البرنامج الوطني لدعم الأسر الأكثر فقراً يهدّد بيانات المواطنين اللبنانيين

في إطار مهمّتنا التي تتمثل بحماية حقّ المواطنين اللبنانيّين في الخصوصية الرقمية، أجرينا تحليلاً تقنياً للأمن والخصوصية على المنصة الحكوميّة لـ”لبرنامج الوطني لدعم الأسر الأكثر فقراً” nptp.gov.lb.

كشفت النتائج التي توصّلنا إليها عن ثغرات خطيرة من شأنها أن تعرّض البيانات الشخصية التي جُمِعَت على الموقع للخطر.

في العام 2011، أطلقت وزارة الشؤون الاجتماعية اللبنانية “البرنامج الوطني لدعم الأسر الأكثر فقراً”، بتمويل من البنك الدولي وبإدارة الحكومة اللبنانية. أكّد مصدر في البنك الدولي لـ”سمكس” أنّ البنك غير مشاركٍ في المنصّة الإلكترونيّة التي أطلقتها الوزارة، وبعد ذلك تواصلنا مع مدير عام وزارة الشؤون الاجتماعية للاستفسار عن المنصة ومشاكلها الأمنية، غير أنّنا لم نتلقَّ أيّ جواب حتى الآن.

التحليل الفني والقانوني

تتمثّل أبرز المشكلات التي لحظناها على الموقع في غياب “تشفير طبقة المنافذ الآمنة” (SSL)، إذ تُرسَل البيانات التي يرسلها المستخدمون إلى الموقع الإلكتروني، وخاصة على لرابط http://nptp.gov.lb/Complaints/NewComplaint، على شكل نصّ عادي مقروء إلى السيرفر المتوفّر على عنوان بروتوكول الإنترنت التالي: 89.17.127.42.

يطلب الرابط المذكور آنفاً الاسم ورقم الهاتف، ما يعتبر خرقاً لخصوصية المستخدمين بما أنّ مزوّدي خدمات الإنترنت والبرمجيات الوسيطة بين المستخدم والسيرفر غير مشفرة. وقد يؤدي ذلك إلى مراقبة البيانات وجمع المعلومات الشخصية من دون موافقة المستخدمين، ما يشكّل أيضاً خرقاً للمادة 93 من قانون “المعاملات الإلكترونية والبيانات ذات الطابع الشخصي” رقم 81/2018، والتي تنص على ما يلي:

“يجب على المسؤول عن معالجة البيانات ذات الطابع الشخصي أن يتخذ جميع التدابير، في ضـوء طبيعـة البيانات والمخاطر الناتجة عن المعالجـة، لضـمان سـلامة البيانـات وأمنهـا ولمنـع تعرضـها لتشـويه أو تضررها أو وصولها إلى أشخاص غير مخولين الاطلاع عليها”.

وعلى صعيدٍ آخر، فإنّ السيرفرات التي تستضيف تطبيق “البرنامج الوطني لدعم الأسر الأكثر فقراً” ما هي إلّا إصدار قديم من سيرفرات معلومات من نظام ويندوز (Windows ISS) (الإصدار 7.5) الذي يعود إلى العام 2008. وتشير حقيقة استضافة سيرفر تابعٍ للحكومة اللبنانية لإصدارٍ قديم إلى غياب إدارة التصحيح أو رصد الثغرات الأمنية من قبل مديري سيرفر الويب التابع لـ”البرنامج الوطني لدعم الأسر الأكثر فقراً”، ما يسمح  باستغلال هذا السيرفر وقد يؤدّي إلى تسريب معلومات المواطنين الخاصة.

كما واكتشفنا على هذا السيرفر الكثير من الثغرات والمخاطر الأمنية الشائعة (CVEs) التي تعرّضه للتهديدات المحتملة. ولن ننشر هذه الثغرات والمخاطر الأمنية علنًا لأنّها قد تعرّض بيانات المواطنين للخطر، غير أنّنا نستطيع الكشف عن ثغرات ومخاطر أمنية شديدة الخطورة ينبغي معالجتها على الفور، إذ إنّها قد تؤثر على مدى توفّر ومدى سرية سيرفر “البرنامج الوطني لدعم الأسر الأكثر فقراً”، وقد تتسبّب بخرق السيرفر.

وفي شباط/فبراير 2021 الماضي، وفي خلال الإغلاق التام نتيجة كوفيد-19 وبعده، لاحظنا أنّ موقع nptp.gov.lb  قد عُمِّم على نطاق واسع بين المواطنين الساعين إلى التسجيل في البرنامج. وقد عرّضت الحركة المتزايدة على الموقع المزيد من المواطنين إلى خطر تسريب بياناتهم وإلى عمليات الاحتيال لنشر الروابط المزيفة. وبالتالي، نحث وزارة الشؤون الاجتماعية على تحديث الموقع ونشر قنوات الاتصال وإطلاع الجمهور على الجهة الرسمية المسؤولة عن الموقع. ونأمل من الوزارة الرد بأسرع وقت ممكن.

وأخيراً، لا يتوفّر على موقع “البرنامج الوطني لدعم الأسر الأكثر فقراً” سياسة للخصوصية بأيّ لغة.

التوصيات

نوصي وزارة الشؤون الاجتماعية التي تدير موقع “البرنامج الوطني لدعم الأسر الأكثر فقراً”، والبنك الدولي الذي يموّل البرنامج، بتحديث موقع البرنامج وتنفيذ التوصيات التالية:

  1. إضافة شهادة “طبقة المنافذ الآمنة” من هيئة “لتس إنكربت” (Let’s Encrypt) ووضعها على السيرفر.
  2. اعتماد مبادئ وسياسات تعزيز السيرفر.
  3. استخدام إدارة التصحيح الآلي، والاستعانة بالكثير من الحلول المحتملة مفتوحة المصدر.
  4. استخدام موازِنات التحميل (load-balancers) وجدار الحماية الخاص بتطبيق الويب (WAF) على سيرفر الويب بدلاً من عرضها مباشرة على الإنترنت.
  5. تطوير سياسة خصوصية للبرنامج والموقع الإلكتروني للبرنامج ونشرها بشكل علني على الموقع لتوعية المواطنين وتنبيههم بشأن ما يخاطرون به عند تقديم معلوماتهم للبرنامج وعلى الموقع الإلكتروني. ففي نموذج الاتصال المتوفر على الموقع الإلكتروني، يُطلَب تزويد الأسماء وأرقام الهواتف، لتُرسل بعدها إلى السيرفر بنصٍّ واضح ومن دون تشفير، ما يجعل إمكانية مراقبة هذه البيانات كبيرة جدّاً.
  6. استخدام “اختبار تورينغ العام المؤتمت بالكامل للتمييز بين الكمبيوتر والإنسان” (reCAPTCHA) قبل إرسال النموذج لتجنب مرسلي البريد العشوائي (spammers) والهجمات المحتملة عن طريق الحقن بالمدخلات (input injection attacks).
  7. ذِكر الجهة الرسمية المسؤولة عن هذا الموقع والبرنامج بصورة واضحة وعلناً، وتخصيص قنوات اتصال متعدّدة، وعدم حدّها برقم هاتف مجهول، وذلك من أجل تجنّب هجمات الاحتيال التي تستهدف الأشخاص المحتاجين.

تُعرب “سمكس” عن استعدادها لمساعدة التطبيقات والمواقع الإلكترونية الجديدة على تعزيز الخصوصية والأمن. كما وأنّها ستعمل – بالشراكة مع “مؤسسة فريدريش ناومان” (FNF) في لبنان وسوريا – على توسيع عملها في السهر على حماية بيانات المواطنين الرقمية على المنصات الحكومية اللبنانية.

This page is available in a different language English (الإنجليزية) هذه الصفحة متوفرة بلغة مختلفة

SMEX

“سمكس” هي منظمة لبنانية مسجلة تعمل على دعم المجتمعات المعلوماتية ذاتية التنظيم في الشرق الأوسط وشمال أفريقيا.