ماجرای عجیب ادعای هک و نشت اطلاعات سامانه قوه قضائیه که توسط مسوولان دولتی، متخصصان امنیتی و خود هکر موردنظر رد شد؛ درس بزرگی برای اتفاق های مشابه آینده به همراه داشت.
به گزارش پایداری ملی به نقل از فارس، ادعای نشت اطلاعات ۲۵ میلیون کاربر از سامانه ابلاغ قضایی، جدیدترین خبر حوزه امنیت شبکه در روزهای اخیر بوده است.
سامانه ابلاغ الکترونیک قضایی به آدرس https://adliran.ir/ پلی بین قوه قضائیه بین عنوان دستگاه حاکمیتی و مردم به عنوان دریافت کنندگان خدمت این دستگاه است.
به طور دقیق تر می توان این طور گفت که مردم با ثبت نام در این سامانه، امکان دریافت، مشاهده و چاپ ابلاغیه های الکترونیک قضایی مانند ابلاغیه های وقت رسیدگی، دادنامه، قرار نهایی، تصمیم نهایی، اجرائیه، رفع نقص، تجدیدنظرخواهی، فرجام خواهی، تبادل لوایح، تعیین مهلت جهت انجام کار، دریافت پیوست های ابلاغیه و جستجوی ابلاغیه را خواهند داشت.
اگرچه ادعای هک این سامانه به سرعت تکذیب شد؛ اما از نظر نوع سامانه و اطلاعات موجود در آن، حساسیت زیادی را ایجاد کرد و از این رو در کانون توجه قرار گرفت؛ البته در این ماجرای غیرواقعی، درس هایی آموخته شد که برای آینده قطعا مفید خواهد بود.
*ماجرای نشت اطلاعات سامانه قوه قضائیه چه بود؟
ماجرا از آنجایی آغاز شد که یک هکر، نشت اطلاعات یا هک سامانه ابلاغ قضایی را ادعا کرد.
وی با انتشار آگهی فروش این داده ها در سایت https://raidforums.com/ قیمت 55k بیتکوین را بر این داده ها درخواست کرد که با قیمت فعلی بیتکوین عدد قابل توجهی است.
این نخستین بار نیست که اطلاعاتی با برچسب داده های ایرانیان در سایت های اینترنتی آگهی می شود. همچنان که بزرگترین بخش های خصوصی و دولتی خارجی هم از هک بی گزند نبوده اند.
اما ادعای هکر به ظاهر بی اساس نبود؛ زیرا هکر داده هایی را هم برای نمونه منتشر کرد. در نگاه بسیاری از مردم و حتی متخصصان امنیتی، انتشار داده ها دلیل خوب اولیه ای برای تایید صحت هک است و انتشار همین اطلاعات غیرواقعی اولیه، بر حساسیت ماجرا افزود.
این هکر مدعی شده بود که به اطلاعات ۲۵ میلیون کاربر سامانه ابلاغ قضائی قوه قضائیه دسترسی پیدا کرده است و همچنین مدعی شده بود که داده ها علاوه بر اطلاعات شخصی شهروندان شامل نام و نام خانوادگی، جنسیت، شماره تلفن، آدرس، ایمیل آدرس، مدرک و ... است، اطلاعات قضائی شهروندان را هم شامل می شود.
*مسوولان همان ابتدا نشت اطلاعات سامانه قوه قضاییه را تکذیب کردند
این اخبار غیررسمی درباره نشت اطلاعات سامانه قوه قضاییه همان ابتدا توسط مسوولان این دستگاه تکذیب شد.
محمد کاظمی فرد معاون امور سامانهها و هوش قضایی مرکز آمار و فناوری اطلاعات قوه قضاییه در این باره تاکید کرد: «هیچ گونه هک و نشت اطلاعاتی در سامانههای قوه قضاییه صورت نگرفته است. تمامی سامانههای قوه قضاییه به صورت دورهای توسط متخصصین امنیت کشور مورد آزمونهای امنیتی استاندارد قرار میگیرند. در گذشته هم مکررا چنین ادعاهایی مطرح شده است و کذب بودن همه آنها به اثبات رسیده است.»
*متخصصان امنیتی هم نشت اطلاعات را رد کردند
اما برای برخی از مردم و البته کاربران حرفه ای اینترنت و متخصصان امنیتی پاسخ رسمی مسوولان قوه قضاییه آخر ماجرا نبود.
در موارد مشابهی از هک و نشت اطلاعات در گذشته دیده شده که برخی از اخبار تکذیب شده، بعدا تایید شده اند، همین تجربه های این چنینی متخصصان و علاقمندان به مباحث امنیت شبکه را به بررسی های بیشتر برای راستی آزمایی ادعای هکر و مسوولان دولتی راغب کرده است.
این بار هم متخصصان امنیتی نقش خود را ایفا کردند و به تایید آنها هم نشت اطلاعات سامانه قوه قضائیه صحت نداشت.
گزارش فنی این متخصصان شامل موارد زیر است:
۱. نمونه داده منتشر شده با نمونه خروجی معمول سرویسهای این مرکز متفاوت است. وجود دادههای null (خالی از اطلاعات یا دارای وضعیت نامعلوم) در نمونه داده منتشر شده نشان داد که برخی از دادهها خالی است و اصولا نشست موفقی برای استخراج اطلاعات صورت نپذیرفته است.
۲. نمونه دادههای منتشر شده شامل اطلاعات هویتی و قدیمی است و شامل اطلاعات قضائی نیست؛ بنابراین احتمال اینکه این دادههای نمونه از منابع یا نشت اطلاعات دیگری به دست رسیده باشد هم وجود دارد.
۳. مبلغ بسیار بالای فروشنده برای این دادهها و تناقض گوییهای وی، ماهیت قضیه را با تردید مواجه کرده است.
*هکر هم هک را رد کرد
پس از مشخص شدن ابعاد فنی ماجرا، وقتی همه ادله بر غیرواقعی بودن ادعای هک صحه گذاشت، فرد مدعی هک هم در ادامه تناقض گویی هایش، اصل ماجرا را رد کرد و گفت که اساسا دیتابیسی در اختیار ندارد و فقط قصد داشته که خریداران احتمالی را پیدا کند.
*درسی که خبر جعلی هک سامانه قوه قضائیه داشت
مسوولان دولتی، کارشناسان امنیتی و حتی خود هکر موردنظر، ماجرای نشت اطلاعات سامانه قوه قضائیه را رد کردند و دیگر تهدیدی از این بابت وجود ندارد، پس می توان موضوع را خاتمه یافته دانست، اما در این ماجرا یک درس و نکته مهم به دست آمد که شاید بدون پرداختن به آن مختومه کردن پرونده این ماجرا شایسته نباشد.آموخته ای برای آینده که قطعا برای کاربر شبکه ها و مخاطبان فنی اخبار هک در اتفاق های این چنینی مفید واقع می شود.
یکی از درس های مهمی که از این ادعا به دست آمد و بر تجربه های قبلی صحه گذاشت، این است که باوجود جذاب بودن اخبار مربوط به هک، نفوذ و نشت اطلاعاتی، گذشته ثابت کرده که موارد این چنینی تا انجام بررسی دقیق و رسیدن به نتیجه قطعی، جعلی و تایید نشده هستند.
بنابراین صرف اینکه هکر یا علاقمند یا حتی کارشناس یا متخصص امنیتی ادعایی درباره نفوذ به سامانه ای داشت، ادعا معتبر نیست و نباید تبدیل به خبر حتی در حد شایعه و خبر تایید نشده شود.
به ویژه این نمونه اخیر نشان داد که حتی انتشار نمونه از داده های به سرقت رفته هم توجیه خوب و کافی برای عجله در انتشار اخبار این چنینی نیست.
مردم و مخاطبان همواره اولین متضرران ایجاد فضای تردید و ناامنی ناشی از این اخبار جعلی هستند و امنیت روانی افراد جامعه، اولین چیزی است که در تکرار بی ملاحظه این اخبار غیرواقعی تخریب می شود.