ليست المرة الأولى.. ثغرة كشفت بيانات آلاف المسافرين القادمين إلى بيروت
في إطار الإجراءات التي تتبعها الدولة اللبنانية للحد من انتشار فيروس كورونا، لا سيما خلال فترة عيدي الميلاد ورأس السنة المقبلين، أطلقت وزارة الصحة اللبنانية منصة " MOPH PASS" الخاصة بتسجيل الوافدين إلى لبنان عبر مطار بيروت للحصول على تصريح مرور صحي مبني على فحوصات " PCR".
وبناء عليه، أصدرت المديرية العامة للطيران المدني اللبناني، الاثنين 6 ديسمبر، تعميماً أبلغت فيه جميع الركاب الراغبين بالقدوم إلى لبنان أن يقوموا بالتسجيل على المنصة الإلكترونية الخاصة بوزارة الصحة، حيث يتوجب عليهم ملء استمارة مع كل البيانات الشخصية اللازمة، على أن يصبح هذا التسجيل ملزماً بعد تاريخ ١٥ ديسمبر، حيث يفرض على القادمين عبر مطار بيروت دفع مبلغ 30 دولارًا أميركيًا مسبقًا بواسطة بطاقة ائتمان حصرًا عبر المنصة الإلكترونية، ليتمكنوا من الحصول على التصريح.
وذكرت " الحرة " أن المنصة سرعان ما أثارت ضجة كبيرة في لبنان بعدما تبين عقب إطلاقها وجود ثغرات أمنية عدة تعرض بيانات المسجلين الشخصية لخطر الاختراق، وتهدد بيانات أي شخص يصل إلى مطار بيروت، حيث لم تلتزم الوزارة ببديهيات الأمن الرقمي وحماية خصوصية المستخدمين، وفق ما يؤكد الخبراء.
ثغرات خطيرة
اوضحت " الحرة " ان المديرة المساعدة لأمن المعلومات في منظمة "هيومن رايتس واتش" عبير غطاس، كانت أول من أثار هذه القضية عبر مواقع التواصل الاجتماعي، حيث لفتت في سلسلة تغريدات لها، إلى الخلل الأمني، وانعدام أدنى شروط الحماية على موقع الوزارة.
ليتبين في اليوم نفسه، أن منظمة "سميكس"، المعنية بحماية الحقوق الرقمية، قد سبق أن تواصلت بشكل مباشر مع وزارة الصحة اللبنانية، وأطلعتهم قبل أيام على الخلل الأمني وأن المنصة ليست آمنة، وفق ما أشارت المنظمة عبر بيان لها على مواقع التواصل الاجتماعي.
وأظهر تحليل "سميكس" التقني لمنصة pass.moph.gov.lb أنّها كانت تشتمل على ثغرات أمنية خطيرة، لم تعمد وزارة الصحة العامة إلى البدء بإصلاحها إلّا قبل يومين، حيث كان مئات المسافرين قد ملأوا بياناتهم عليها.
كما كشفت "سميكس" أنها تواصلت مع الوزارة التي ردت بأنها "على علم بنقاط ضعف المنصة"، ولكنّها لم تحجبها قبل إجراء التعديلات اللازمة، حيث كانت تعمل طيلة الوقت وفق بروتوكول HTTP غير المحمي بدلاً من HTTPS.
"هذا يعني أن أي شخص، وليس بالضرورة أن يكون مقرصناً محترفاً، قادر على الدخول عبر الـ "واي فاي" إلى البيانات، ويستطيع سحب كل المعلومات الخاصة بالمستخدمين"، وفق ما يؤكد لموقع "الحرة" مدير المحتوى الرقمي في منظمة "سميكس"، عبد قطاياً، وذلك لأن التواصل ما بين الموقع والمستخدم غير محمي، إضافة إلى أن كل البيانات الموجودة تظهر على شكل نص مكتوب وليس مشفراً.
كذلك يكشف التحليل التقني الذي أجراه فريق "سميكس" أنّ البيانات المجمعة لم تكن تخزن بشكل آمن، ويمكن أن تكون عرضة للتسريب والاختراق. "تحدثنا مع الوزارة تحت الهواء في الأمر، كي لا نعلن عن الأمر وتستفيد جهة ما من الثغرة إلى حين إصلاحها، وأمهلنا الوزارة يومين لمعالجة الخلل، قبل الإعلان عنه للرأي العام، وبالتزامن مع نشرنا للقضية على مواقع التواصل، تواصلت الوزارة معنا وأبلغتنا أنها قامت بالتعديلات وباتت المنصة آمنة"، بحسب قطايا.
بيانات حساسة
الوزارة عادت وأضافت طبقة الحماية SST على الموقع، وبات يخضع لبروتوكول HTTPS الآمن، ولكنها لم تتخذ أي إجراءات لتحذير الأشخاص الذين وضعوا بياناتهم على المنصة بشكل غير محميّ، حيث ترى "سميكس" أن على الوزارة العمل على معالجة تلك الثغرة فوراً.
"المشكلة تتعلق بنحو 3000 شخص كانوا قد سجلوا على المنصة مع إطلاقها، على الرغم من أنها لم تكن إلزامية قبل تاريخ 15 ديسمبر"، يقول قطايا، ويضيف "يجب على وزارة الصحة تبليغهم بأن بياناتهم كانت عرضة للاختراق في ذلك الوقت، والبحث عن طريقة لحمايتهم من أي تبعات قد تلحق بهم نتيجة انكشاف معلوماتهم الشخصية بهذه الطريقة، كما يجب عليهم إجراء تحليل أمني يبين ما إذا كانت هذه المعلومات قد نسخت أو جرى اختراق الموقع أو الخوادم."
وتتضمن هذه البيانات، معلومات ذات طابع شخصي من شأن تسربها أن يعود بالضرر على المستخدمين، حيث يكشف المستخدم للموقع عن بيانات الوصول، بلد الوصول، اسم الرحلة ورقمها، الاسم الكامل، رقم الهاتف المحمول، حالة التطعيم، تاريخ الجرعة، تاريخ التقرير بنتيجة الفحص، الجنس والجنسية، رقم جواز السفر، البريد الإلكتروني، الغرض من السفر، موقع الإقامة، بلد اللقاح، حالة الإصابة، تاريخ السفر، اسم الفندق في حالة الإقامة في الفندق، عدد جرعات اللقاح المأخوذة، كما تتضمن البيانات صورة شخصية وشهادة التطعيم أو مستند نتائج PCR ، إضافة إلى طريقة الدفع ومبلغ الدفع.
أسباب الخلل
موقع "الحرة" تواصل مع مديرة برنامج الصحة الإلكترونية في الوزارة، لينا أبو مراد، التي شرحت أسباب الخلل ، حيث أن النسخة التي كانت موضوعة في الخدمة كانت "نسخة تجريبية"، غير نهائية لبدء العمل عليها، وكان يفترض إطلاق النسخة النهائية قبل تاريخ ١٥ ديسمبر، الموعد الملزم لبدء التسجيل، "إلا أن التعميم الصادر عن مديرية الطيران بوقت مبكر لم نكن نتوقعه، بتاريخ ٦ ديسمبر، أثار التباساً لدى بعض الأشخاص القادمين عبر المطار واستخدموا النسخة التجريبية من المنصة التي لم تكن محمية وحملوا بياناتهم عليها قبل أن نستطيع إجراء التعديلات."
تضيف أبو مراد أن الوزارة كانت أمام خيارين "إما أن نمسح كل المعلومات ونطلب من الناس معاودة تعبئة بياناتها، أو أن نحفظ البيانات بنظام الحماية المستحدث ونحافظ عليها، وبعدما أجرينا تحليلاً أمنياً بين لنا عدم وجود أي خرق سبق أن حصل قبل تعديلات الحماية، اتخذنا الخيار الثاني وحافظنا على البيانات السابقة تفاديا لإثارة لغط لدى المسجلين من قبل."
وتلفت أبو مراد إلى أن المنصة اليوم آمنة تماماً، وتخضع لكافة معايير الحماية اللازمة، حيث تخضع لاختبارات يومية لضمان عدم وجود أي ثغرة قد تهدد بيانات المستخدمين، "هذا من مسؤولية الوزارة وهي تتعهد بتحملها، حيث تعاقدت مع شركة خاصة رائدة لتحقيق هذا الهدف."
يرى قطايا أنه "من حق أي متضرر من تسرب معلوماته الشخصية، أن يقاضي وزارة الصحة والشركات التي تعمل معها في هذا المشروع، من خلال قانون التعاملات الإلكترونية والبيانات ذات الطابع الشخصي الصادر عام ٢٠١٨، والذي يفرض على معالجي البيانات أن يؤمنوا لها الحماية اللازمة."
ويضيف المسؤول في منظمة "سميكس" أن أهم ما كان يجب أن تفعله وزارة الصحة ولم يحصل، "هو عدم إطلاق أي منصة بالأساس قبل أن تكون محمية، وقد حصل ذلك أكثر من مرة وهذه ليست الأولى، المشكلة أن التعامل مع الخصوصية يتم من ناحية الدولة بأسلوب ردة الفعل، بدلاً من أن تكون الحماية مرصودة بالفعل منذ مرحلة إنشاء المنصات والمواقع وليس بعد إطلاقها للعموم.
انعدام المعايير
تتفق أبو مراد مع قطايا بتوصيف المشكلة في انعدام معايير محددة وواضحة لإنشاء المواقع والمنصات الإلكترونية وحمايتها، "وإن وجدت فهي بسيطة" بحسب أبو مراد، فيما يرى قطايا أنه "وعلى الرغم من إقرار القانون ٨١ الخاص بالتعاملات الإلكترونية، إلا أنه لم يكن قانوناً كاملاً، بل جاء بعد ١٤ عاماً من وضعه عام ٢٠٠٤، هذا القانون لم يرصد نظام عمل واضح يحدد المعايير والمسؤوليات فيما يتعلق بمواقع الدولة الإلكترونية."
"ليس هناك جهة في الدولة اللبنانية تقدم المساعدة للمؤسسات الحكومية والوزارات في المجال الإلكتروني"، توضح أبو مراد، وبالتالي تضطر الوزارات إلى طلب هذه الخدمات من شركات خاصة، "وهذا يرفع التكاليف إلى حد لا تحتمله موازنات المؤسسات الحكومية في هذه الظروف الاقتصادية وانهيار العملة، لذلك نتأخر أحيانا في توفير الموازنات الكافية لإتمام هذه الأمور."
وتختم أبو مراد متمنية من الحريصين على أمن المعلومات والبيانات في لبنان، "أن يساعدوا مؤسسات الدولة، لأن وزارات الدولة تفتقر لدوائر مختصة بما يتعلق بالأمن الرقمي، وسط تآكل في الموازنات وحاجة لتعديل القوانين وتحديثها ليكون هناك آلية عمل ومعايير معتمدة."
ليست المرة الأولى
يذكر أنها ليست المرة الأولى التي تعرض فيها مؤسسات الدولة اللبنانية بيانات مواطنيها ومستخدميها للخطر، إذ سبق أن سجلت حالات عدة لهفوات أمنية وثغرات في حماية البيانات الخاصة بالمواطنين والوافدين إليها، رافقت معظم المنصات التي أطلقتها الوزارات اللبنانية، لاسيما خلال جائحة كورونا وما فرضته من إجراءات صحية واجتماعية، وترى منظمة "سميكس" في هذا السياق أن ما جرى مع منصة وزارة الصحة الأخيرة، "مثال آخر عن عدم اتّباع معايير السلامة لدى إطلاق المنصّات التي تُعنى بالصحة العامة."
وسبق للبرنامج الوطني لدعم الأسر الأكثر فقراً في لبنان، التابع لوزارة الشؤون الاجتماعية، أن هدّد للأسباب التقنية نفسها بيانات عدد كبير من المواطنين اللبنانيين، وتبين أنه يخزن معلوماتهم على خوادم قديمة تعود إلى العام ٢٠٠٨ ولا تحظى بأي حماية للبيانات. كذلك سبق أن أثارت منصة "Impact" الجدل نفسه، فيما أثارت تطبيقات تابعة لوزارة الصحة تساؤلات حول طلبها لأذونات غير ذات صلة بالهدف منها، كالوصول إلى بيانات الهاتف والكاميرا والميكروفون والموقع الجغرافي، مع ما يعنيه ذلك من مخاطر على الخصوصية والأمن الرقمي والشخصي للمواطنين.