مخترق بيانات المكتب الوطني للسكك الحديدية يرد على بيان لخليع

حرر بتاريخ من طرف

بعد تسريب المعطيات الخاصة بتأخر قطارات المكتب الوطني للسكك الحديدية، الذي نفى الأمر عبر بيان نشرته وكالة المغرب العربي للأنباء، سعيا منه لتهدئة الغضب، وهدد المخترق بالمتابعة القضائية. جاء رد هذا الأخير بتقديمه لتفاصيل طريقة وصوله للبيانات مرفقا إياها ببعض النصائح العملية لكل من مهندسي المكتب الوطني للسكك الحديدية والمستعملين.

وقام المخترق بتقديم معلومات مفصلة عن الطريقة التي استخدمها لاختراق السيرفر serveur الذي يتم به تخزين ومعالجة هذه البيانات، مع تقديم دليل تطبيقي لإغلاق هذه الثغرة.

‎واعلن المخترق على موقعه للعموم ” أشاطركم هنا مجموعة البيانات الكاملة المستخدمة في موقع oncf.tk والطريقة التي قمت بها من أجل الحصول على البيانات، وكيف يمكنكم إعادة بنائها” . ولترسيخ المعطى فإنه يقدم لمستخدمي الإنترنت “أمثلة عن التطبيقات التي يمكنهم القيام بها عن طريق هذه البيانات” .

‎واوضح المخترق أنه حلل وقارن “البيانات بين تطبيق oncf trafic وسيرفر الباك اند (serveur backend) للمكتب الوطني للسكك الحديدية” . مضيفا “لم أتمكن من استغلال التطبيق المذكور، لذلك حاولت الوصول إلى الخادم (serveur)، فكانت المفاجأة (… ) إن الأمر سهل للغاية” .

‎وكشف الهاكر من خلال تصريحاته “ان الاتصال بالخادم الشبكي (serveur) غير مشفر، وايضا ان التطبيق الالكتروني، يستعمل رمز وصول وحيد token(عبارة عن مفتاح رقمي) للولوج” . بوضوح أكثر، يؤكد ” المكتب الوطني للسكك الحديدية لا تحدد رمز دخول لكل مستخدم، وبالتالي لا تتوفر على طريقة لتتبع كل مستخدم على حدة” .

‎”خبر جيد جدا !” علق قائلا، والملاحظ أنه راض عن اكتشافه. “علمت في وقت لاحق أن هناك الكثير من الأشخاص الذين توصلوا إلى نتائج مماثلة، وقاموا حتى بإنشاء أدوات على Github (منصة تسمح لمحترفي البرمجة والتطوير بتخزين ومشاركة البرامج التي قاموا بإنشائها بشكل متاح للعموم، او بشكل حصري)” .

‎واسترسل قائلا : “المفاجأة الثانية هي أن المكتب الوطني للسكك الحديدية يحتسب تأخر القطارات بالثانية “ . “كيف يمكن أن يكون هذا الكم الكبير من التأخيرات إذا تم الحساب بالثانية؟ ولماذا يتم إرسال هذه المعلومات، مادامت لا تعرض عبر التطبيق؟ “يتساءل، قبل أن يشرح بالتفصيل كيف طور” برنامجا خفيفا script بشفرة بيثون” ، أولاً” للحصول على قائمة المحطات الموجودة في الخادم serveur” ، ثم” تفريغ “ ( استخراج البيانات ، الملاحظات)، محطة بمحطة (زنگة زنگة كما وصفها) وحفظها كما هي في قاعدة البيانات.

‎وأخيرًا، أدرج الهاكر وفق ما اورده موقع “لودسيك”، لائحة “الثغرات الأمنية والأخطاء التي ارتكبها المكتب الوطني للسكك الحديدية” ، بل اقترح كذلك، قائمة من الإجراءات “لتصحيحها” ، قبل ان يشجع “مستخدمي الإنترنت المهتمين” ، على القيام بسلسلة من التطبيقات ستسمح للجميع بالاطلاع على متوسط تأخر القطارات ، و مقارنة ذلك بالدقائق” ،مع تلك المسجلة بالنسبة للسكك الحديدية اليابانية على سبيل المثال ، كما يمكن القيام أيضا بتطبيقات لتحديد الموقع الجغرافي للقطارات، أو معرفة تردد الاعطاب والتوقفات.

وكان المكتب الوطني للسكك الحديدية قد نشر بيانا عبر وكالة المغرب العربي للأنباء أنكر فيه صحة هذه المعلومات، معتبرا أن “هذه الادعاءات واهية ولا أساس لها من الصحة” مدعيا “أن الأمر يتعلق ببيانات مفبركة، غايتها التشويش وتغليط الرأي العام في ظل الظرفية الحالية” .

‎وفي بيانه المؤرخ 20 أكتوبر، أكد المكتب الوطني للسكك الحديدية “أنه لم يتم إطلاقا تسجيل أي اختراق سواء للمواقع الإلكترونية للمكتب أو لبياناته المعلوماتية” ، مشيرًا إلى أن المخترق المجهول “قام بتجميع بعض المعطيات انطلاقا من التطبيق الإلكتروني (application – ONCF TRAFIC) وعمل على تزييفها وتحريفها بغرض الإساءة والتشهير، علما أن هذا التطبيق موجه للعموم للاطلاع مباشرة على حركة سير القطارات” .

‎وذكر بيان المكتب الوطني للسكك الحديدية “أن المعطيات الدقيقة والصحيحة المتعلقة بحركة سير القطارات هي تلك المقدمة بكل شفافية وبشكل آني على القنوات التواصلية للمكتب (التطبيقات، شاشات المحطات… )” ، مهددا بأن “المكتب يحتفظ بكامل حقوقه التي يضمنها له القانون في اتخاذ الإجراءات اللازمة أمام الجهات القضائية المختصة” .

إقرأ أيضاً

التعليقات

فيديو

للنساء

ساحة