⚫️بیانیه مرکز ماهر در خصوص افشاء اطلاعات گسترده ایام اخیر
⬛️قابل توجه کلیه دستگاه های دولتی و حاکمیتی و صاحبان کسب و کارها
▪️با توجه به گسترش استفاده از فناوری اطلاعات در دوران کرونا و همچنین در ادامه درز گسترده و تاسفبار اطلاعات کاربران و شهروندان ایرانی و نقض حریم خصوصی آنها که متاسفانه تاکنون بارها اتفاق افتاده است؛ در این ایام نیز بانک اطلاعاتی حاوی اطلاعات میلیونها کاربر ایرانی تلگرام و سپس حجم بزرگی از کاربران یکی از بازارهای ایرانی نرمافزارهای آیفون افشا شده و در فضای مجازی در حال فروش است. این موضوع و امثال آن علاوه بر نقض حریم خصوصی شهروندان، منجر به بروز تهدیدات مختلفی علیه افراد، سازمانها، کسب و کارها و ... میشود. در این رابطه نکات زیر لازم به توضیح است:
1️⃣منشا مشترک اتفاقات اخیر، وجود بانکهای اطلاعات کاملا حفاظت نشده یا دارای حفاظت خیلی ضعیف در سطح اینترنت است که باعث میشود افراد سوءاستفاهگر بتوانند به راحتی به این بانکها دسترسی پیدا کرده و باعث بروز مشکلات جدی برای مردم و کسب و کارها شوند. این نوع از سهلانگاریها به دلیل پیامدهای گستردهاش قابل چشمپوشی نیست و لازم است تا جدیتر از گذشته مورد توجه قرار گیرند. متاسفانه علیرغم هشدارهای متعدد «مرکز ماهر» در زمینه وجود این بانکها در اینترنت که در گذشته به صاحبان آنها و همچنین سایر مبادی قانونی مرتبط اطلاع داده میشد، برخی از این بانکها با سهلانگاری نسبت به این هشدارها باعث مشکلات این ایام شدهاند.
2️⃣با توجه به شرایط حساس کنونی و افزایش استفاده از فضای مجازی و فناوری اطلاعات در دوران شیوع کرونا، «مرکز ماهر» بر اساس مسوولیت اجتماعی خود و فراتر از مسوولیتهایی که در قانون بر عهده آن گذاشته شده است، دور جدید رصدهای خود را جهت کشف بانکهای اطلاعاتی باز (حفاظت نشده) از روز 12 فروردین آغاز نموده است؛ که تمام پلتفرمهای اصلی بانک اطلاعاتی اعم از انواع مبتنی بر SQL یا NoSQL را در بر خواهد گرفت. بر این اساس تمام بانکهای اطلاعاتی که فاقد امنیت لازم باشند و در این رصدها شناسایی شوند؛ به صورت آنی به صورت عمومی یا به صورت اختصاصی به صاحبان آنها (در صورت قابل شناسایی بودن) هشدار داده خواهد شد. از آنجایی که حفاظت از دادههای شهروندان یک وظیفه ملی است؛ لذا لازم است تا در صورتی که ظرف مدت 48 ساعت در رصد مجدد همچنان مشکل به قوت خود باقی باشد، به منظور حفظ دادههای شهروندان و حفاظت از حریم خصوص شهروندان اقدام به معرفی به مراجع قضایی نماییم. (به منظور دریافت هشدارها میتوانید در سامانه IranNoafarin.ir اطلاعات خود را ثبت نمایید.)
▪️همچنین لازم به یادآوری است که بر اساس «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» مصوب «شورای عالی فضای مجازی»، پیشگیری و مقابله با حوادث سایبری، تقسیم کار ملی شده است و حملات و نقضهای امنیتی زیرساختهای حیاتی کشور مانند حوزههای مالی و بانکی، انرژی، حمل و نقل، ثبت احوال و ... به «مرکز راهبردی افتا ریاست جمهوری» سپرده شده است. بر اساس همین مصوبه، مقابله با حوادث و حملات در حوزه «شهروندان و کسب و کارهای خصوصی» (شامل دادههای مربوط به اپلیکیشنها و بانکهای داده غیردولتی) به «پلیس فتا» سپرده شده و مسوولیت حوادث و حملات سایبری بخشهای غیرحساس دولتی نیز بر عهده وزارت ارتباطات و «مرکز ماهر» قرار دارد؛ اما در این موقعیت حساس و بنا به ضرورت این ایام، همکاری و همدلی با سایر نهادهای مسوول را که همواره جزو وظایف خود دانستهایم؛ ما را بر آن داشت تا فراتر از تقسیم کار ملی، توان خود را در «مرکز ماهر» در جهت منافع عمومی کشور به کار گیریم. ان شاءالله بتوانیم در سایه همکاری و همدلی همه نهادهای مسوول در امنیت سایبری کشور، اقدامات ضروری و مناسب را در راستای رسیدن به سطح مطلوب امنیت سایبری در گستره ملی، شناسایی، برنامهریزی و اجرا کنیم.
▪️در انتها امید میرود صاحبان بانکهای اطلاعاتی که دادهها و اطلاعات شخصی مردم به صورت امانت در اختیار آنها است نسبت به حفظ این امانت و حریم خصوصی شهروندان هم بر اساس قانون و هم بر اساس مسوولیت اجتماعی، حساسیت لازم را داشته باشند؛ و در این راه هشدارهای اعلامشده را جدی تلقی نمایند.
🔗منبع
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
⬛️قابل توجه کلیه دستگاه های دولتی و حاکمیتی و صاحبان کسب و کارها
▪️با توجه به گسترش استفاده از فناوری اطلاعات در دوران کرونا و همچنین در ادامه درز گسترده و تاسفبار اطلاعات کاربران و شهروندان ایرانی و نقض حریم خصوصی آنها که متاسفانه تاکنون بارها اتفاق افتاده است؛ در این ایام نیز بانک اطلاعاتی حاوی اطلاعات میلیونها کاربر ایرانی تلگرام و سپس حجم بزرگی از کاربران یکی از بازارهای ایرانی نرمافزارهای آیفون افشا شده و در فضای مجازی در حال فروش است. این موضوع و امثال آن علاوه بر نقض حریم خصوصی شهروندان، منجر به بروز تهدیدات مختلفی علیه افراد، سازمانها، کسب و کارها و ... میشود. در این رابطه نکات زیر لازم به توضیح است:
1️⃣منشا مشترک اتفاقات اخیر، وجود بانکهای اطلاعات کاملا حفاظت نشده یا دارای حفاظت خیلی ضعیف در سطح اینترنت است که باعث میشود افراد سوءاستفاهگر بتوانند به راحتی به این بانکها دسترسی پیدا کرده و باعث بروز مشکلات جدی برای مردم و کسب و کارها شوند. این نوع از سهلانگاریها به دلیل پیامدهای گستردهاش قابل چشمپوشی نیست و لازم است تا جدیتر از گذشته مورد توجه قرار گیرند. متاسفانه علیرغم هشدارهای متعدد «مرکز ماهر» در زمینه وجود این بانکها در اینترنت که در گذشته به صاحبان آنها و همچنین سایر مبادی قانونی مرتبط اطلاع داده میشد، برخی از این بانکها با سهلانگاری نسبت به این هشدارها باعث مشکلات این ایام شدهاند.
2️⃣با توجه به شرایط حساس کنونی و افزایش استفاده از فضای مجازی و فناوری اطلاعات در دوران شیوع کرونا، «مرکز ماهر» بر اساس مسوولیت اجتماعی خود و فراتر از مسوولیتهایی که در قانون بر عهده آن گذاشته شده است، دور جدید رصدهای خود را جهت کشف بانکهای اطلاعاتی باز (حفاظت نشده) از روز 12 فروردین آغاز نموده است؛ که تمام پلتفرمهای اصلی بانک اطلاعاتی اعم از انواع مبتنی بر SQL یا NoSQL را در بر خواهد گرفت. بر این اساس تمام بانکهای اطلاعاتی که فاقد امنیت لازم باشند و در این رصدها شناسایی شوند؛ به صورت آنی به صورت عمومی یا به صورت اختصاصی به صاحبان آنها (در صورت قابل شناسایی بودن) هشدار داده خواهد شد. از آنجایی که حفاظت از دادههای شهروندان یک وظیفه ملی است؛ لذا لازم است تا در صورتی که ظرف مدت 48 ساعت در رصد مجدد همچنان مشکل به قوت خود باقی باشد، به منظور حفظ دادههای شهروندان و حفاظت از حریم خصوص شهروندان اقدام به معرفی به مراجع قضایی نماییم. (به منظور دریافت هشدارها میتوانید در سامانه IranNoafarin.ir اطلاعات خود را ثبت نمایید.)
▪️همچنین لازم به یادآوری است که بر اساس «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» مصوب «شورای عالی فضای مجازی»، پیشگیری و مقابله با حوادث سایبری، تقسیم کار ملی شده است و حملات و نقضهای امنیتی زیرساختهای حیاتی کشور مانند حوزههای مالی و بانکی، انرژی، حمل و نقل، ثبت احوال و ... به «مرکز راهبردی افتا ریاست جمهوری» سپرده شده است. بر اساس همین مصوبه، مقابله با حوادث و حملات در حوزه «شهروندان و کسب و کارهای خصوصی» (شامل دادههای مربوط به اپلیکیشنها و بانکهای داده غیردولتی) به «پلیس فتا» سپرده شده و مسوولیت حوادث و حملات سایبری بخشهای غیرحساس دولتی نیز بر عهده وزارت ارتباطات و «مرکز ماهر» قرار دارد؛ اما در این موقعیت حساس و بنا به ضرورت این ایام، همکاری و همدلی با سایر نهادهای مسوول را که همواره جزو وظایف خود دانستهایم؛ ما را بر آن داشت تا فراتر از تقسیم کار ملی، توان خود را در «مرکز ماهر» در جهت منافع عمومی کشور به کار گیریم. ان شاءالله بتوانیم در سایه همکاری و همدلی همه نهادهای مسوول در امنیت سایبری کشور، اقدامات ضروری و مناسب را در راستای رسیدن به سطح مطلوب امنیت سایبری در گستره ملی، شناسایی، برنامهریزی و اجرا کنیم.
▪️در انتها امید میرود صاحبان بانکهای اطلاعاتی که دادهها و اطلاعات شخصی مردم به صورت امانت در اختیار آنها است نسبت به حفظ این امانت و حریم خصوصی شهروندان هم بر اساس قانون و هم بر اساس مسوولیت اجتماعی، حساسیت لازم را داشته باشند؛ و در این راه هشدارهای اعلامشده را جدی تلقی نمایند.
🔗منبع
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
✔️شرکت اوراکل کلاسها و آزمونهای آنلاین خود را بمدت محدود رایگان کرد.
◾️شرکت اوراکل با انتشار اطلاعیه ای در وبلاگ رسمی خود اعلام کرد که کلاسهای آنلاین خود را به همراه آزمونهای آن بصورت رایگان (به مدت محدود) برگزار خواهد کرد.
▪️با توجه به اینکه مدارک رسمی شرکت اوراکل از جمله معتبرترین مدارک تخصصی بویژه در حوزه Cloud Infrastructure محسوب می شود و با توجه به اینکه شرایط تحریم باعث شده که موانع زیادی برای اخذ این مدارک برای ایرانیان بوجود آورد اکنون موقعیت بسیار مناسبی است تا با ثبت نام در این دوره ها بصورت رایگان، این مدارک رسمی را از شرکت اوراکل اخذ کنید.
▪️جهت کسب اطلاعات بیشتر و ثبت نام اینجا را کلیک کنید.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
◾️شرکت اوراکل با انتشار اطلاعیه ای در وبلاگ رسمی خود اعلام کرد که کلاسهای آنلاین خود را به همراه آزمونهای آن بصورت رایگان (به مدت محدود) برگزار خواهد کرد.
▪️با توجه به اینکه مدارک رسمی شرکت اوراکل از جمله معتبرترین مدارک تخصصی بویژه در حوزه Cloud Infrastructure محسوب می شود و با توجه به اینکه شرایط تحریم باعث شده که موانع زیادی برای اخذ این مدارک برای ایرانیان بوجود آورد اکنون موقعیت بسیار مناسبی است تا با ثبت نام در این دوره ها بصورت رایگان، این مدارک رسمی را از شرکت اوراکل اخذ کنید.
▪️جهت کسب اطلاعات بیشتر و ثبت نام اینجا را کلیک کنید.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Oracle
Oracle Ramps Up Free Online Learning and Certifications for Oracle Cloud Infrastructure and Oracle Autonomous Database
I’m happy to announce that Oracle is offering free access to online learning content and certifications for a broad array of users for Oracle Cloud Infrastructure and Oracle Autonomous Database.
⚠️ظاهرا سرویس استعلام هویت پذیرش بیمارستانها با قطعی و اختلال همراه شده. و احتمالا این قطعی بدلیل این اتفاقات دیشب بوده.
▪️بررسی ها نشون میده سیستمهایی که به سامانه شاهکار متصل بودن دچار اختلال هستن. شرکتهای بیمه و فروش آنلاین بلیط هواپیما و...
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️بررسی ها نشون میده سیستمهایی که به سامانه شاهکار متصل بودن دچار اختلال هستن. شرکتهای بیمه و فروش آنلاین بلیط هواپیما و...
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
⚠️درخصوص ربات شماره یاب!
▪️از دیشب و همزمان با این نشت های عجیب و غریب، یک ربات شماره یاب داره دست به دست میشه که با دادن شماره موبایل یک نفر اسمش رو برمیگردونه. و خیلی ها ممکنه فکر کنن که این هم یک نشت اطلاعات از جای دیگری هست.
▪️نمونه های این ربات زیاد هستن و بصورت نرم افزار و یا وب سرویس هم ارائه میشن. اتفاقا خیلی هم کاربردی هستن. مثلا یک نمونه از اونها Sync Me هست که توی اندروید و IOS نصب میشه و بیش از یک میلیارد رکورد در دیتابیس خودش شماره ذخیره کرده. این نرم افزارها جاسوسی نیستن بلکه Contactهای شما رو یک جایی روی Cloud خودشون Save میکنن. (هدف از نصبشون همینه) بعدش این امکان رو به شما می دن که اگر شماره ناشناسی به شما زنگ زد میرن توی دیتابیس Cloud جستجو میکنن و به شما نشون میدن این شماره در Contactهای دیگران با چه اسمی Save شده و شما قبل از پاسخ دادن به شماره های ناشناس می تونید ببینید که اسم طرف چی هست. این سرویس خیلی مفید و کاربردی هست. اسم اکثر سازمانها و شرکتها رو هم داره. البته بماند که گاهی متوجه میشید نام بعضی افراد با اسامی خنده دار در Contactهای دیگران Save شده!😅
▪️میتونید تست کنید! وارد سایتش بشید و شماره خودتون و یا شماره های ناشناس رو Serach کنید! احتمال زیاد در دیتابیس موجود هست!
▪️هر شماره بین المللی رو هم میتونید جستجو کنید. چه شماره های همراه و چه تلفنهای ثابت:
https://sync.me/
▪️بنابراین عملکرد این ربات جای نگرانی نداره و ممکنه بایک API به یکی از این مدل دیتابیس ها که زیاد هم هستن مثل مثال فوق وصل شده باشه.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️از دیشب و همزمان با این نشت های عجیب و غریب، یک ربات شماره یاب داره دست به دست میشه که با دادن شماره موبایل یک نفر اسمش رو برمیگردونه. و خیلی ها ممکنه فکر کنن که این هم یک نشت اطلاعات از جای دیگری هست.
▪️نمونه های این ربات زیاد هستن و بصورت نرم افزار و یا وب سرویس هم ارائه میشن. اتفاقا خیلی هم کاربردی هستن. مثلا یک نمونه از اونها Sync Me هست که توی اندروید و IOS نصب میشه و بیش از یک میلیارد رکورد در دیتابیس خودش شماره ذخیره کرده. این نرم افزارها جاسوسی نیستن بلکه Contactهای شما رو یک جایی روی Cloud خودشون Save میکنن. (هدف از نصبشون همینه) بعدش این امکان رو به شما می دن که اگر شماره ناشناسی به شما زنگ زد میرن توی دیتابیس Cloud جستجو میکنن و به شما نشون میدن این شماره در Contactهای دیگران با چه اسمی Save شده و شما قبل از پاسخ دادن به شماره های ناشناس می تونید ببینید که اسم طرف چی هست. این سرویس خیلی مفید و کاربردی هست. اسم اکثر سازمانها و شرکتها رو هم داره. البته بماند که گاهی متوجه میشید نام بعضی افراد با اسامی خنده دار در Contactهای دیگران Save شده!😅
▪️میتونید تست کنید! وارد سایتش بشید و شماره خودتون و یا شماره های ناشناس رو Serach کنید! احتمال زیاد در دیتابیس موجود هست!
▪️هر شماره بین المللی رو هم میتونید جستجو کنید. چه شماره های همراه و چه تلفنهای ثابت:
https://sync.me/
▪️بنابراین عملکرد این ربات جای نگرانی نداره و ممکنه بایک API به یکی از این مدل دیتابیس ها که زیاد هم هستن مثل مثال فوق وصل شده باشه.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Sync.me
Find out who called - Sync.ME
Search any phone number worldwide and block unwanted spam calls.
Ping Channel
⚫️بیانیه مرکز ماهر در خصوص افشاء اطلاعات گسترده ایام اخیر ⬛️قابل توجه کلیه دستگاه های دولتی و حاکمیتی و صاحبان کسب و کارها ▪️با توجه به گسترش استفاده از فناوری اطلاعات در دوران کرونا و همچنین در ادامه درز گسترده و تاسفبار اطلاعات کاربران و شهروندان ایرانی…
❗️مرکز ماهر این اطلاعیه رو که نیمه شب دیشب منتشر کرده بود از سایتش حذف کرد!
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Telegram
Ping Channel
⚫️بیانیه مرکز ماهر در خصوص افشاء اطلاعات گسترده ایام اخیر
⬛️قابل توجه کلیه دستگاه های دولتی و حاکمیتی و صاحبان کسب و کارها
▪️با توجه به گسترش استفاده از فناوری اطلاعات در دوران کرونا و همچنین در ادامه درز گسترده و تاسفبار اطلاعات کاربران و شهروندان ایرانی…
⬛️قابل توجه کلیه دستگاه های دولتی و حاکمیتی و صاحبان کسب و کارها
▪️با توجه به گسترش استفاده از فناوری اطلاعات در دوران کرونا و همچنین در ادامه درز گسترده و تاسفبار اطلاعات کاربران و شهروندان ایرانی…
⚠️مرکز ماهر در اکانت توییتر خود اعلام کرد:
◾️«در راستای برنامه از قبل اعلام شده مرکز ماهر جهت رصد بانکهای اطلاعاتی، نخستین گزارش این رصدها شامل ۳۶ پایگاه داده Elasticsearch فاقد احراز هویت شناسایی شده و مشخصات و اطلاعات آنها تحلیل شده است.
◾️این پایگاه داده ها مجموعا حاوی ۱۶.۸۵۳.۲۱۷ رکورد اطلاعاتی بودهاند که اطلاعرسانی به مالکان آنها آغاز شده است. چنانچه مالک پایگاه داده مشخص نباشد اطلاعرسانی به میزبان پایگاه داده انجام میشود.
◾️مالکان این پایگاههای داده موظفند در اسرع وقت نسبت به از دسترس خارج نمودن آنها اقدام کنند. رصد بعدی این پایگاهها در تاریخ ۱۶ فروردین انجام خواهد شد و مواردی که تا آن زمان جمعآوری نشده باشند؛ به مراجع قضایی جهت پیگیری بعدی معرفی خواهند شد.»
⬛️پ.ن:
1- این در حالیست که در وب سایت مرکز ماهر هیچگونه خبر یا اطلاعیه ای در این خصوص دیده نمیشود. از آنجا که وب سایت مرکز ماهر برای بسیاری از سازمانها یک کانال اطلاع رسانی مرجع محسوب میشود چه خوب است مواضع مرکز ماهر علاوه بر شبکه های اجتماعی فیلتر شده در وب سایت این مرکز هم منتشر شود.
2- این حرکت مرکز ماهر قطعا آغاز خوبی برای رفع آسیب پذیری های بدیهی در زیرساختهای اطلاعاتی سازمانها و کسب و کارها است و امید است که استمرار یابد. علاوه بر آن خلاء قوانینی مثل GDPR در کشور به شدت احساس میشود. از سازمان فناوری اطلاعات و شورای عالی فضای مجازی انتظار می رود با درس گرفتن از وقایع اخیر و نیز بررسی تجارب سایر کشورها نسبت به رفع ایرادات قانونی در حفاظت از حقوق شهروندی اقدام نمایند. اگر حادثه ای مانند آنچه که در روزهای اخیر در مورد نسخه های غیررسمی تلگرام رخ میداد در یک کشور اروپایی رخ میداد جریمه آن 20 میلیون دلار و نیز 20 درصد از سود سالیانه شرکتها بدلیل نقض حقوق شهروندی بود. اگر قوانین محکم و جرایم بازدارنده در دفاع از حقوق شهروندان نداشته باشیم باز هم شاهد تکرار چنین وقایعی خواهیم بود.
3- از دوستانمان در مرکز ماهر که بصورت شبانه روزی مشغول فعالیت هستند درخواست می کنیم زمینه را برای مشارکت عمومی کارشناسان خبره در این حوزه برای کشف آسیب پذیری ها فراهم کنند. راه اندازی سامانه کلاه سفید نتوانسته هیچ مشکلی را حل کند. زیرا فلسفه راه اندازی آن از اساس اشتباه است. اینکه کشف آسیب پذیری های 4 تا سایت عادی و بدون بازدیدکننده را به مسابقه بگذاریم درحالیکه سامانه های مهم کشور مملو از آسیب پذیری است هیچ مشکلی را حل نخواهد کرد. امیدواریم دوستان ما در سازمان فناوری اطلاعات و مرکز ماهر که از جنس کارشناسان دلسوز هستند از ظرفیت عظیم نیروهای متخصص استفاده کنند. بی تردید با کمک یکدیگر جامعه مجازی امن تری خواهیم داشت.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
◾️«در راستای برنامه از قبل اعلام شده مرکز ماهر جهت رصد بانکهای اطلاعاتی، نخستین گزارش این رصدها شامل ۳۶ پایگاه داده Elasticsearch فاقد احراز هویت شناسایی شده و مشخصات و اطلاعات آنها تحلیل شده است.
◾️این پایگاه داده ها مجموعا حاوی ۱۶.۸۵۳.۲۱۷ رکورد اطلاعاتی بودهاند که اطلاعرسانی به مالکان آنها آغاز شده است. چنانچه مالک پایگاه داده مشخص نباشد اطلاعرسانی به میزبان پایگاه داده انجام میشود.
◾️مالکان این پایگاههای داده موظفند در اسرع وقت نسبت به از دسترس خارج نمودن آنها اقدام کنند. رصد بعدی این پایگاهها در تاریخ ۱۶ فروردین انجام خواهد شد و مواردی که تا آن زمان جمعآوری نشده باشند؛ به مراجع قضایی جهت پیگیری بعدی معرفی خواهند شد.»
⬛️پ.ن:
1- این در حالیست که در وب سایت مرکز ماهر هیچگونه خبر یا اطلاعیه ای در این خصوص دیده نمیشود. از آنجا که وب سایت مرکز ماهر برای بسیاری از سازمانها یک کانال اطلاع رسانی مرجع محسوب میشود چه خوب است مواضع مرکز ماهر علاوه بر شبکه های اجتماعی فیلتر شده در وب سایت این مرکز هم منتشر شود.
2- این حرکت مرکز ماهر قطعا آغاز خوبی برای رفع آسیب پذیری های بدیهی در زیرساختهای اطلاعاتی سازمانها و کسب و کارها است و امید است که استمرار یابد. علاوه بر آن خلاء قوانینی مثل GDPR در کشور به شدت احساس میشود. از سازمان فناوری اطلاعات و شورای عالی فضای مجازی انتظار می رود با درس گرفتن از وقایع اخیر و نیز بررسی تجارب سایر کشورها نسبت به رفع ایرادات قانونی در حفاظت از حقوق شهروندی اقدام نمایند. اگر حادثه ای مانند آنچه که در روزهای اخیر در مورد نسخه های غیررسمی تلگرام رخ میداد در یک کشور اروپایی رخ میداد جریمه آن 20 میلیون دلار و نیز 20 درصد از سود سالیانه شرکتها بدلیل نقض حقوق شهروندی بود. اگر قوانین محکم و جرایم بازدارنده در دفاع از حقوق شهروندان نداشته باشیم باز هم شاهد تکرار چنین وقایعی خواهیم بود.
3- از دوستانمان در مرکز ماهر که بصورت شبانه روزی مشغول فعالیت هستند درخواست می کنیم زمینه را برای مشارکت عمومی کارشناسان خبره در این حوزه برای کشف آسیب پذیری ها فراهم کنند. راه اندازی سامانه کلاه سفید نتوانسته هیچ مشکلی را حل کند. زیرا فلسفه راه اندازی آن از اساس اشتباه است. اینکه کشف آسیب پذیری های 4 تا سایت عادی و بدون بازدیدکننده را به مسابقه بگذاریم درحالیکه سامانه های مهم کشور مملو از آسیب پذیری است هیچ مشکلی را حل نخواهد کرد. امیدواریم دوستان ما در سازمان فناوری اطلاعات و مرکز ماهر که از جنس کارشناسان دلسوز هستند از ظرفیت عظیم نیروهای متخصص استفاده کنند. بی تردید با کمک یکدیگر جامعه مجازی امن تری خواهیم داشت.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔘تکذیب هک شدن سایت وزارت بهداشت توسط سخنگوی سازمان ثبت احوال
▪️سیف اله ابوترابی، سخنگوی سازمان ثبت احوال کشور:
🔹طی چند روز اخیر خبری مبنی بر هک شدن سایت وزرات بهداشت و افشای اطلاعات شهروندان ایرانی در فضای مجازی منتشر شده بود.
🔹هیچ اطلاعاتی از شهروندان منتشر نشده و هک شدن سایت وزرات بهداشت و افشای اطلاعات هویتی شهروندان ایرانی را تکذیب میکنم.
🔹برای حفاظت از اطلاعات شهروندان مجبور به بسته شدن سایت وزارت بهداشت شدیم./ باشگاه خبرنگاران
متن کامل خبر
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️سیف اله ابوترابی، سخنگوی سازمان ثبت احوال کشور:
🔹طی چند روز اخیر خبری مبنی بر هک شدن سایت وزرات بهداشت و افشای اطلاعات شهروندان ایرانی در فضای مجازی منتشر شده بود.
🔹هیچ اطلاعاتی از شهروندان منتشر نشده و هک شدن سایت وزرات بهداشت و افشای اطلاعات هویتی شهروندان ایرانی را تکذیب میکنم.
🔹برای حفاظت از اطلاعات شهروندان مجبور به بسته شدن سایت وزارت بهداشت شدیم./ باشگاه خبرنگاران
متن کامل خبر
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔘با نگاهی به تجارب ۶ ماه اخیر میتوان نتیجه گرفت:
«فناوری اطلاعات و اینترنت یا عامل بحران است و یا کلید حل بحرانها»
https://twitter.com/ali_kiaeifar/status/1246473121684692998?s=19
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
«فناوری اطلاعات و اینترنت یا عامل بحران است و یا کلید حل بحرانها»
https://twitter.com/ali_kiaeifar/status/1246473121684692998?s=19
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
This media is not supported in your browser
VIEW IN TELEGRAM
🤠سرگرمی Chrome برای لحظات قطعی اینترنت!
▪️اگر هنگام وب گردی اینترنت شما قطع شد و با صفحه No Internet در مرورگر Chrome مواجه شدید در همان حالت کلید Space را بزنید تا بازی شروع شود و بجای کلافه شدن از قطعی اینترنت برای لحظاتی بازی کنید!
▪️درحالت اتصال به اینترنت هم با وارد کردن آدرس chrome://dino و بعد زدن کلید Space می توانید برای لحظاتی تمدد اعصاب کنید.😄
🆔 @PingChannel
▪️اگر هنگام وب گردی اینترنت شما قطع شد و با صفحه No Internet در مرورگر Chrome مواجه شدید در همان حالت کلید Space را بزنید تا بازی شروع شود و بجای کلافه شدن از قطعی اینترنت برای لحظاتی بازی کنید!
▪️درحالت اتصال به اینترنت هم با وارد کردن آدرس chrome://dino و بعد زدن کلید Space می توانید برای لحظاتی تمدد اعصاب کنید.😄
🆔 @PingChannel
👁🗨رونالد ریگان در مذاکرات جنگ سرد بین آمریکا و شوروی جمله معروف Trust, but Verify را بکار برد. جالب است بدانید که این جمله ریشه در یک ضرب المثل روسی قدیمی دارد!
☑️ این جمله سالها اساس معماری امنیت سایبری را تشکیل داده بود.
▪️اما امروزه دانش امنیت سایبری به بلوغ بالاتری رسیده است و از جمله فوق به جمله جدید زیر رسیده ایم:
🔴 Never Trust, Always Verify
امروز این جمله اساس معماره شبکه های Zero Trust را تشکیل میدهد.
✔️برای مشاهده ارائه ای از شبکه های Zero Trust به این آدرس مراجعه نمایید.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
☑️ این جمله سالها اساس معماری امنیت سایبری را تشکیل داده بود.
▪️اما امروزه دانش امنیت سایبری به بلوغ بالاتری رسیده است و از جمله فوق به جمله جدید زیر رسیده ایم:
🔴 Never Trust, Always Verify
امروز این جمله اساس معماره شبکه های Zero Trust را تشکیل میدهد.
✔️برای مشاهده ارائه ای از شبکه های Zero Trust به این آدرس مراجعه نمایید.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
This media is not supported in your browser
VIEW IN TELEGRAM
🎥به آنچه که می بینید هرگز اعتماد نکنید! مراقب باشید Deepfake شما را فریب ندهد!
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Ping Channel
🤠سرگرمی Chrome برای لحظات قطعی اینترنت! ▪️اگر هنگام وب گردی اینترنت شما قطع شد و با صفحه No Internet در مرورگر Chrome مواجه شدید در همان حالت کلید Space را بزنید تا بازی شروع شود و بجای کلافه شدن از قطعی اینترنت برای لحظاتی بازی کنید! ▪️درحالت اتصال به اینترنت…
This media is not supported in your browser
VIEW IN TELEGRAM
در این روزهای کرونایی که اکثر مردم دنیا در قرنطینه خانگی هستند و امکان برگزاری جشنهای تولد فراهم نیست تعدادی استارتاپ با ایده های خلاقانه امکان برگزاری جشنهای تولد را بصورت مجازی فراهم کرده اند.😉 تعدادی از آنها را در اینجا ببینید.
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔴در این سطح سهل انگاری آن هم در سامانه آموزش مجازی یک دانشگاه! واقعا چه شرحی می توان نوشت؟!
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔴 ادعاهایی در مورد Leakage اطلاعات کاربران بانک صادرات و پیامرسان روبیکا صرفا ادعاهایی اثبات نشده است.
❗️ادعا کردن آسان است. مهم اثبات آن است.
✅به شایعات اثبات نشده دامن نزنیم!
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
❗️ادعا کردن آسان است. مهم اثبات آن است.
✅به شایعات اثبات نشده دامن نزنیم!
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
⛔️نمونه دیگری از ادعاهای واهی فروش اطلاعات شهروندان و نهادهای حساس!
⬛️ پ. ن:
🌕 گرچه این ادعاها اساسا دروغ و بی سند هستند اما به این معنا نیست که اوضاع امنیت سیستمهای ما خوبه! همین الان دسترسی هایی وجود داره شگفت انگیز و بدیع و باورنکردنی از سازمانهایی باورنکردنی تر!
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
⬛️ پ. ن:
🌕 گرچه این ادعاها اساسا دروغ و بی سند هستند اما به این معنا نیست که اوضاع امنیت سیستمهای ما خوبه! همین الان دسترسی هایی وجود داره شگفت انگیز و بدیع و باورنکردنی از سازمانهایی باورنکردنی تر!
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
🔺 پاسخ رصدکننده امنیت بانکی @Bank_Security به توییتی در مورد خبر این مرکز راجع به لو رفتن اطلاعات شخصی مشتریان بانک صادرات
▪️رصدکننده امنیت بانکی @Bank_Security در پاسخ به توییتی که ساعاتی پیش در مورد خبر این مرکز راجع به لو رفتن اطلاعات شخصی مشتریان بانک صادرات نوشته بودم، پاسخی را برای من ارسال کرده که ترجمه آن به شرح زیر است:
▪️"دقت تمام داده ها و تعداد دقیق آنها [منتشر شدن اطلاعت 63 میلیون حساب] قابل تایید نیست، ولی بر مبنای نمونه ارائه شده، در دیتابیس [منتشر شده] داده های صحیح [هم] وجود دارند. به احتمال زیاد، این اطلاعات به تخلفات [درز اطلاعات] بانکی در نوامبر 2019 مرتبطند."
▪️در لینک ارائه شده از سوی @Bank_Security درپاسخ به توییت بنده آمده اطلاعات مذکور احتمالا همان هایی هستند که وزارت ارتباطات در آن زمان، لو رفتنشان را ناشی از خرابکاری یک پیمانکار دانسته بود. ظاهرا این قسمت از پاسخ @Bank_Security به ماجرایی اشاره دارد که محمدجواد آذری جهرمی در ۱۹ آذر ۱۳۹۸ در مورد آن گفته بود: "ین روزها بحث دستبرد به برخی بانکها مطرح شده و عدهای مدعی شدهاند که بانکها هک شدهاند. این در حالی است که بانکها هک نشده بودند بلکه پیمانکار فنی سابق یک مجموعه از اطلاعاتی که به آنها دسترسی داشت نسخه پشتیبان گرفته بود و اکنون با دسترسی به این نسخه در حال تهدید و باجگیری است."
▪️در لینک موجود در پاسخ @Bank_Securit همچنین آمده: "نام خانوادگی، ایمیل، شماره تلفن، شماره حساب، شماره کارت، کد شعبه و اطلاعات بانکی دیگر [مشتریان] از جمله سایر اطلاعات مهم در دیتابیس [درز پیدا کرده] هستند. ریسک سوء استفاده از این اطلاعات در کلاهبردی های تلفنی و حملات فیشینگ بالاست."
https://twitter.com/Bank_Security/status/1247969304739549184
🔗 منبع
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️رصدکننده امنیت بانکی @Bank_Security در پاسخ به توییتی که ساعاتی پیش در مورد خبر این مرکز راجع به لو رفتن اطلاعات شخصی مشتریان بانک صادرات نوشته بودم، پاسخی را برای من ارسال کرده که ترجمه آن به شرح زیر است:
▪️"دقت تمام داده ها و تعداد دقیق آنها [منتشر شدن اطلاعت 63 میلیون حساب] قابل تایید نیست، ولی بر مبنای نمونه ارائه شده، در دیتابیس [منتشر شده] داده های صحیح [هم] وجود دارند. به احتمال زیاد، این اطلاعات به تخلفات [درز اطلاعات] بانکی در نوامبر 2019 مرتبطند."
▪️در لینک ارائه شده از سوی @Bank_Security درپاسخ به توییت بنده آمده اطلاعات مذکور احتمالا همان هایی هستند که وزارت ارتباطات در آن زمان، لو رفتنشان را ناشی از خرابکاری یک پیمانکار دانسته بود. ظاهرا این قسمت از پاسخ @Bank_Security به ماجرایی اشاره دارد که محمدجواد آذری جهرمی در ۱۹ آذر ۱۳۹۸ در مورد آن گفته بود: "ین روزها بحث دستبرد به برخی بانکها مطرح شده و عدهای مدعی شدهاند که بانکها هک شدهاند. این در حالی است که بانکها هک نشده بودند بلکه پیمانکار فنی سابق یک مجموعه از اطلاعاتی که به آنها دسترسی داشت نسخه پشتیبان گرفته بود و اکنون با دسترسی به این نسخه در حال تهدید و باجگیری است."
▪️در لینک موجود در پاسخ @Bank_Securit همچنین آمده: "نام خانوادگی، ایمیل، شماره تلفن، شماره حساب، شماره کارت، کد شعبه و اطلاعات بانکی دیگر [مشتریان] از جمله سایر اطلاعات مهم در دیتابیس [درز پیدا کرده] هستند. ریسک سوء استفاده از این اطلاعات در کلاهبردی های تلفنی و حملات فیشینگ بالاست."
https://twitter.com/Bank_Security/status/1247969304739549184
🔗 منبع
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
Twitter
Bank Security
@hosseinbastani The accuracy of all data and its exact amount cannot be confirmed, but based on the prototype provided, this database contains the correct information.
📌استخدام فوری برنامه نویس COBOL !!!
▪️در نیوجرسی نرم افزار محاسبه حقوق بیکاری، 40 سال قبل به زبان COBOL نوشته شده و توسط یک Main Frame اجرا میشده که هنوز هم داره کار میکنه! ظاهرا شیوع ویروس کرونا باعث شده که بخوان تغییراتی در سورس برنامه برای پرداخت حقوق بیکاری انجام بدن اما متوجه شدن دیگه کسی نیست که بتونه سورس های نوشته به زیان COBOL رو تحلیل کنه! بخاطر همین هم آگهی استخدام فوری زدن برای جذب کسی که به زبان برنامه نویسی نیم قرن پیش تسلط داره!😅
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▪️در نیوجرسی نرم افزار محاسبه حقوق بیکاری، 40 سال قبل به زبان COBOL نوشته شده و توسط یک Main Frame اجرا میشده که هنوز هم داره کار میکنه! ظاهرا شیوع ویروس کرونا باعث شده که بخوان تغییراتی در سورس برنامه برای پرداخت حقوق بیکاری انجام بدن اما متوجه شدن دیگه کسی نیست که بتونه سورس های نوشته به زیان COBOL رو تحلیل کنه! بخاطر همین هم آگهی استخدام فوری زدن برای جذب کسی که به زبان برنامه نویسی نیم قرن پیش تسلط داره!😅
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
CNN
Wanted urgently: People who know a half century-old computer language so states can process unemployment claims
On top of ventilators, face masks and health care workers, you can now add COBOL programmers to the list of what several states urgently need as they battle the coronavirus pandemic.
🔶دعوت به همکاری
🔷تعدادی کارشناس نرم افزار با تخصص های زیر بصورت پروژه ای و دورکاری دعوت به همکاری می شود:
1️⃣ برنامه نویس Java Spring با تسلط به Database
2️⃣ برنامه نویس MVC .Net Core مایکروسافت Full-Stack
3️⃣ برنامه نویس C++/C
☑️از متقاضیان درخواست می شود رزومه خود را به آدرس Jobs@modaberan.ir ایمیل کرده و یا به ID تلگرامی @Kiaeifar ارسال نمایند.
🔷تعدادی کارشناس نرم افزار با تخصص های زیر بصورت پروژه ای و دورکاری دعوت به همکاری می شود:
1️⃣ برنامه نویس Java Spring با تسلط به Database
2️⃣ برنامه نویس MVC .Net Core مایکروسافت Full-Stack
3️⃣ برنامه نویس C++/C
☑️از متقاضیان درخواست می شود رزومه خود را به آدرس Jobs@modaberan.ir ایمیل کرده و یا به ID تلگرامی @Kiaeifar ارسال نمایند.
☑️بسته دورکاری مدبران
🔶از زمان آغاز بحران کرونا در کشور پیش بینی میشد که این بحران بسیاری از کسب و کارها را تحت تاثیر قرار خواهد داد و گرایش به سمت دورکاری افزایش خواهد یافت. شرکت مدبران نیز در جهت کمک به تداوم کسب و کار سازمانها اقدام به طراحی بسته دورکاری نموده است. این بسته دورکاری براساس نیازمندیهای متعدد سازمانها شامل گزینه های متعددی است.
🔶با بسته دورکاری مدبران می توانید:
▪️میزکار کارمندان را در بستری امن به خانه هایشان انتقال دهید.
▫️با سیستم Helpdesk درون این بسته به سیستمهای کاربران در خانه متصل شوید و مشکلات آنها را برطرف کنید.
▪️بر نحوه دورکاری کارمندان از راه دور نظارت کنید.
▫️تلفن سازمانی کارمندان را به یک Soft Phone روی گوشی کارمندان در خانه انتقال دهید.
▪️جلسات مجازی سازمان را بدون نیاز به سرویس دهندگان خارجی و بدون محدودیت در تعداد جلسات و نفرات برگزار کنید.
▫️همراه با آنتی ویروس رایگان برای سیستمهای کاربران در خانه
⬅️ لطفا جهت کسب اطلاعات بیشتر با بخش فروش شرکت مدبران تماس بگیرید و یا به @Kiaeifar پیام ارسال نمایید.
🌐 www.modaberan.ir
🔶از زمان آغاز بحران کرونا در کشور پیش بینی میشد که این بحران بسیاری از کسب و کارها را تحت تاثیر قرار خواهد داد و گرایش به سمت دورکاری افزایش خواهد یافت. شرکت مدبران نیز در جهت کمک به تداوم کسب و کار سازمانها اقدام به طراحی بسته دورکاری نموده است. این بسته دورکاری براساس نیازمندیهای متعدد سازمانها شامل گزینه های متعددی است.
🔶با بسته دورکاری مدبران می توانید:
▪️میزکار کارمندان را در بستری امن به خانه هایشان انتقال دهید.
▫️با سیستم Helpdesk درون این بسته به سیستمهای کاربران در خانه متصل شوید و مشکلات آنها را برطرف کنید.
▪️بر نحوه دورکاری کارمندان از راه دور نظارت کنید.
▫️تلفن سازمانی کارمندان را به یک Soft Phone روی گوشی کارمندان در خانه انتقال دهید.
▪️جلسات مجازی سازمان را بدون نیاز به سرویس دهندگان خارجی و بدون محدودیت در تعداد جلسات و نفرات برگزار کنید.
▫️همراه با آنتی ویروس رایگان برای سیستمهای کاربران در خانه
⬅️ لطفا جهت کسب اطلاعات بیشتر با بخش فروش شرکت مدبران تماس بگیرید و یا به @Kiaeifar پیام ارسال نمایید.
🌐 www.modaberan.ir
🌐گفتگو با باب دیاچنکو که درز اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام را گزارش کرد.
▫️اوایل فروردین ماه امسال و در عرض چند روز، سه بار درز اطلاعاتی بزرگ در ایران رخ داد. در هر کدام این موارد، اشتباههای فنی باعث شده بود اطلاعات شخصی میلیونها نفر از شهروندان ایران بدون حفاظت در دسترس عموم قرار بگیرد.
یکی از بزرگترین این موارد یکم فروردین کشف و تقریبا ده روز بعد علنی شد؛ نام کاربری و شماره تلفن ۴۲ میلیون کابر ایرانی تلگرام که از پوسته های غیررسمی تلگرام استفاده میکردند، بدون اینکه رمز عبوری از آنها محافظت کند، در دسترس عموم بود. بعدتر تایید شد که این دادهها دستکم توسط یک هکر در یکی از انجمنهای اینترنتی فروش اطلاعات قرار داده شده بود. این اطلاعات را گروهی به نام «سامانه شکار» برروی یک سرور قرار داده بود.
▫️بعد از این گزارش، گمانهزنیهای بسیاری درباره منبعی که این اطلاعات را در اختیار داشته و آن را پخش کرده، مطرح شد. از جمله اینکه، اطلاعات را یکی از سازمانهای دولتی یا امنیتی در ایران در اختیار داشته است. سازمان فناوری اطلاعات ایران درز اطلاعات را تایید کرد و گفت که پیشتر درباره نسخههای غیررسمی تلگرام هشدار داده است. اما درباره چیستی «سامانه شکار» و جزییات مربوط به این درز اطلاعاتی واکنشی نداشت.
▫️باب دیاچنکو، مدیر بخش تحقیقات امنیت سایبری در Comparitech این موضوع را کشف کرده و آن را گزارش داده بود. او بعد از آرام شدن واکنشها، در گفتوگوی اختصاصی با یورونیوز درباره درز اطلاعاتی و دادههایی که به آنها دست پیدا کرده، توضیح داد:
◾️درباره اینکه دادهها شامل چه اطلاعاتی بوده، گزارشهایی منتشر شده اما درباره روش جمعآوری آنها کمتر کسی میداند. میتوانید بگویید این دادهها را چطور و کجا پیدا کردید؟
🗣یکی از کارهای همیشگی من کندوکاو محیطهای عمومی اینترنت و بررسی دادههایی است که روی این فضاهای عمومی در اینترنت قرار داده میشوند.
من هکر نیستم. کار من زیر نظر گرفتن جریان دادههایی است که دیتابیسهای باز و بدون حفاظت منتشر میشوند. منظورم از این دیتابیسها جاهایی مثل نتایج موتورجستوجوست. گاهی در بررسیهایم و هنگام جستوجو در اینترنت به دادههایی برمیخورم که نیاز به حفاظت دارند.
دادههای اخیر را روز ۲۱ ماه مارس (یکم فروردینماه) وقتی در موتور جستوجوی «باینریاج» BinaryEdge مشغول کار بودم، پیدا کردم. در آن زمان روی یک پروژه درباره «دادههای متنباز» کار میکردم. این اطلاعات در یک فضای قابلجستوجو قرار گرفته بودند و برای دسترسی به دادههای آنها هیچ رمز عبوری قرار داده نشده بود.
◾️درباره صاحب این دادهها و منبع انتشارشان چه اطلاع دیگری دارید؟ درباره منبع این دادهها مطالب متفاوتی منتشر شده است. شما دراینباره به چه اطلاعاتی برخوردید.
🗣پروژههای من به این ترتیب جلو میروند: در حین جستوجو در فضاهای عمومی اینترنت وقتی به دادههای عمومی یا هر داده دیگری که بدون هیچ محدودیتی به طور کامل در دسترس عموم است، برمیخورم، آنها را برای آنالیزهای بیشتر در آینده جمعآوری میکنم.
پروژههای من به این ترتیب جلو میروند: در حین جستوجو در فضاهای عمومی اینترنت وقتی به دادههای عمومی یا هر داده دیگری که بدون هیچ محدودیتی به طور کامل در دسترس عموم است، برمیخورم، آنها را برای آنالیزهای بیشتر در آینده جمعآوری میکنم.
اگر در میان این دادهها هر نوع داده خصوصی یا حساسی وجود داشته باشد، من طبق یک سیستم افشای اطلاعات مسوولیتپذیر با صاحب داده (شرکت یا سازمانی که اطلاعات را به صورت عمومی در دسترس قرار داده) تماس میگیرم. جریان را به آنها اطلاع میدهم. دراین تماس، کمکشان میکنم تا برای محافظت از دادههای خصوصیشان اقدامات امنیتی خاصی را انجام بدهند.
من در روز ۲۴ مارس بعد از اینکه مطمین شدم دادههای حساسی وجود دارند، با تامینکننده خدمات هاستینگ یعنی جایی که اطلاعات روی آن قرار داشت، تماس گرفتم و گزارش را فرستادم. این اطلاعات در نهایت ۲۵ مارس از روی هاست برداشته شد. اما هاست همچنان فعالیت میکرد. در روز ۳۱ مارس بعد از مکالمه با مرکز ماهر، این سرور به طور کامل خاموش شد. روشن نیست که چه کسی دادهها را در اختیار دارد. چون دادهها برروی یک سرور ابری ناشناس قرار داده شده بود. فقط میتوانم تایید کنم که این دادهها را گروهی به نام Hunting System (سامانه شکار) پست کرده بود. این سرور در روز ۳۱ مارس و بعد از صحبتّهایی که در توییتر با سامانه «مرکز ماهر»داشتم خاموش شد. تا قبل از آن یعنی از ۲۵ تا ۳۱ مارس، سرور روشن بود اما بانک داده از روی آن برداشته شده بود.
⬅️ ادامه گفتگو
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
▫️اوایل فروردین ماه امسال و در عرض چند روز، سه بار درز اطلاعاتی بزرگ در ایران رخ داد. در هر کدام این موارد، اشتباههای فنی باعث شده بود اطلاعات شخصی میلیونها نفر از شهروندان ایران بدون حفاظت در دسترس عموم قرار بگیرد.
یکی از بزرگترین این موارد یکم فروردین کشف و تقریبا ده روز بعد علنی شد؛ نام کاربری و شماره تلفن ۴۲ میلیون کابر ایرانی تلگرام که از پوسته های غیررسمی تلگرام استفاده میکردند، بدون اینکه رمز عبوری از آنها محافظت کند، در دسترس عموم بود. بعدتر تایید شد که این دادهها دستکم توسط یک هکر در یکی از انجمنهای اینترنتی فروش اطلاعات قرار داده شده بود. این اطلاعات را گروهی به نام «سامانه شکار» برروی یک سرور قرار داده بود.
▫️بعد از این گزارش، گمانهزنیهای بسیاری درباره منبعی که این اطلاعات را در اختیار داشته و آن را پخش کرده، مطرح شد. از جمله اینکه، اطلاعات را یکی از سازمانهای دولتی یا امنیتی در ایران در اختیار داشته است. سازمان فناوری اطلاعات ایران درز اطلاعات را تایید کرد و گفت که پیشتر درباره نسخههای غیررسمی تلگرام هشدار داده است. اما درباره چیستی «سامانه شکار» و جزییات مربوط به این درز اطلاعاتی واکنشی نداشت.
▫️باب دیاچنکو، مدیر بخش تحقیقات امنیت سایبری در Comparitech این موضوع را کشف کرده و آن را گزارش داده بود. او بعد از آرام شدن واکنشها، در گفتوگوی اختصاصی با یورونیوز درباره درز اطلاعاتی و دادههایی که به آنها دست پیدا کرده، توضیح داد:
◾️درباره اینکه دادهها شامل چه اطلاعاتی بوده، گزارشهایی منتشر شده اما درباره روش جمعآوری آنها کمتر کسی میداند. میتوانید بگویید این دادهها را چطور و کجا پیدا کردید؟
🗣یکی از کارهای همیشگی من کندوکاو محیطهای عمومی اینترنت و بررسی دادههایی است که روی این فضاهای عمومی در اینترنت قرار داده میشوند.
من هکر نیستم. کار من زیر نظر گرفتن جریان دادههایی است که دیتابیسهای باز و بدون حفاظت منتشر میشوند. منظورم از این دیتابیسها جاهایی مثل نتایج موتورجستوجوست. گاهی در بررسیهایم و هنگام جستوجو در اینترنت به دادههایی برمیخورم که نیاز به حفاظت دارند.
دادههای اخیر را روز ۲۱ ماه مارس (یکم فروردینماه) وقتی در موتور جستوجوی «باینریاج» BinaryEdge مشغول کار بودم، پیدا کردم. در آن زمان روی یک پروژه درباره «دادههای متنباز» کار میکردم. این اطلاعات در یک فضای قابلجستوجو قرار گرفته بودند و برای دسترسی به دادههای آنها هیچ رمز عبوری قرار داده نشده بود.
◾️درباره صاحب این دادهها و منبع انتشارشان چه اطلاع دیگری دارید؟ درباره منبع این دادهها مطالب متفاوتی منتشر شده است. شما دراینباره به چه اطلاعاتی برخوردید.
🗣پروژههای من به این ترتیب جلو میروند: در حین جستوجو در فضاهای عمومی اینترنت وقتی به دادههای عمومی یا هر داده دیگری که بدون هیچ محدودیتی به طور کامل در دسترس عموم است، برمیخورم، آنها را برای آنالیزهای بیشتر در آینده جمعآوری میکنم.
پروژههای من به این ترتیب جلو میروند: در حین جستوجو در فضاهای عمومی اینترنت وقتی به دادههای عمومی یا هر داده دیگری که بدون هیچ محدودیتی به طور کامل در دسترس عموم است، برمیخورم، آنها را برای آنالیزهای بیشتر در آینده جمعآوری میکنم.
اگر در میان این دادهها هر نوع داده خصوصی یا حساسی وجود داشته باشد، من طبق یک سیستم افشای اطلاعات مسوولیتپذیر با صاحب داده (شرکت یا سازمانی که اطلاعات را به صورت عمومی در دسترس قرار داده) تماس میگیرم. جریان را به آنها اطلاع میدهم. دراین تماس، کمکشان میکنم تا برای محافظت از دادههای خصوصیشان اقدامات امنیتی خاصی را انجام بدهند.
من در روز ۲۴ مارس بعد از اینکه مطمین شدم دادههای حساسی وجود دارند، با تامینکننده خدمات هاستینگ یعنی جایی که اطلاعات روی آن قرار داشت، تماس گرفتم و گزارش را فرستادم. این اطلاعات در نهایت ۲۵ مارس از روی هاست برداشته شد. اما هاست همچنان فعالیت میکرد. در روز ۳۱ مارس بعد از مکالمه با مرکز ماهر، این سرور به طور کامل خاموش شد. روشن نیست که چه کسی دادهها را در اختیار دارد. چون دادهها برروی یک سرور ابری ناشناس قرار داده شده بود. فقط میتوانم تایید کنم که این دادهها را گروهی به نام Hunting System (سامانه شکار) پست کرده بود. این سرور در روز ۳۱ مارس و بعد از صحبتّهایی که در توییتر با سامانه «مرکز ماهر»داشتم خاموش شد. تا قبل از آن یعنی از ۲۵ تا ۳۱ مارس، سرور روشن بود اما بانک داده از روی آن برداشته شده بود.
⬅️ ادامه گفتگو
🆔 @PingChannel
خبر، تحلیل، انتقاد - فناوری اطلاعات
euronews
گفتگو با باب دیاچنکو که درز اطلاعات کاربران ایرانی تلگرام را گزارش کرد
باب دیاچنکو، مدیر بخش تحقیقات امنیت سایبری در Comparitech این موضوع را کشف کرده و آن را گزارش داده بود. او بعد از آرام شدن واکنشها، در گفتوگوی اختصاصی با یورونیوز درباره درز اطلاعات و دادههایی که به آنها دست پیدا کرده، توضیح داد.