اطلاعات من، مسوولیت شماست

امروز شاهد یک اتفاق عجیب بودم که البته بی سابقه نیست. یک نفر از یک بانک کاری شخصی با کسی داشته که توی اون بانک حساب داره و به سادگی به خودش اجازه داده اطلاعات حساب اون فرد رو چک کنه، تلفش رو برداره و بهش زنگ بزنه.

ظاهرا این بانک با اینهمه ادعا دو نکته بدیهی رو نمی دونه:

1. در یک سازمان باید سطح دسترسی به اطلاعات تعریف بشه. افراد مختلف باید به بخش های مختلف دسترسی داشته باشن و هر کس باید فقط به بخشی از اطلاعات دسترسی داشته باشه که بهش مربوطه. این مساله به طور خیلی خاص تر در مورد اطلاعات شخصی افراد هم معتبره. سازمان های مدرن تر شاید تصمیم بگیرن بخش عظیمی از اطلاعاتشون رو برای تمام کارمندان یا حتی عموم مردم باز کنن ولی بازم این باز کردن نباید باعث زیر سوال رفتن پرایوسی آدم ها بشه. مثلا ممکنه فیسبوک با ایده دسترسی مسطح به اطلاعات، به همه کارمندانش اجازه بده به میزان چت ها دسترسی داشته باشن ولی نباید اجازه بده هر کسی بتونه چت افرادی که می خواد رو بخونه.

2. اگر من اطلاعاتی به سازمانی می دم، فقط در محدوده های مرتبط اجازه استفاده از اونها وجود داره. اگر من تلفنم رو به بانک می دم برای اینه که در صورت مشکلی در حسابم بهم زنگ بزنه یا بتونه موقع برداشت و پرداخت بهم اسمس بده. تبلیغ کردن یک سرویس همون بانک شاید در محدوده خاکستری باشه ولی دادن شماره من به یکی دیگه برای تبلیغ یا قرارداد متقابل و تبلیغ کردن یک سرویس دیگه مطمئنا محدوده قرمز است و تماس تلفنی یکی از کارمندهاش برای کارهای شخصی شون مطمئنا منطقه بنفش.

درک این موضوعات و برخورد جدی با این موارد است که اعتبار یک موسسه و سازمان رو حفظ می کنه و ما هم باید در موردش هشیار باشیم. هم به عنوان تولید کننده و مشاور سرویس ها و هم به عنوان مصرف کننده و کاربر.

  • MJafar Mash

    و همین مطلب دربارهٔ ایمیل‌های کاربران هم صادقه. پریروز مطلبی در این مورد و نقض مکرر حریم خصوصی توسط یکی از استارت‌آپ‌ها در وبلاگم نوشتم که شاید چک کردنش خالی از لطف نباشه

    http://mjafar.me/blog/2017/03/evand-spamming-case/

  • احتمالا حوصله‌ی نوشتن سطح دسترسی نداشتن، به همه اکانت ادمین دادن :)

  • mjpersia

    پیش فرض برای خیلی از سازمان‌ها همینطوری تعریف شده، مثلا بعد از گرفتن نماد (مسخره بازی محض) از اکثر psp های ممکن و شعبات و نمایندگانشون با شمارت تماس میگیرن بیا از ما درگاه بگیر، بدون اینکه خودت درخواست داشته باشی، شماره ات رو از کجا گرفتن؟ از نماد اعتماد!!! :)

    حالا شایدم تا حدودی طبیعی باشه که لیست نماد دستشون باشه، ولی تماسشون به این شکل واقعا مسخره است!

  • Rahim pourrahimi

    عامو حرفا میزنی ها !!!!!!!……

  • Xpedia

    نتیجه به جای یاد گرفتن کار با دیتابیس های مختلف زبان های برنامه نویسی مخلتف تجربه مهندسی اجتماعی فقط کافیه بری اونجا کار کنی در آمد هم که میدن :D جرم هم که محسوب نمیشه از این بهتر؟