مشکل امنیتی بزرگ و گاف بزرگ سامانه اعلام حساب خانوار

[آبجی]

از چند روز پیش وزارت رفاه با اعلام سایت www.refahi.ir به عنوان سامانه ای که

تمامی خانوارها باید به آن وارد شده و شماره حساب سرپرست خانوار را ثبت کنند،

اعلام کرد.

نکته جالب توجه آنجاست که اگر نگاهی به سورس(منبع) صفحه نخست این سایت

بیاندازید با چیزی شبیه تصویر زیر مواجه می شوید و اگر به قسمت درون کادر دقت کنید

خطای نابخشودنی طراحان این سامانه را به چشم میبینید!

شرکت معظم گوگل سرویسی دارد به نام Analytics(+) که حقیقتاً در نوع خود بی نظیر

است. این سرویس برای آمارگیری و مشاهده رفتار کاربران در وب سایت شماست که به

شکلی عجیبی در سایت رسوخ می کند به نحوی که می تواند حتی زمان تقریبی حضور هر

کاربر را نیز به شما اعلام کند و از آن فراتر شما را قادر می سازد تا یکسری اهداف در وب

سایت خود تعریف نمایید و رفتار کاربران در مواجه با المانهای مورد نظر خود را بررسی کنید!

گوگل همه این موارد و حتی بیشتر از آنرا از طریق کدی بدست می آورد که شما بصورت

داوطلبانه در سایت خود جای می دهید.

اما خطای طراحان عزیز سایت refahi.ir کجاست؟

در این سامانه شما با ورود کد ملی و پس از آن شماره حساب خود و در برخی موارد شماره

موبایل خود اطلاعات لازم را در سایت درج می کنید و استفاده از کد سرویس analytics گوگل،

این شرکت معظم را قادر می سازد تا به حجم عظیمی از (و یا شاید همه) اطلاعات شخصی

افراد که شامل: کد ملی، نام و نام خانوادگی، شماره حساب و شماره موبایل دسترسی

داشته باشد و خوشحال باشد از این اتفاق!

طراحان این سامانه برای تامین امنیت سامانه از دیتاسنتر داخلی استفاده کرده اند و در حال

حاضر این سایت روی سرور شرکت www.aryasat.ir قرار دارد که امری قابل توجیه و صحیح

است ولی با این همه دقت در امنیت سرور، چنین خطای بزرگی در استفاده از سرویس آمارگیری

گوگل چه معنایی دارد؟

بهتر نیست در اینگونه موارد دقت کنیم؟