⚙️ ملخص المقال
تم الكشف عن تسرب أمني كبير شمل ما يقارب مليون Passports وphoto IDs على الإنترنت العام دون أي حماية تمنع الوصول غير المصرح به. الأمر الذي يفضح أنظمة verification systems المستخدمة في قطاع خدمات البنية التحتية الرقمية، خصوصًا في تطبيقات مرافقة للاندماج المؤسسي مثل PuffPal المستخدم في أندية القنب في أوروبا وأمريكا، قد تحتوي على ثغرات تقنية خطيرة. الباحث الأمني Sammy Azdoufal كشف كيف أن عدم وجود access control وحفظ البيانات على روابط URL عامة عرض بيانات حساسة لخطر الاختراق والاستغلال.
🏗️背景 الحادثة: كشف الثغرات في أنظمة التحقق الإلكترونية
بدأت المشكلة عندما اكتشف الباحث الأمني سامي أزدوفال أن نظام إدارة الأعضاء في عدد من أندية القنب، خاصة تلك التي تُستخدم فيها خدمات شركة إيرلندية البرمجيات المعروفة باسم Cannabis Club Systems (CCS) أو Nefos Solutions، يخزن مستندات الهوية مثل جوازات السفر ورخص القيادة بشكل غير محمي على روابط عامة يمكن للجميع الوصول إليها.
النظام يتضمن تطبيقًا يُسمى PuffPal، يُستخدم لتسريع عمليات الدخول عبر مسح رموز QR، وقد اكتشف أزدوفال أن التطبيق يحتوي على ثغرات كبرى منها:
- تضمين مفتاح سري (secret key) لمنصة الدفع Stripe في نص برمجي واضح ضمن التطبيق.
- تمكين الوصول إلى ملفات الأعضاء عن طريق تعديل أرقام هوية على API بسيط.
🔌 كيف تم استغلال هذه الثغرات؟
كان من الممكن لأي هاكر يمتلك معرفة تقنية بسيطة استغلال الرابط العام للوصول إلى ملايين صور بطاقات الهوية، مع إمكانية الحصول على بيانات مثل أرقام الهواتف، العناوين، وأدق المعلومات مثل أنماط الاستهلاك في الأندية، بل حتى البيانات الخاصة بالمشاهير الذين لا يرغبون في كشف تفضيلاتهم.
أزدوفال أشار إلى أن الروابط للصور كان يمكن الوصول إليها بسهولة عبر بنية URL تعتمد أسماء النوادي وأرقام الأعضاء فقط، مثل:
https://ccsnubev2.com/v8/images/_{club}/ID/{user_id}-front.jpg.
🔧 التفاصيل التقنية وراء الخرق الأمني
النظام يسمح برفع 5000 بطاقة هوية يومياً من خلال آليات غير آمنة، إضافةً إلى وجود بوابة Admin portal مكشوفة عبر الإنترنت، حيث اقترنت سياسات كلمات المرور البسيطة، مما يجعلها عرضة للاختراق باستخدام قدرات حسابية متوسطة مثل GPU cracking.
ميزة الدردشة الخاصة بين النوادي والأعضاء عبر تطبيق PuffPal كانت أيضًا غير محمية بصورة كافية، مما يفتح الباب أمام اعتراض البيانات الحساسة أثناء عملية الاستخدام.
🏗️ استجابة الشركة ونتائج التحقيق
بعد التحذير والمتابعة، أعلنت الشركة المطورة Nefos Solutions إيقاف نظام PuffPal وتعطيل الواجهات البرمجية (APIs) الضعيفة مؤقتًا حتى يتم إصلاح الثغرات.
صرح أحد المؤسسين أنهم على اتصال مع هيئة حماية البيانات في إيرلندا (Data Protection Commission – DPC) لتقديم تقرير رسمي عن الخرق، مع التعهد بتحمل المسؤولية ودفع الغرامات واتخاذ إجراءات تصحيحية.
🌐 مشكلة أولويات العمل وقلة الاستجابة الأمنية
رغم كشف الثغرات مبكرًا، كان رد Nefos بطيئًا ولم يعكس الوعي الكافي بسرعة التصدي للتهديد، حيث أعيد فتح الروابط غير المحمية تلبيةً لمطالب الأندية التي اشتكت من تعطل الخدمة.
هذا التراخي أدى إلى استمرار تعرض بيانات حساسة تخص جزء كبير من المستخدمين لأخطار الاختراق حتى يونيو، حيث اكتشف أزدوفال إمكانية الوصول عبر أوامر curl إلى بيانات مثل أرقام جوازات السفر والعناوين البريدية والهواتف。
⚙️ المعالجات التقنية المقترحة
- فرض Access Control باستخدام آليات تحقق متعددة العوامل (MFA) على مختلف نقاط الدخول.
- تأمين واجهات البرمجة (APIs) باستخدام مفاتيح ومصادقة آمنة، وإزالة المفاتيح السرية من نصوص التطبيقات.
- حفظ الملفات الحساسة على خوادم خاصة غير متاحة عبر الإنترنت العام، واستخدام أساليب تشفير متقدمة للبيانات المخزنة.
- إجراء اختبارات أمنية دورية من قبل خبراء مستقلين لضمان سلامة الأنظمة قبل إعادة إطلاقها.
🔍 دروس مستفادة لما بعد الحادثة
الواقعة تؤكد أن أي نظام هندسي جديد، خاصة تلك التطبيقات التي تستخدم في مجالات حساسة كبنية الهوية الإلكترونية (Digital ID systems)، يجب أن تراعي ما يلي:
- تصميم أنظمة security engineering متكاملة من مرحلة تطوير البرمجيات حتى مرحلة النشر.
- تقييم المخاطر الأمنية باستمرار واستخدام penetration testing لاكتشاف الثغرات في وقت مبكر.
- الامتثال الكامل للقوانين التنظيمية مثل اللائحة الأوروبية الخاصة بحماية البيانات (GDPR).
- التعاون مع باحثي الأمن الإلكتروني عند اكتشاف الثغرات لتقليل الأضرار سريعاً.
🔒 أهمية حماية البيانات في الأنظمة الهندسية الحديثة
مع تزايد الاعتماد على الأنظمة الذكية في القطاعات الحيوية، يتوجب على مهندسي النظم والبرمجيات تطوير حلول أمنية متينة تضمن الخصوصية وحماية الهوية الشخصية.
استغلال البيانات الشخصية وغير المحمية قد يؤدي إلى أضرار مادية وتقنية على المستوى الصناعي مؤثرة على عمليات التصنيع وطاقم القوى العاملة والبنية التحتية.
🏁 الخاتمة
حادثة تسرب ما يقارب مليون وثيقة هوية شخصية على الإنترنت تكشف هشاشة أنظمة الأمن الرقمية المستخدمة في مؤسسات هندسية تعتمد على تخزين البيانات السحابية.
الواقع الأمني تطلب تحديثات مستمرة على “أنظمة التحقق الإلكترونية” verification systems وضرورة تطبيق إجراءات حماية صارمة وإدارة سليمة للبنية التحتية الرقمية.
في النهاية، تلعب الهندسة العامة الرقمية دورًا متزايدًا في حماية بيانات الأفراد والبنية التحتية، والتعلم من هذه الثغرات ضرورة لا بد منها للمحافظة على سلامة الأنظمة وثقة المستخدمين.
اكتشاف المزيد من Mohdbali
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
