافت و وارد کردن کد، در سامانه‌های فروش امکان ادامه ثبت‌نام مهیاست و در غیر این صورت فرآیند فروش انجام نمی‌شود.»