فضيحة تسريب معطيات مليون طالب من منصة توجيهي تجر الميراوي للمساءلة أمام البرلمان
لا تزال وزارة التعليم العالي والبحث العلمي والابتكار تعيش على وقع تداعيات فضيحة تسريب هائل لبيانات ما يقارب مليون طالب مغربي، تمكنت مجموعة هاكرز من الوصول إليها، بعد اختراق منصة “توجيهي”، الفضيحة التي قالت لجنة حماية المعطيات ذات الطابع الشخصي أنها ستتخذ الإجراءات المناسبة بخصوصها، وذلك إثر مسائلة النائب البرلماني رشيد حموني، رئيس فريق التقدم والاشتراكية بمجلس النواب، للوزير حول حماية المعطيات الشخصية للطلبة في المواقع الإلكترونية والمنصات الرقمية التابعة للوزارة.
وقال النائب البرلماني، في سؤاله للوزير، أن اللجنةُ الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي أصدرت بلاغاً، يوم 23 دجنبر 2022، كشف أنَّ الوزارة لم تقم بالتصريح لدى اللجنة بالمعالجات الإلكترونية المنجزة من قِبَل الموقع المذكور، مضيفا أن ذلك “يُعَدُّ خرقاً لمقتضيات القانون 09.08 المتعلق بحماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي، ولا سيما للمادة 52 منه التي تنص على أنه: “يعاقب بغرامة من 10.000 درهم إلى 100.000 درهماً كل من أنجز ملف معطيات ذات طابع شخصي دون التصريح بذلك أو الحصول على الإذن”.
وتساءل رئيس فريق “الكتاب” بمجلس النواب حول حيثيات إقدام الوزارة على تصميم واستخدام منصة إلكترونية ومعالجة بيانات شخصية من خلالها دون تصريح أو إذن من الجهات المختصة، متسائلا عن الطريق الذي سوف يسلكه الوزير من أجل تحمل وزارته لمسؤولياتها إزاء الأشخاص (الطلبة) الذين قد يكونوا تعرضوا لأضرار نتيجة هذه المخالفة.
وطلب رشيد الحموني من الوزير عبد اللطيف الميراوي الكشف عن التدابير التي سوف يقوم بها، على وجه الاستعجال، من أجل تأمين وتدقيق الأنظمة والمنصات والمواقع الإلكترونية التي تعتمدها الكليات والجامعات والمعاهد التابعة لقطاع التعليم العالي.
وكانت اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي قد أكدت أنها ستتخذ الإجراءات المناسبة بخصوص ملف تسريب محتمل لمعطيات ذات طابع شخصي من الموقع الإلكتروني “tawjihi.ma”، التابع لوزارة التعليم العالي والبحث العلمي والابتكار.
وأوضح بلاغ للجنة الوطنية أنها وفور علمها بالخبر، الذي نشرته جريدة إلكترونية عقدت اجتماعا مع ممثلين عن وزارة التعليم العالي والبحث العلمي والابتكار بصفتها المسؤول عن معالجة المعطيات ذات الطابع الشخصي في الموقع الإلكتروني المشار إليه، وممثلين عن الجريدة الإلكترونية بصفتها مصدر الخبر.
وأضاف المصدر ذاته أنه “قد تبين، بدون حكم مسبق على وقائع هذا التسريب المحتمل، أنه لم يتم التصريح لدى اللجنة الوطنية، بالمعالجات المنجزة على الموقع الإلكتروني “tawjihi.ma”، مما يعتبر مخالفة في حد ذاتها وفقا للمادة 52 من القانون رقم 08-09″.
وقال البلاغ أن المادة المذكورة تنص على “دون المساس بالمسؤولية المدنية تجاه الأشخاص الذين تعرضوا لأضرار نتيجة هذه المخالفة، يعاقب بغرامة من 10 آلاف درهم إلى 100 ألف درهم كل من أنجز ملف معطيات ذات طابع شخصي دون التصريح بذلك أو الحصول على الإذن المنصوص عليه في المادة 12 أعلاه، أو واصل نشاط معالجة المعطيات ذات الطابع الشخصي رغم سحب وصل التصريح أو الإذن”.
وخلص البلاغ إلى أن اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي ستتابع دراسة الملف من أجل اتخاذ القرارات والاجراءات المناسبة، وفقا للمخالفات التي قد يتم رصدها.
وقال موقع “لوديسك” أن “الفضيحة” تهم تسريب بيانات ما يقارب المليون طالب وموظفين في جامعة القاضي عياض بمراكش، مضيفة أن القراصنة تمكنوا من الوصول إلى قاعدة البيانات الكاملة لوزارة عبد اللطيف الميراوي.
وكشف المصدر نفسه، أنه في 6 دجنبر الجاري، تم وضع قاعدة بيانات متحصل عليها من خوادم وزارة التعليم العالي على الإنترنيت في منتدى لـ”الهاكرز”، نشره مستخدم يدعى KromSec، بالإضافة إلى تسريبين آخرين يتعلقان بمؤسسات حكومية بتركيا وإيران.
ومن بين المعلومات المنشورة، وفق المصدر نفسه، الأسماء الشخصية والعائلية وتواريخ الميلاد والمؤسسات الجامعية وأرقام البطاقة الوطنية ومُعرفات مسار لما يقرب من 942 ألف و929 طالب.
وبحسب المصدر نفسه، فإن هذا التسريب حديث، نظرا لوجود طلبة مولودين بين عامي 2004 و2005، وأيضا وجود 4 طلاب من مواليد 2006، مشيرا إلى انتشار مواليد عام 2000، وهو ما يعني أن البيانات تغطي العام الدراسي الأخير.
وأكد التقرير أن القائمة تهم موسمي 2020-2021 أو 2021-2022، فإنها تتعلق بنسبة 95 بالمائة أو 88 بالمائة من الطلبة المسجلين في التعليم العالي على التوالي.
وأشار المصدر ذاته، إلى أنه في 17 دجنبر، أي بعد 11 يوما من التسريب الأول، قام موقع “ليك بايز”، بنشر قاعدة بيانات تخص جامعة القاضي عياض والمؤسسات الجامعية التابعة لها، حيث تضم الأسماء الشخصية والعائلية، والأزواج، والعناوين، والهواتف، والبريد الإلكتروني والحساب البنكي، والتغطية الصحية، ومراجع التحويل البنكي، وغيرها.
وأبرز المصدر أن هذا التسرب يختلف عن السابق من خلال استهدافه الدقيق. إذا كانت قاعدة البيانات تحتوي على معلومات مهمة عن الطلاب، وبدرجة أقل، المناصب الإدارية (العميد، نواب المديرين، الموارد البشرية، من بين أمور أخرى).
ونشر هاكرز جزائري يحمل اسم مستعار dz_underground ملف يسمح بالوصول إلى قاعدة البيانات الكاملة لوزارة التعليم العالي في نفس المنتدى، وهو المنشور الوحيد لهذا المستخدم الذي سجل في المنتدى في دجنبر 2022، بحسب موقع “لوديسك”.
