خبير أمن معلوماتي يكشف ثغرات بأنظمة "اتصالات مصر" تهدد المستخدمين

كشف باحثون بشركة "سيكيوريتي" (Seekurity) المختصة في أمن المعلومات ومقرها المكسيك، وجود عدة ثغرات متفاوتة الخطورة في أنظمة شركة "اتصالات مصر" تجعل المستخدمين عرضة للاختراق أو الضرر.

ونشر مدير الأمن السيبراني في سيكيورتي، محمد عبد الباسط النوبي، على صفحته في فيسبوك ملخصا لتقرير نشرته الشركة حول الثغرات التي اكتُشفت في أنظمة "اتصالات مصر" بعدما تجاهلت الأخيرة التقارير المرسلة إليها منذ 12 سبتمبر/أيلول الماضي.

وقال النوبي -وهو باحث أمني مصري ومخترق (هاكر) أخلاقي تمكن سابقا من اكتشاف ثغرات في مواقع عالمية مثل فيسبوك وغوغل وياهو وتويتر- إن الثغرة الأولى تتعلق بسماح "اتصالات مصر" لمحركات البحث بأرشفة الجلسات الصالحة لمستخدميها ما يؤدي إلى تسريب رموز جلسات مستخدم صالحة يمكن الوصول إليها باستخدام بحث بسيط على غوغل.

وأضاف أن نتائج البحث تحتوي على رموز مصادقة خاصة بحسابات المستخدمين على الموقع تمكن من يحصل عليها من الدخول إلى هذه الحسابات وإجراء أي عمليات متاحة مثل تحويل الرصيد أو الاشتراك في باقات جديدة.

وتسمح الثغرة الثانية باحتفاظ تطبيق "اتصالات مصر" للهواتف المحمولة بإمكانية الوصول إلى شريحة الاتصال (SIM card) حتى بعد انتقالها إلى مستخدم آخر.

وأوضح التقرير أنه في حالة قيام المستخدم الأول للشريحة بفتح حساب على تطبيق اتصالات مصر للهواتف المحمولة، ثم توقف عن استخدم الشريحة لبضعة أشهر، فإن شركة الاتصالات تقوم بسحب الخط، وإعادة بيعه لمستخدم جديد، ورغم ذلك يظل للمستخدم الأول إمكانية التحكم بالخط عن طريق التطبيق طالما لم يقم المستخدم الثاني بإنشاء حساب جديد على التطبيق.

أما الثغرة الثالثة فهي تتيح تسريب رقم هاتف المشترك إلى أي موقع ويب خارجي عن طريق شفرة برمجية بسيطة من نوعية "جافا سكريبت"، وتظل إمكانية التسريب قائمة طالما ظل المستخدم متصلا بالإنترنت من خلال "اتصالات هوتسبوت" أو "اتصالات أي دي أس أل"، وفق التقرير.

وتمثل هذه الثغرة انتهاكا للخصوصية، وتجعل المستخدم عرضة للهجمات المستهدفة على أساس رقم الهاتف المحمول التي تشمل استهداف الحسابات البنكية وحسابات مواقع التواصل الاجتماعي المرتبطة برقم الهاتف.

وتتعلق الثغرة الرابعة بحقن ما يسمى "اتصالات ويدجيت" (Etisalat Widget) -وهي مساحة تعرض معلومات أساسية للمستخدم وخطة اشتراكه- داخل التطبيقات والاتصالات غير المشفرة (التي تستخدم اتصالات http وليس https المؤمنة)، وهي خطوة "غير قانونية وتنتهك خصوصية وأمن المستخدم"، خاصة إذا تم حقنها في تطبيقات مصرفية حساسة، بحسب النوبي.

ونصح الباحث الأمني المستخدمين بعدم استخدام أي خدمات أونلاين لشركة اتصالات مصر حتى إصلاح الثغرات المذكورة، والخروج من كل جلسات العمل النشطة الخاصة بخدمات الإنترنت التابعة للشركة خشية تسريبها، والمسارعة بتسجيل شريحة الاتصال على تطبيق الهاتف لوقف أي حسابات أخرى متصلة بها سابقا.

ولم تصدر شركة "اتصالات مصر" حتى الآن أي بيانات رسمية أو ردود على حساباتها على مواقع التواصل الاجتماعي بشأن الثغرات التي ذكرها تقرير الأمن المعلوماتي.

ولكن جريدة "المال" المصرية (خاصة) نقلت عن مصدر مسؤول بالشركة -لم تسمه- قوله إن "جميع بيانات العملاء مؤمنة بالكامل من خلال أنظمة تكنولوجية قوية"، واصفا الحديث عن وجود ثغرات أمنية بأنه "ادعاءات كاذبة غير صحيحة وأن صاحبها لا يمتلك أساسا شركة مختصة في مجال حلول أمن المعلومات"، على حد قوله.

من جانبه، أكد محمد النوبي مدير الأمن السيبراني في سيكيوريتي في تصريحات للجزيرة نت صحة تقرير شركته التي تعمل في المكسيك منذ أكثر من أربع سنوات، ولها مشروعات تعاون في مجال الأمن المعلوماتي مع الحكومة واتحاد البنوك المكسيكيين.

وأشار إلى أنه بعد اكتشاف الثغرات تواصل مع "اتصالات مصر" عبر وسيط لإعلامهم بهذه الثغرات وأرسل إليهم تقريرا مفصلا، لكن شركة الاتصالات تجاهلت التقرير ورفضت التواصل مع شركته، مضيفا أنه لا يعلم ما إذا كانت "اتصالات" تداركت هذه الثغرات بعد نشر التقرير أم لا، وأوضح أن هدفه الأساسي حماية المستخدمين العاديين.

وأكد أن كل الثغرات التي اكتشفتها الشركة قدمت معها ما يسمى "إثبات صحة الثغرة" (Proof of Concept)، وهو دليل تستخدمه الشركات الخاصة بأمن المعلومات لإثبات وجود ثغرة ما.