خبرهای مهم: سریعا ویندوز خود را آپدیت کنید!

تاریخ امروز برابر است با [ یکشنبه ۲ مهر ۱۳۹۶ ]

احتمالا همه ی شما به نحوی با سايت رفاهی سر و كار داشته ايد. سايت رفاهی سايت اعلام حساب خانواده شما برای دريافت يارانه نقدی است.

 

حالا بيايد با هم صفحه اصلی سايت نگاه كنيم:

http://refahi.ir

همان طور كه مشاهده می كنيد ثبت حساب خانوار ملزم به ثبت سه ورودی شامل: كد ملی، سريال شناسنامه و همچنين كد امنيتی يا كپچاست.

كد ملی هر شخص يك عدد ده رقمی منحصر به فرد، سريال شناسنامه كه يك عدد شش رقمی  است و در آخر كپچا كد كه برای تشخيص انسان از يك كامپيوتر به كار می رود با در نظر گرفتن اين موارد افشای اطلاعات كاربران در وب سايت بنظر امری سخت و محال می رسد اما آيا واقعا اين چنين است؟ برای آزمايش من شماره ملی فردی رو از طريق گوگل هكينگ بدست آوردم كه هيچ مشخصاتی از جمله نام و نام خانوادگی از شخص مورد نظر ندارم بعد از اون كد ملی رو در قسمت مخصوص به خودش قرار دادم و برای سريال شناسنامه از اعداد ۱۲۳۴۵۶ استفاده كردم در آخر كپچا كد رو وارد كردم و بر روی كليد تاييد كليك كردم. نتيجه اين عمل رو می تونيد در دو تصوير زير مشاهده كنيد:

تصوير۱: ورود اطلاعات

نصوير ۲: نمايش مشخصات فردی و تعداد خانوار

همان طور كه مشاهده می كنيد ما وارد مشخصات حساب شخص شديم و اين به نمايشی بودن قسمت سريال شناسنامه صورت گرفت. بله همون طور كه شما هم متوجه شديد قسمت سريال شناسنامه كه بايد برای هر فرد يك عدد شش رقمی خاص باشد هر عدد شش رقمی را قبول كرده و با بدون هيچگونه كنترلی و فقط با دريافت كد ملی اقدام به نمايش مشخصات فرد می نمايد.

اما ماجرا به اينجا ختم نمی شود تصاوير بالا گويای نام و نام خانوادگی فرد و همين طور تعداد نفرات خانوار و چهار رقم آخر شماره حساب بانكی شخص است. برای اينكه از صحت امنيت سايت در مورد شماره حساب بانكی آگاه شويم اندكی نشانی وب را تغيير می دهيم و در خواست خود را ارسال می كنيم:

تصوير۳: نمايش شماره حساب بانكی فرد

حال ما علاوه بر مشخص شدن نام و نام خانوادگی و كد ملی مربوطه شماره حساب بانكی شخص را نيز در اختيار داريم.

پ ن۱: متن بالا پس از ارسال چندين باره اين مشكل به مسئولين اين پروژه  از چندين ماه قبل به رشته تحرير درآمده است در طی اين مدت بارها با ارسال پيام الكترونيك به برنامه نويسان و افراد مربوط به پروژه اين مورد را متذكر شدم و نتيجه ی از ارسال اين پيغام های متعدد حاصل نشد نگارش اين مطلب صرفا برای ايجاد فشار مردمی  و همچنين زنگ خطری برای مسئولين ذيربط است كه در آينده شاهد اينگونه موارد نباشيم.

نویسنده: پویا دانشمند

:: نظرات

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد.

*