رئیس محترم دانشگاه آزاد اسلامی
طراحان محترم سامانه آموزشیار
سلام و احترام؛
در قرنی که اپهای ارائه دهنده خدماتی مالی و همراهبانکها برای احراز هویت به این موضوع که سیمکارت ثبت شده در اپلیکیشن و کارت مبداً باید متعلق به یک نفر باشند و رمز دوم پویا برای هر تراکنش، اکتفا کردند (و همین به تنهایی توانسته کلی امنیت را افزایش دهد)، دانشگاه آزاد در اقدامی نابخرادانه، برای ورود به سامانه آموزشیار از دانشجویان اقدام به دریافت عکس سلفی میکند و گفته است که همان عکس را بهجای عکس پرسنلی و ۳*۴ افراد برای صدور مدارک تحصیلی دانشجویان استفاده خواهد کرد!
به جای اینکه رمز یکبار مصرف سامانه آموزشیار به سیمکارت خود دانشجو (که فقط یکی از آن موجود هست و بهطور همزمان فقط از روی یک دستگاه امکان دسترسی به پیامکهای ورودیاش وجود دارد) ارسال شود، به اپلیکیشن iGap ارسال میشود (که به طور همزمان میتواند بر روی چندین گوشی ثبت و مورد استفاده قرار گرفته و بعد هم تمامی پیامهای دریافت شده جدید از سمت ربات اطلاعرسانی آموزشیار به خاطر ورود شخص جدید به سامانه در iGap حذف شده و دانشجو هم بویی نبرد) و باعث کم شدن امنیت پنل کاربری دانشجو در آموزشیار میشود.
اگر قرار است اقدامی در جهت افزایش امنیت پنل کاربری دانشجویان صورت بگیرد، بهتر است که به جای این کار بیهوده که با وجود تکنولوژی دیپ فیک (جعل عمیق) و هک شدن و نشت اطلاعات چندین سال اخیر مانند بانک ملت، ایرانسل، تپسی و اسنپ فود و... (که به معنای وجود امکان هک شدن سامانه آموزشیار نیز هست) که باعث خدشهدار شدن امنیت دانشجویان میشود، لطفاً رمز یکبار مصرف ورود به سامانه آموزشیار را به سیمکارت خود دانشجویان ارسال کنند، نه به اپلیکیشن iGap.
پ.ن ۱: در ایران خانوادههای مذهبی و سنتی داریم که در صورت جعل تصویر فرزند، همسر یا یکی از اعضای خانوادهشان و قرار دادن آنها در مکان و لباس نامناسب به کمک ابزارهای هوش مصنوعی جدید (که انجام این کار را علاوه بر تصاویر حتی در ویدیوها و توسط افراد غیرمتخصص و با کمترین امکانات و به صورت رایگان ساده کردهاند) و حتی همان فتوشاپ قدیم، به راحتی اقدام به ضرب و شتم صاحب عکس و گاهی اوقات کشتن شخص (ارجاع به قتلهای ناموسی) میکنند؛ دادن عکسی با کیفیت سلفی به سامانهای که نه سیاست حفظ حریم خصوصی (privacy policy) آن مشخص هست و نه وضعیت امنیت آن، احتمال افزایش این قضیه رو بیشتر خواهد کرد. لطفاً این روش را در سامانه آموزشیار برای پیش نیامدن چنین مشکلاتی در آینده لغو کنید.
پ.ن ۲: "دستورالعمل حفاظت از دادهها؛ از رمزنگاری اطلاعات هویتی تا حذف دادهها به درخواست کاربر؛
دستورالعمل اجرایی حفاظت از دادهها و حریم خصوصی کاربران چه مواد و دستوراتی دارد؟ این دستورالعمل در چهار ماده تدوین شده و سکوها و پلتفرمهای داخلی را ملزم کرده است که تا دو ماه دیگر تمام دستورات، مواد و بندهای آن را اجرایی کنند، در غیر این صورت امکان استمرار فعالیت نخواهند داشت.
موارد ذکرشده در این دستورالعمل عبارتند از:
- سامانهها و پلتفرمها سیاستهای حفظ حریم خصوصی که مربوط به جمعآوری، پردازش و نگهداری اطلاعات و دادههای کاربران است را بهصورت شفاف اعلام و رضایت اشخاص مبنی بر پذیرش شرایط را اخذ کنند.
- سامانهها و سکوها همچنین باید شیوه دریافت و جمعآوری، اعم از دریافت مستقیم و غیرمستقیم، از کاربران را شفاف و مشخص کنند.
- سامانهها و سکوها باید نحوه و ابزار اطلاعرسانی درباره تغییر سیاستها را مشخص کنند، مجدداً رضایت صریح کاربران را دریافت کنند و تغییرات لازم را انجام دهند.
- در صورت درخواست کاربران برای حذف دادههای مرتبط از قبیل حذف حساب کاربری، تمام و یا بخشی از دادههای مرتبط با فعالیت آنان در سامانه و سکو بلافاصله انجام پذیرفته و دادههای حذفشده از سامانه و سکو امحا شود.
- دادههای مربوط به هویت و اطلاعات شخصی کاربران که منجر به شناسایی هویت ایشان میشود، صرفاً باید به صورت رمزنگاریشده ذخیره شود.
با تشکر.
ویژه
بحث و گفتگو