مطلبی از کانال OSINT به موضوع روزنامه رسمی پرداخته است و این سوال را مطرح کرده است:
سایت ثبت شرکتهای ایران چه دسترسی هایی از افراد را به رایگان در اختیار قرار می دهد؟
دسترسی به تمام آگهی های تغییرات و تصمیمات مختلف با قابلیت پرینت بر روی سربرگ قوه قضاییه!! قابلیت جستجوی شماره ملی: حتی در صورت داشتن فقط یک شماره ملی میتوان به جستجو پرداخت. جستجوی شماره ملی ورسیدن به تمام کمپانی هایی که آن شخص در آن سهیم است و از آنجایی که پیش شمارۀ کد ملی نشان دهنده شهرستان محل تولد است لذا در همینجا محل تولد شخص نیز بدست آمده. جستجوی بخشی از نام یک کمپانی یا فامیلی های خاص و رسیدن به تمام اسامی مشابه آن و مابقی اطلاعات جستجوی اسم یکی از شرکاء و رسیدن به لیست اعضاء هیئت مدیره، مدیرعامل، بازرسان و آدرس اولین جایی که شرکت به ثبت رسیده! تاریخچۀ تغییرات شرکت
چرا باید اطلاعات هویتی افراد، بدون تایید هویت و اطلاع از نیت جستجوگر در دسترس عموم باشد؟ آیا نمیتوان دسترسی این اطلاعات را از حالت عمومی برداشت؟ نمیتوان اجازه دسترسی به اطلاعات را ملزم به ساخت اکانت واقعی با اخذ کدملی کرد؟ بسیاری از این اطلاعات بدون نیاز به ساخت اکانت قابل دسترسی است.
آیا این اطلاعات زمینه ساز سوء استفاده ها و مهندسی اجتماعی اطلاعات نمی گردد؟
نظر شما چیست؟
آیا اطلاعات روزنامه رسمی نقض حریم خصوصی است؟
با شمارهی ملی افراد چه کاری را میتوان انجام داد؟
کانال اوسینت توضیح میدهد که این سوء استفاده چیست؟
نمونه ای از مهندسی اجتماعی با داشتن اطلاعات هویتی:
کلاهبردار؛ تماس میگیرد و میگوید شما آقای رحیمی متولد 1360 نام پدر عباس و شماره ملی 006***** هستید؟
آقای رحیمی؛ بله
کلاهبردار؛ تبریک عرض میکنم شما فرد خوش شانسی هستید و در قرعه کشی ما برنده شده اید و …
آقای رحیمی؛ خدا خیرتان بدهد کلی گرفتاری داشتم. ممنون
کلاهبردار؛ خواهش میکنم، فقط با توجه به هشدارهای پلیس و حفظ حریم خصوصی ما فقط اجازه داریم تاریخ روی کارت بانکی شما را بپرسیم، لذا لطفا شماره کارت خود را روی گوشی تلفنتان وارد کنید و سپس ستاره را فشار دهید و شماره رمز و شماره چهار رقمی روی کارت نیز به همین ترتیب…
آقای رحیمی؛ وارد کردم.
کلاهبردار؛ ممنون از شما تا ساعاتی دیگر مبلغ به حسابتان واریز می شود. خدانگهدار
ساعت 12 شب کلاهبردار حساب آقای رحیمی را خالی نموده و متواری می شود. آقای رحیمی همچنان بدنبال پول خود به مراجع قضایی می رود و خبری از پول نیست.
با توجه به نزدیک شدن به ایام عید و افزایش موجودی حسابها بازار چنین کاسبی های دوباره داغ شده لذا با آگاهی رسانی به دوستان و آشنایان از این حوادث پیشگیری کنیم.
ی نکته مهم در مورد روزنامه رسمی اینه که این شرکت داعیه محرمانه بودن اطلاعات رو نداره. لذا همه اطلاعات رو منتشر میکنه. اما نحوه انتشار اطلاعات بگونه ایست که افراد یا کشورهای بیگانه امکان سو استفاده از این دادهها رو دارن (با کرول کردن یا حتی تایپ مجدد همه آگهی ها) ولی ذی نفعان داخلی مثل دانشگاهیان، اهالی رسانه و … امکان استفاده ندارند.
اگر قراره از این اطلاعات سوء استفاده نشه باید در نحوه ارائه داده تغییر ایجاد بشه مثلا در ازاء احراز هویت دادهها ( تا حد مشخصی) ارائه بشن و از این کارها…
مهمتر از اطلاعات هویتی، اطلاعات ارتباطی مثل اطلاعات تماس افراد است. اشکال در مواردی است که در حفظ این قبیل اطلاعات کوتاهی و یا سوء اسفاده صورت می گیرد. مثالهایی از فروش اطلاعات افراد توسط بیمهها و دیگر نهادهای دولتی وجود دارد که مورد سوء استفاده کلاهبرداران و یا شرکتهای تبلیغاتی قرار می گیرد.
با یک نگاه گذرا به مجموعه قوانین اساسی و عادی در کشور ما گفتنی است که دامنه مواردی که داخل در تعریف حریم خصوصی میشوند بسیار وسیع است به نحوی که شامل تمامیت جسمانی، اطلاعات شخصی، ارتباطات اینترنتی، اماکن و اشیاء شخصی میشود. مصادیق حریم خصوصی در کشورهای مختلف جهان بسته به درک فرهنگی و احترام به آزادیهای فردی دارای نوسانات و محدودههای متفاوتی است.
این شرکت باید ی فرمت مشخص و دقیق برای وارد کردن دادهها طراحی بکنه. اینطوری:
همه دادهها با یک فرمت یکسان ارائه خواهند شد (مثلا همه شمارهها و کدها به عدد نوشته بشن)
میشه با یک فیلتر ساده اطلاعات ناظر به حریم خصوصی مثل اطلاعات تماس رو به کاربر عادی نشون نداد
حداقلهایی که در هر سند باید موجود باشند، موجود خواهند بود.
و فواید دیگر که احتمالا دوستان بتونن اضافه کنند
دسترسی به تمام آگهی های تغییرات و تصمیمات مختلف با قابلیت پرینت بر روی سربرگ قوه قضاییه!!
چرا باید اطلاعات هویتی افراد، بدون تایید هویت و اطلاع از نیت جستجوگر در دسترس عموم باشد؟ آیا نمیتوان دسترسی این اطلاعات را از حالت عمومی برداشت؟ نمیتوان اجازه دسترسی به اطلاعات را ملزم به ساخت اکانت واقعی با اخذ کدملی کرد؟ بسیاری از این اطلاعات بدون نیاز به ساخت اکانت قابل دسترسی است.
ساعت 12 شب کلاهبردار حساب آقای رحیمی را خالی نموده و متواری می شود. آقای رحیمی همچنان بدنبال پول خود به مراجع قضایی می رود و خبری از پول نیست.
با توجه به نزدیک شدن به ایام عید و افزایش موجودی حسابها بازار چنین کاسبی های دوباره داغ شده لذا با آگاهی رسانی به دوستان و آشنایان از این حوادث پیشگیری کنیم.