IMLebanon

ثغرة كشفت بيانات آلاف المسافرين القادمين إلى لبنان

جاء في جريدة القبس:

أطلقت وزارة الصحة اللبنانية منصة «MOPH PASS» الخاصة بتسجيل الوافدين إلى لبنان عبر مطار بيروت للحصول على تصريح مرور صحي مبني على فحوصات «PCR»، للحد من انتشار فيروس كورونا، لا سيما خلال فترة عيدي الميلاد ورأس السنة المقبلين.

وأصدرت المديرية العامة للطيران المدني اللبناني، الاثنين 6 كانون الأول، تعميماً أبلغت فيه جميع الركاب الراغبين بالقدوم إلى لبنان أن يقوموا بالتسجيل على المنصة الإلكترونية الخاصة بوزارة الصحة، حيث يتوجب عليهم ملء استمارة مع كل البيانات الشخصية اللازمة، على أن يصبح هذا التسجيل ملزماً بعد تاريخ 15 كانون الأول، حيث يفرض على القادمين عبر مطار بيروت دفع مبلغ 30 دولارًا أميركيًا مسبقًا بواسطة بطاقة ائتمان حصرًا عبر المنصة الإلكترونية، ليتمكنوا من الحصول على التصريح.

إلا أن المنصة سرعان ما أثارت ضجة كبيرة في لبنان بعدما تبين عقب إطلاقها وجود ثغرات أمنية عدة تعرض بيانات المسجلين الشخصية لخطر الاختراق، وتهدد بيانات أي شخص يصل إلى مطار بيروت، حيث لم تلتزم الوزارة ببديهيات الأمن الرقمي وحماية خصوصية المستخدمين، وفق ما يؤكد الخبراء.

المديرة المساعدة لأمن المعلومات في منظمة «هيومن رايتس ووتش» عبير غطاس، كانت أول من أثار هذه القضية عبر مواقع التواصل الاجتماعي، حيث لفتت في سلسلة تغريدات لها، إلى الخلل الأمني، وانعدام أدنى شروط الحماية على موقع الوزارة.

ليتبين في اليوم نفسه، أن منظمة «سميكس»، المعنية بحماية الحقوق الرقمية، قد سبق أن تواصلت بشكل مباشر مع وزارة الصحة اللبنانية، وأطلعتهم قبل أيام على الخلل الأمني وأن المنصة ليست آمنة، وفق ما أشارت المنظمة عبر بيان لها على مواقع التواصل الاجتماعي.

وأظهر تحليل «سميكس» التقني لمنصة pass.moph.gov.lb أنّها كانت تشتمل على ثغرات أمنية خطيرة، لم تعمد وزارة الصحة العامة إلى البدء بإصلاحها إلّا قبل يومين، حيث كان مئات المسافرين قد ملأوا بياناتهم عليها.

كما كشفت «سميكس» أنها تواصلت مع الوزارة التي ردت بأنها «على علم بنقاط ضعف المنصة»، ولكنّها لم تحجبها قبل إجراء التعديلات اللازمة، حيث كانت تعمل طيلة الوقت وفق بروتوكول HTTP غير المحمي بدلاً من HTTPS.

كذلك يكشف التحليل التقني الذي أجراه فريق «سميكس» أنّ البيانات المجمعة لم تكن تخزن بشكل آمن، ويمكن أن تكون عرضة للتسريب والاختراق.

وقالت «سميكس»: «تحدثنا مع الوزارة تحت الهواء في الأمر، كي لا نعلن عن الأمر وتستفيد جهة ما من الثغرة إلى حين إصلاحها، وأمهلنا الوزارة يومين لمعالجة الخلل، قبل الإعلان عنه للرأي العام، وبالتزامن مع نشرنا للقضية على مواقع التواصل، تواصلت الوزارة معنا وأبلغتنا أنها قامت بالتعديلات وباتت المنصة آمنة»، بحسب قطايا.

الوزارة عادت وأضافت طبقة الحماية SST على الموقع، وبات يخضع لبروتوكول HTTPS الآمن، ولكنها لم تتخذ أي إجراءات لتحذير الأشخاص الذين وضعوا بياناتهم على المنصة بشكل غير محميّ، حيث ترى «سميكس» أن على الوزارة العمل على معالجة تلك الثغرة فوراً.

«المشكلة تتعلق بنحو 3000 شخص كانوا قد سجلوا على المنصة مع إطلاقها، على الرغم من أنها لم تكن إلزامية قبل تاريخ 15 كانون الأول«، يقول قطايا، ويضيف »يجب على وزارة الصحة تبليغهم بأن بياناتهم كانت عرضة للاختراق في ذلك الوقت، والبحث عن طريقة لحمايتهم من أي تبعات قد تلحق بهم نتيجة انكشاف معلوماتهم الشخصية بهذه الطريقة، كما يجب عليهم إجراء تحليل أمني يبين ما إذا كانت هذه المعلومات قد نسخت أو جرى اختراق الموقع أو الخوادم».

وتتضمن هذه البيانات، معلومات ذات طابع شخصي من شأن تسربها أن يعود بالضرر على المستخدمين، حيث يكشف المستخدم للموقع عن بيانات الوصول، بلد الوصول، اسم الرحلة ورقمها، الاسم الكامل، رقم الهاتف المحمول، حالة التطعيم، تاريخ الجرعة، تاريخ التقرير بنتيجة الفحص، الجنس والجنسية، رقم جواز السفر، البريد الإلكتروني، الغرض من السفر، موقع الإقامة، بلد اللقاح، حالة الإصابة، تاريخ السفر، اسم الفندق في حالة الإقامة في الفندق، عدد جرعات اللقاح المأخوذة، كما تتضمن البيانات صورة شخصية وشهادة التطعيم أو مستند نتائج PCR ، إضافة إلى طريقة الدفع ومبلغ الدفع.

يذكر أنها ليست المرة الأولى التي تعرض فيها مؤسسات الدولة اللبنانية بيانات مواطنيها ومستخدميها للخطر، إذ سبق أن سجلت حالات عدة لهفوات أمنية وثغرات في حماية البيانات الخاصة بالمواطنين والوافدين إليها، رافقت معظم المنصات التي أطلقتها الوزارات اللبنانية، لاسيما خلال جائحة كورونا وما فرضته من إجراءات صحية واجتماعية، وترى منظمة «سميكس» في هذا السياق أن ما جرى مع منصة وزارة الصحة الأخيرة، «مثال آخر عن عدم اتّباع معايير السلامة لدى إطلاق المنصّات التي تُعنى بالصحة العامة».

وسبق للبرنامج الوطني لدعم الأسر الأكثر فقراً في لبنان، التابع لوزارة الشؤون الاجتماعية، أن هدّد للأسباب التقنية نفسها بيانات عدد كبير من المواطنين اللبنانيين، وتبين أنه يخزن معلوماتهم على خوادم قديمة تعود إلى العام 2008 ولا تحظى بأي حماية للبيانات.

كذلك سبق أن أثارت منصة «Impact» الجدل نفسه، فيما أثارت تطبيقات تابعة لوزارة الصحة تساؤلات حول طلبها لأذونات غير ذات صلة بالهدف منها، كالوصول إلى بيانات الهاتف والكاميرا والميكروفون والموقع الجغرافي، مع ما يعنيه ذلك من مخاطر على الخصوصية والأمن الرقمي والشخصي للمواطنين.