سخنگوی سازمان ثبت احوال سرقت اطلاعات هویتی ۷۰ میلیون ایرانی را در جریان اجرای طرح «غربالگری کُرونا» توسط وزارت بهداشت تأیید کرد. هکرها پیشنهاد فروش این اطلاعات را به قیمت ۱۰ بیت کوین معادل حدود ۶۰ هزار دلار داده بودند.
در روزهای گذشته، خبری در برخی کانالهای تلگرامی منتشر شد که بر اساس آن اطلاعات شخصی ۷۰ میلیون از ایرانیان از بانک اطلاعاتی سازمان ثبت احوال به سرقت رفته و یک وبسایت خارجی این اطلاعات را با قیمت ۱۰ بیت کوین معادل حدود ۶۰ هزار دلار به فروش میرساند.
بر اساس این گزارش، یک گروه امنیتی فضای مجازی مدعی شده که یک حفره در سیستم سازمان ثبت احوال پیدا کرده و این موضوع را به صورت کتبی به اطلاع آنها رسانده است اما در جواب به آنها گفته شده: «هیچ کاری نمیتوانید بکنید!»
این گروه برای اثبات ادعای خود، رباتی ساخته که با وارد کردن شماره ملی و تاریخ تولد فرد، سایر اطلاعات هویتی او را به کاربر ارائه میدهد!
سیفاله ابوترابی سخنگوی سازمان ثبت احوال پیشتر هک اطلاعات ثبت احوال را تکذیب کرده و گفته بود: «اطلاعات ما در صحت کامل است، آن را برای تکمیل پرونده سلامت الکترونیک در اختیار وزارت بهداشت قرار دادیم و اتفاقی که رخ داده مربوط به ما نیست.»
اما اکنون ضمن تأیید این هک، اعلام کرد که بر اساس تفاهمنامهای با وزارت بهداشت، اطلاعات هویتی مردم در بستر اینترنت در اختیار این وزارتخانه قرار گرفته است.
ابوترابی اظهار داشت: «بیش از ۲۰۰ دستگاه از جمله وزارت بهداشت، به صورت برخط از ما استعلام میگیرند و با آنها تعامل داریم. وزارت بهداشت این دیتا را برای پرونده سلامت الکترونیک روی اینترنت قرار داد که نباید این کار را انجام میداد.»
نکته قابل توجه اینجاست که علیرضا رئیسی معاون وزیر بهداشت روز جمعه ۱۵ فروردینماه با وجود هک اطلاعات هویتی ۷۰ میلیون نفر، دوباره از مردم خواست تا در این سامانه ثبت نام کنند!
او در گزارش خود با خوشحالی از عملکرد وزارت بهداشت، از غربالگری بیش از ۶۹ میلیون و ۲۰۰ هزار نفر در بسیج ملی مقابله با کُرونا تا بعد از ظهر روز جمعه خبر داد و گفت که «از این تعداد بیش از ۵۷ میلیون و دویست هزار نفر توسط واحدهای بهداشتی و درمانی و ۱۲ میلیون نفر توسط سامانه salamat.gov.ir غربالگری شدند.»
رئیسی حتی از تمامی افرادی که در برنامه غربالگری شرکت نکردهاند تقاضا کرد، که «از طریق سامانه تلفنی ۴۰۳۰ و یا سامانه اینترنتی salamat.gov.ir به بسیج ملی مقابله با کُرونا بپیوندند!»
به گفتهی وی، این اطلاعات برای اجرای طرح «غربالگری کُرونا» در اختیار این وزارتخانه قرار گرفته و «اما اینطور نیست که کل اطلاعات را گرفته باشند و یا اساسا اطلاعات از پایگاه داده ثبت احوال گرفته باشند!»
آنگونه که سخنگوی سازمان ثبت احوال ادعا کرده، سامانه سلامت وزارت بهداشت اطلاعات افراد را شامل نام و نامخانوادگی، شماره ملی و شماره تماس را برای ورود به سامانه را از سازمان ثبت احوال دریافت کرده است.
ابوترابی اما تأکید کرد که «به هیچ عنوان اطلاعاتی شامل ارتباطهای سببی و نسبی و یا ازدواج و طلاق افراد در اختیار نه این سامانه که هیچ سامانهای قرار نمیگیرد.»
سخنگوی سازمان ثبت احوال کشور اظهار داشت: «ما اطلاعاتی بیش از آنچه که ذکر شد به هیچ سامانهای نمیدهیم مگر در موارد خاص آن هم نه در بستر اینترنت، به سامانه سلامت هم اطلاعات در همین حد داده شده است.»
این مقام سازمان ثبت احوال همچنین مدعی شد که «جلوی دسترسی به این پایگاه داده را گرفتیم و به وزارت بهداشت کتبا اعلام کردیم سامانه را امن کنند و تا زمانی که این امنیت برقرار نشده، نمیتوانند از این اطلاعات استفاده کنند و این کار با توجه به تفاهمنامه و پروتکلهای ایمنی که با ثبت احوال بستهاند، تخلف است.»
سخنگوی سازمان ثبت احوال کشور از پیگیری هک پایگاه داده ثبت احوال توسط دستگاههای امنیتی خبر داد و تأکید کرد که «موضوع هک برای پایگاه داده ثبت احوال به شکلی که به صورت یکپارچه دسترسی به اطلاعات اتفاق بیفتد به حمدالله نداشتهایم.»
وی اضافه کرد که «ظاهرا تنها دسترسی به اطلاعات اولیه شامل نام و نام خانوادگی، کدملی و شماره تماس افراد از طریق سامانه وزارت بهداشت اتفاق افتاده است و هرچه بوده همان اطلاعاتی است که در این سامانه سلامت وجود داشته که قابل دسترس قرار گرفته است و موضوع به وزارت بهداشت اطلاع داده شده و اعلام شده اطلاعرسانی کنند.»
ناتوانی و بیکفایتی مقامات مسئول در ایران در حفاظت از اطلاعات هویتی مردم، پیشتر نیز در آبانماه سال ۱۳۹۶ با هک سامانهی معیوب و ناقص «آیداتیس» رخ داد و هویت بیش از ۱۲۰ هزار فرد معتاد تحت درمان در کلینیکهای ترک اعتیاد، هک و منتشر شد.