سهلانگاری سایت مخابرات در حفظ حریم خصوصی کاربران: قبض تلفن ثابت هر فردی با جزییات کامل قابل مشاهده است!
برخی از سایتهای دولتی به خاطر شتاب در ارایه خدمات الکترونیکی به مردم و عقب نماندن از دهها اپ و سامانه دیگر؛ بسیار ضعیف و بدون هیچگونه تفکر مهندسی طراحی شدهاند. این سایتها علاوه بر داشتن باگها و اشکالات طراحی و برنامهنویسی متعدد؛ از نظر امنیتی هم بسیار ضعیف و شکننده نشان دادند.
حالا در این هیاهو؛ برخی سایتها سادهترین محرمانگی اطلاعات و حریم خصوصی مشترکان را رعایت نمیکنند و بدون هیچگونه تمهیداتی اطلاعات خصوصی میلیونها کاربر و مشتری را در اینترنت رها کردند.
برای نمونه؛ میتوان به مجموعه سایتهای مخابرات ایران و نحوه ارایه قبض تلفن ثابت اشاره کرد.
اگر وارد پرتال شرکت مخابرات ایران شوید و از بخش تلفن ثابت گزینه «پرداخت قبض» را انتخاب کنید؛ تصویری همانند زیر مشاهده میکنید:
خیلی ساده با وارد کردن یک شماره تلفن ثابت و البته پیششماره میتوانید از مبلغ قبض دورهای یک مشترک اطلاع پیدا کرده و حتا شناسه قبض و شناسه پرداخت آن را مشاهده کنید.
اما اوضاع وخیم سایتهای مخابرات به همینجا ختم نمیشود. اگر وارد سایت شرکت مخابرات ایران منطقه تهران شوید؛ میتوان اطلاعاتی فراتر از مبلغ قبض هر مشترک را مشاهده کرد:
در این سایت به طور سادهای با وارد کردن شماره تلفن ثابت، انتخاب نوع قبض و سال و دوره و تنها با وارد کردن یک کد امنیتی کپچا میتوان صورتحساب کامل یک مشترک را مشاهده کرد. همان صورتحساب و قبضی که قبلا برای مشترکان چاپ و ارسال میگردید.
همانطور که مشاهده میکنید؛ در این صورتحساب ریز مکالمات شهری و بین شهری، تلفن همراه، مکالمات خارج از کشور، ارزش افزوده و غیره درج شده است.
با کمی جستوجو در سایتهای مخابرات استانها؛ میتوان به روشهای دیگری برای یافتن اطلاعات قبض تلفن ثابت مشترکان و حتی دریافت قبض روی موبایل به صورت ماهیانه دست یافت.
دسترسی ساده به اطلاعات خصوصی دهها میلیون مشترک
گاهی اوقات درباره نقض حریم خصوصی یک تعداد محدودی از کاربران یا مشترکان صحبت میکنیم اما مخابرات ایران دهها میلیون مشترک دارد و به طور حتم اطلاعات قبوض آنها محرمانه هستند. هیچ فردی راضی نیست که قبض تلفن ثابت او روی اینترنت به راحتی توسط افراد دیگر مشاهده شود.
معمولا در چنین سرویسهایی از مشترک اطلاعات بیشتری برای اعتبارسنجی و احرازهویت افراد دریافت میشود. سادهترین اطلاعات میتواند کد پستی باشد یا با ارسال کدی به شماره تلفن همراه یا ایمیل، از مشتری درخواست تایید فرآیند صدور قبض الکترونیکی را داشته باشند.
شاید برخی از افراد بپرسند که اطلاعات یک قبض تلفن ثابت مانند مبلغ دوره یا ریز هزینههای مکالمات چه فایدهای برای دیگران دارد؟ به نظر میرسد طراحان سایتهای مخابرات دقیقا با چنین منطقی خود را توجیه کردند. با اطلاعات درون یک قبض تلفن ثابت میتوان دهها سوءاستفاده و سناریو کلاهبرداری یا اخاذی را طرحریزی کرد.
اگر فردی با شما تماس بگیرد و با دادن اطلاعات کاملی از مکالمات شما و هزینه قبض و غیره؛ خودش را کارگزار مخابرات معرفی کند و بعد به بهانه تخفیف یا سرویس جدید یا برنده شدن در جشنواره پرداخت غیرحضوری؛ از شما شماره کارت و رمز دوم و … بخواهد؛ آیا باز هم دسترسی علنی و ساده به تمامی قبوض مشترکان خطایی بزرگ نیست؟
از سوی دیگر میتوان تصور کرد که اطلاعاتی مثل میزان مکالمه و یا مکالمه بین شهری، در برخی موارد میتوانند مورد کنجکاوی دوستان یا افراد خاص قرار بگیرند.
مهمتر از همه خطای همه ماست:
اینکه تصور میکنیم عمومی شدن تکههایی از اطلاعات زندگی خصوصی ما که دانستناش زیانی به ما نمیرساند، اگر عمومی بشود، نباید مورد اعتراض قرار بگیرد. در همین راستا خیلیها هم به امنیت پیامرسانهای خود توجه نمیکنند.
و باز از زاویه دید دیگر باید گفت که همین اطلاعات میتوانند ابردادههایی فراهم کنند که این ابردادهها یا big dataها میتوانند مورد سوء استفاده شرکتها، اشخاص یا حتی مؤسسات و دولتهای فرنگی هم قرار بگیرند.
این نوشتهها را هم بخوانید
من یکم باهاش بازی کردم. تفریح خوبیه. هرچند که حتما باید این باگ برطرف بشه اما میشه استفاده مثبت هم ازش کرد. می تونید شماره ی شرکت ها و کسب و کارهای بزرگ رو درش وارد کنید تا یه ایده ی کوچک از مخارج ماهانه شون دستتون بیاد.
به سایت 118 هم سر بزنید. جالبه :)))
یک مورد خیلی مهمتر که کمتر کسی بهش توجه میکنه همون سامانه 2000 هست که برای پرداخت قبض استفاده میشه. موقع پرداخت که اطلاعات کارت رو باید با کلیدهای گوشی تلفن وارد کنیم اگر کسی یک نوع دستگاه شنود روی خط ما کار گذاشته باشه میتونه پی به اطلاعات کامل کارت ما ببره. شماره کارت و رمز رو میشه به راحتی با یک دستگاه دیکودر dtmf دیکود کرد.
دقیقاً! برای پرداخت امن اینترنتی باید فقط از درگاه های HTTPS استفاده کرد.