إذا كنتم من بين الوافدين إلى لبنان في الآونة الأخيرة، فاعلموا أن بياناتكم الشخصية باتت بمتناول الجميع، فمنصة وزارة الصحة كانت مخترقة والمعلومات المخزنة في داخلها تسربت بسهولة تامة إلى جهات مجهولة، بحسب اختصاصيين في الأمن السيبراني.
أصوات عديدة في لبنان، ارتفعت لتحذّر من خطورة ما يجري وتحديداً من اختصاصيين في أمن المعلومات.
معلومات مثيرة للريبة
المستشار والخبير في التحول الرقمي وأمن المعلومات، رولان أبي نجم، حث وزارة الصحة على اتخاذ الاجراءات اللازمة حول الموضوع.
وفي حديث لـ"جسور" أشار أن أبي نجم، إلى أن "المعلومات التي تطلبها المنصة من المسافرين "دقيقة جداً ومثيرة للريبة"، متابعاً "فبدل الاكتفاء بنتيجة فحص الـPCR السلبية وشهادة التلقيح، تفرض على كل من ينوي التوجه إلى لبنان، تزويدها بمعلومات دقيقة ومفصلة عنه، من رقم جواز سفره، وهاتفه، إلى صورته الشخصية؛ إضافة إلى أسباب قدومه ومكان إقامته ورقم الرحلة وشركة الطيران التي جاء على متنها وغيرها من التفاصيل الخطيرة"، على حد قوله.
وأشار أبي نجم، إلى أن "هذه المعلومات تسربت بسبب عدم وجود نظام أمان سليم في المنصة مما أدى إلى اختراقها بسهولة".
أين تذهب البيانات؟
وسأل أبي نجم، "أين يتم تخزين هذه المعلومات وهل من جهات معينة وراء فرضها؟"، مضيفاً "إن تسريبها يشكل كذلك خطراً أمنياً على شخصيات سياسية ورجال أعمال". كما ذهب أبعد من ذلك، إذ ربَط الموضوع بحادثة "خطف أحد رجال الأعمال أخيراً، بعد وصوله إلى لبنان عن طريق المطار".
كذلك أشار أبي نجم، إلى أنه "من خلال هذه البيانات، يستطيع أي كان اختراق حساب المواطنين على مواقع التواصل الاجتماعي والتحكم بها". وبرأيه فإن "اللبنانيين اليوم يعيشون حالة من الرعب بعد علمهم أن بياناتهم الشخصية تسربت"، وتأسف من وضع الوافدين أمام خيارين "إما إعطاء بياناتهم للموقع إما عدم الميء إلى لبنان".
وعن الإجراءات التي يجب أن تتخذها الدولة والوزارة، قال "إن الوزارة قامت بخطوة صغيرة تقنية ونقلت الموقع من http إلى https أي نظام أمان أكثر"، ويضيف "من الغريب ألا تكون الوزارة قد اتخذت هذه الخطوة من البداية".
مع ذلك، يتابع أبي نجم "المعلومات المطلوبة تضع وزارة الصحة موضع الشك"، خصوصاً في "ظل الصراع القائم بين من تبقى فيها من أفراد تابعين للوزير السابق من جهة والتفتيش المركزي من جهة أخرى، أدى إلى إنشاء الوزارة منصة مختلفة عن منصة التفتيش".
بيان التفتيش المركزي
وكان التفتيش المركزي في لبنان، أصدر بياناً أوضح فيه "أن منصة http://pass.moph.gov.lb/ التي أطلقتها أخيراً وزارة الصحة العامة، لتنظيم آلية دفع كلفة فحص الـ PCR للوافدين إلى لبنان، لا تمت بأي صلة إلى منصة IMPACT التي أطلقها التفتيش المركزي، والتي استُخدمت بنيتها التحتية في حملة التلقيح منذ شباط 2021".
وأكد البيان أن المنصة الأولى "تلتزم بأقصى معايير الأمن وتحرص على الحفاظ على خصوصية البيانات وسلامتها. فالبيانات التي يتم جمعها عبر مختلف تطبيقات المنصة هي مشفّرة ويتم تخزينها على خوادم آمنة ومحمية لدى هيئة أوجيرو (هيئة من الهيئات الحكومية تقوم بأشغال لحساب وزارة الاتصالات) بشكل يجعل قرصنتها مستحيلة عمليًا".
طلباً للتوضيح، حاولت "جسور" التواصل مع وزارة الصحة اللبنانية، التي أفادت مصادرها بأنها "بدأت القيام بالإجراءات اللازمة"، من دون ذكر المزيد من التفاصيل.
تبليغ المتسجّلين؟
من جهة ثانية، كان لمنظّمة "سمكس" للحقوق والحريات الرقمية، دوراً هاماً في عملية الكشف عن الخرق، وأوضح المدير التنفيذي للمنظمة، محمد نجم، في اتصال مع "جسور"، أن "الوحدة التقنية في منظمتنا، تنبهت مساء الجمعة الماضي، إلى وجود ثغرتين في موقع وزارة الصحة، فأولاً هو ليس https، مما يعني أن جميع البيانات التي قدمها المسافرون غير مشفرة ومن الممكن أن تصل إلى يد جهة ثالثة، وثانياً لا كلمة سرّ تمنع الدخول إلى الموقع، مما جعله متاحاً للجميع".
كما أشار نجم، إلى أن الفريق سارع إلى التواصل مع وزارة الصحة وطلب منها "إيقاف الموقع أو إجراء التحديدثاث اللازمة"؛ معلناً استجابة الوزارة لطلبه إذ "حوّلت، منذ يومين، الموقع إلى https كما وضعت كلمة مرور وهو اليوم آمن تماماً".
ولفت نجم إلى مطلب أساسي، وهو أن "كل المواقع التي لها علاقة بتجميع البيانات يجب أن لا يتم إطلاقها قبل وضع تصاميم آمنة لها منذ البداية".
في هذا الإطار، ومع صعوبة ضبط البيانات السابقة بعد تسريبها، دعا نجم عبر "جسور"، وزارة الصحة إلى "أن تتحمل المسؤولية وتتواصل مع كل من تسجّلوا على الموقع قبل تحديثه، وهم بالآلاف، وأن تقوم بتبليغهم بأن بياناتهم قد تم اختراقها".
هذا وشدّد نجم على أن المنظمة "تكتّمت عن نشر الخبر قبل قيام الوزارة بالتحديث، منعاً لأن يستغل بعض الهاكرز الموضوع أكثر ويقوموا بسرقة المزيد من البيانات".
أصوات عديدة في لبنان، ارتفعت لتحذّر من خطورة ما يجري وتحديداً من اختصاصيين في أمن المعلومات.
معلومات مثيرة للريبة
المستشار والخبير في التحول الرقمي وأمن المعلومات، رولان أبي نجم، حث وزارة الصحة على اتخاذ الاجراءات اللازمة حول الموضوع.
وفي حديث لـ"جسور" أشار أن أبي نجم، إلى أن "المعلومات التي تطلبها المنصة من المسافرين "دقيقة جداً ومثيرة للريبة"، متابعاً "فبدل الاكتفاء بنتيجة فحص الـPCR السلبية وشهادة التلقيح، تفرض على كل من ينوي التوجه إلى لبنان، تزويدها بمعلومات دقيقة ومفصلة عنه، من رقم جواز سفره، وهاتفه، إلى صورته الشخصية؛ إضافة إلى أسباب قدومه ومكان إقامته ورقم الرحلة وشركة الطيران التي جاء على متنها وغيرها من التفاصيل الخطيرة"، على حد قوله.
وأشار أبي نجم، إلى أن "هذه المعلومات تسربت بسبب عدم وجود نظام أمان سليم في المنصة مما أدى إلى اختراقها بسهولة".
أين تذهب البيانات؟
وسأل أبي نجم، "أين يتم تخزين هذه المعلومات وهل من جهات معينة وراء فرضها؟"، مضيفاً "إن تسريبها يشكل كذلك خطراً أمنياً على شخصيات سياسية ورجال أعمال". كما ذهب أبعد من ذلك، إذ ربَط الموضوع بحادثة "خطف أحد رجال الأعمال أخيراً، بعد وصوله إلى لبنان عن طريق المطار".
كذلك أشار أبي نجم، إلى أنه "من خلال هذه البيانات، يستطيع أي كان اختراق حساب المواطنين على مواقع التواصل الاجتماعي والتحكم بها". وبرأيه فإن "اللبنانيين اليوم يعيشون حالة من الرعب بعد علمهم أن بياناتهم الشخصية تسربت"، وتأسف من وضع الوافدين أمام خيارين "إما إعطاء بياناتهم للموقع إما عدم الميء إلى لبنان".
وعن الإجراءات التي يجب أن تتخذها الدولة والوزارة، قال "إن الوزارة قامت بخطوة صغيرة تقنية ونقلت الموقع من http إلى https أي نظام أمان أكثر"، ويضيف "من الغريب ألا تكون الوزارة قد اتخذت هذه الخطوة من البداية".
مع ذلك، يتابع أبي نجم "المعلومات المطلوبة تضع وزارة الصحة موضع الشك"، خصوصاً في "ظل الصراع القائم بين من تبقى فيها من أفراد تابعين للوزير السابق من جهة والتفتيش المركزي من جهة أخرى، أدى إلى إنشاء الوزارة منصة مختلفة عن منصة التفتيش".
بيان التفتيش المركزي
وكان التفتيش المركزي في لبنان، أصدر بياناً أوضح فيه "أن منصة http://pass.moph.gov.lb/ التي أطلقتها أخيراً وزارة الصحة العامة، لتنظيم آلية دفع كلفة فحص الـ PCR للوافدين إلى لبنان، لا تمت بأي صلة إلى منصة IMPACT التي أطلقها التفتيش المركزي، والتي استُخدمت بنيتها التحتية في حملة التلقيح منذ شباط 2021".
وأكد البيان أن المنصة الأولى "تلتزم بأقصى معايير الأمن وتحرص على الحفاظ على خصوصية البيانات وسلامتها. فالبيانات التي يتم جمعها عبر مختلف تطبيقات المنصة هي مشفّرة ويتم تخزينها على خوادم آمنة ومحمية لدى هيئة أوجيرو (هيئة من الهيئات الحكومية تقوم بأشغال لحساب وزارة الاتصالات) بشكل يجعل قرصنتها مستحيلة عمليًا".
طلباً للتوضيح، حاولت "جسور" التواصل مع وزارة الصحة اللبنانية، التي أفادت مصادرها بأنها "بدأت القيام بالإجراءات اللازمة"، من دون ذكر المزيد من التفاصيل.
تبليغ المتسجّلين؟
من جهة ثانية، كان لمنظّمة "سمكس" للحقوق والحريات الرقمية، دوراً هاماً في عملية الكشف عن الخرق، وأوضح المدير التنفيذي للمنظمة، محمد نجم، في اتصال مع "جسور"، أن "الوحدة التقنية في منظمتنا، تنبهت مساء الجمعة الماضي، إلى وجود ثغرتين في موقع وزارة الصحة، فأولاً هو ليس https، مما يعني أن جميع البيانات التي قدمها المسافرون غير مشفرة ومن الممكن أن تصل إلى يد جهة ثالثة، وثانياً لا كلمة سرّ تمنع الدخول إلى الموقع، مما جعله متاحاً للجميع".
كما أشار نجم، إلى أن الفريق سارع إلى التواصل مع وزارة الصحة وطلب منها "إيقاف الموقع أو إجراء التحديدثاث اللازمة"؛ معلناً استجابة الوزارة لطلبه إذ "حوّلت، منذ يومين، الموقع إلى https كما وضعت كلمة مرور وهو اليوم آمن تماماً".
ولفت نجم إلى مطلب أساسي، وهو أن "كل المواقع التي لها علاقة بتجميع البيانات يجب أن لا يتم إطلاقها قبل وضع تصاميم آمنة لها منذ البداية".
في هذا الإطار، ومع صعوبة ضبط البيانات السابقة بعد تسريبها، دعا نجم عبر "جسور"، وزارة الصحة إلى "أن تتحمل المسؤولية وتتواصل مع كل من تسجّلوا على الموقع قبل تحديثه، وهم بالآلاف، وأن تقوم بتبليغهم بأن بياناتهم قد تم اختراقها".
هذا وشدّد نجم على أن المنظمة "تكتّمت عن نشر الخبر قبل قيام الوزارة بالتحديث، منعاً لأن يستغل بعض الهاكرز الموضوع أكثر ويقوموا بسرقة المزيد من البيانات".