ثغرة أمنية بلا كلمة مرور ..المهندس مروان يكشف استهثار المؤسسات العمومية بكلام الخبراء

10-أبريل-2025

قراءة 1 دقيقة

فاطمة الزهراء ايت ناصر

كشف المهندس المغربي في أمن المعلومات، مروان المحرزي العلوي، عن وجود ثغرة أمنية خطيرة في إحدى واجهات موقع وزارة الإدماج الاقتصادي والمقاولة الصغرى والتشغيل والكفاءات، تتيح الوصول إلى معطيات شخصية حساسة تخص آلاف المواطنين.

وحسب المحرزي العلوي، فإن واجهة الموقع تمكن من استخراج معلومات شخصية كاملة.

والأخطر من ذلك، حسب تعبيره، هو أن الوصول لهذه المعطيات لا يتطلب أي نوع من تسجيل الدخول، بل فقط إرسال طلب بسيط يحتوي على رقم مسار عشوائي، وهو ما يُعتبر خرقاً واضحاً لأبسط قواعد حماية المعطيات الشخصية التي يفرضها القانون المغربي المتعلق بحماية المعطيات ذات الطابع الشخصي.

وأكد أن الخطورة لا تكمن فقط في كشف المعطيات، بل في إمكانية استعمالها في هجمات إلكترونية أو حملات تصيد إلكتروني (phishing) تستهدف المواطنين.

وأوضح المهندس أن الخطأ الجذري يتمثل في استعمال واجهة “API” عامة كانت مخصصة لاستعمال داخلي، لكن تم تركها متاحة للعموم دون إجراءات التوثيق (authentication)، مشيراً إلى أن هذا النوع من الأخطاء يُصنّف ضمن “الهفوات البدائية” التي لا يجب أن تقع في منظومات تُعنى بتسيير قطاع حساس كالتعليم.

وفي قناته باليوتوب، أوضح مروان أن الثغرة تتعلق بواجهة برمجية (API) مفتوحة، مخصصة لاستخدامات داخلية من طرف الوزارة ، والتي يبدو أنها تركت الوصول إليها بدون حماية أو قيود، ما جعلها عرضة للاستغلال من طرف أي شخص يمتلك الحد الأدنى من المعرفة التقنية.

وفي سياق حديثه عن الثغرة، وهو يستعين بالذكاء الاصطناعي (chatgpt) أشار الى أن الخبير الأمني المعروف حسن خرجوج سبق له أن نبّه الوزارة إلى وجود هذه الثغرة منذ مدة.

غير أن الوزارة، بحسب المحرزي، لم تتفاعل مع التنبيه ولم تتخذ أي إجراءات وقائية، مما فتح الباب أمام الاستغلال المحتمل للثغرة والوصول إلى بيانات تلاميذ وأطر تعليمية.

وأضاف أن هذا التجاهل، يُطرح أكثر من علامة استفهام حول مدى جاهزية المؤسسات العمومية في المغرب للتعامل مع التهديدات الرقمية المتزايدة.