چه کسی فیسبوک را هک کرد؟
چه کسی فیسبوک را هک کرد؟ آیا فیسبوک تاکنون هک شده است؟ یک هکر معروف اخیرا در پست وبلاگی خود عنوان کرده است که در خلال برنامهاش برای کشف باگهای امنیتی، متوجه این نکته شده که هکری از قبل به سیستمهای فیسبوک نفوذ کرده است. این هک از نوع نفوذ به حسابهای مدیریتی کارمندان بوده است.
zoomit.ir - مهدی زارع: چه کسی فیسبوک را هک کرد؟ آیا فیسبوک تاکنون هک شده است؟ یک هکر معروف اخیرا در پست وبلاگی خود عنوان کرده است که در خلال برنامهاش برای کشف باگهای امنیتی، متوجه این نکته شده که هکری از قبل به سیستمهای فیسبوک نفوذ کرده است. این هک از نوع نفوذ به حسابهای مدیریتی کارمندان بوده است. در ادامه با ما همراه باشید.
فیسبوک به عنوان بزرگترین شبکهی اجتماعی مجازی جهان، همیشه در معرض خطر نفوذ توسط هکرها بوده است. به همین دلیل، این شرکت در برنامههای مختلفی، جوایزی برای هکرهایی که بتوانند باگهای امنیتی سیستمهایش را کشف کنند، در نظر میگیرد. هکری به نام اورنج تسای (Orange Tsai) به تازگی خبری جالب و البته نگرانکننده در مورد کشف حفرههای امنیتی فیسبوک منتشر کرده که نشان میدهد حسابهای کارمندان این شرکت در معرض نفوذ جدی قرار داشته است.
تسای در پست وبلاگی خود عنوان کرده که در خلال برنامههایش برای کشف باگهای امنیتی و کسب جایزهی فیسبوک به این نکته پی برده است که هکری دیگر در حدود ۸ ماه در سرورهای این شرکت نفوذ داشته و اطلاعات کاربری بسیاری از کارمندان این شرکت را جمعآوری کرده است.
تسای در ادامه توضیح میدهد که با استفاده از گوگل و اطلاعاتی که در اینترنت پیدا کرده است، توانسته یکی از دامنههای شبکهی داخلی فیسبوک با آدرس tfbnw.net که مخفف The Facebook Network است را شناسایی کند. او از طریق این دامنه توانسته است ۵ سرور دیگر فیسبوک را شناسایی کند. یکی از این سرورها در دامنهی files.fb.com قرار داشته که تسای مطمئن بوده مربوط به سرویس اشتراک امن فایل شرکت Accellion است. او با استفاده از روش هک سادهی SQL injection هفت حفرهی امنیتی در این سرویس پیدا کرده و طبق وظیفهی اخلاقیاش به فیسبوک و تیم پشتیبانی Accellion اطلاع داده است. تسای با استفاده از یکی از این حفرههای امنیتی وارد این سرور شده و کنترل ماشین را در دست گرفته است. البته شرکت Accellion نیز پس از اطلاع از این حفرهها سریعا پچ امنیتی مورد نظر را برای رفع آنها در اختیار کاربران قرار داده است.
داشتن چنین حفرههای امنیتی برای فیسبوک که سرورهایش مملو از اطلاعات شخصی افراد است، بسیار خطرناک است. اطلاعات موجود در سرورهای فیسبوک آن قدر گسترده هستند که میتوان آنها را غیر قابل تصور نامید. اما این حفرههای امنیت پایان کار نبودند. تسای در ادامهی بررسیهایش برای گردآوری مدارک به منظور ارائه به فیسبوک، اصطلاحا یک Backdoor پیدا میکند و به این نکته پی میبرد که هکر دیگری از این قسمت به سرورها نفوذ کرده است. هکر مورد نظر پس از نفوذ به سرور، یک کیلاگر (Keylogger) بر روی آن نصب کرده است. کیلاگر نوعی برنامهی مخرب است که دکمههای فشرده شده روی کیبورد کاربر را در فایلی ذخیره میکند. طبق گزارش تسای این هکر ناشناس تمامی این اطلاعات ذخیره شده را در مسیری در سرور ذخیره میکرده که فقط خودش به آنها دسترسی داشته است.
این هکر ناشناس در مدت زمان مشخصی کنترل کامل سرور را به دست داشته است. این قسمت از گزارش تسای باعث شده تا بسیاری از کارشناسان امنیت به این عبارت اشاره کنند که فیسبوک به طور کامل تحت کنترل هکر درآمده است.
اما پاسخ فیسبوک چند روز بعد از انتشار پست تسای منتشر شد. زمانی که بحثها در مورد مشکلی که تسای عنوان کرده بود زیاد شد، یکی از کارمندان بخش امنیت فیسبوک Reginaldo Silva در مطلبی عنوان کرد که این Backdoor کشف شده توسط تسای، توسط یکی دیگر از محققانی که مانند او به دنبال حفرههای امنیتی برای دریافت جایزه بودهاند، باز گذاشته شده است. او در ادامه به این نکته اشاره میکند که این سرور به طور کاملا مجزا از سرورهای اصلی که حاوی اطلاعات کاربران هستند کار میکرده است. بعلاوه او از این اتفاق به عنوان یک پیروزی برای فیسبوک یاد میکند. طبق گفتهی سیلوا، این که دو محقق بتوانند یک حفرهی امنیتی را کشف کنند و هیچکدام نتوانند فرآیند نفوذ را تشدید کنند، نکتهی مثبتی برای امنیت فیسبوک است.
او در ادامه میگوید هکر دیگری توانسته به مدت حدود یک سال به اطلاعات کاربری بیش از ۳۰۰ کارمند فیسبوک دسترسی داشته باشد، اما نتوانسته حملهی خود را تشدید کند. حتی اگر صحبتهای سیلوا در مورد جدا بودن سرور مورد نظر از ساختار کلی فیسبوک صحیح باشد، این نکته که این هکر توانسته باشد با استفاده از رمزهای عبور کارمندان به اطلاعات بیشتری دسترسی پیدا کند، برای بسیاری نگرانکننده است.
نکتهی دیگر این که جمعآوری اطلاعات ورود کاربران و کارمندان، جزو فعالیتهایی است که فیسبوک به شرکتکنندگان در برنامهی جایزهی امنیت اجازهی آن را نمیدهد. این بدان معناست که هکر ناشناس به دنبال کشف باگ و گرفتن جایزه نبوده است. بعلاوه صحبتهای سیلوا نیز به عنوان یک کارمند فیسبوک (طبق قوانین نیروی انسانی فیسبوک) قابل استناد نیست.
جایزهی بیارزش
نکتهی قابل توجه دیگر این است که جایزهای که فیسبوک به تسای پرداخت کرد، تنها ۱۰ هزار دلار بود. بسیاری از کارشناسان که گزارش تسای در مورد این اتفاق را مطالعه کردهاند، بر این باورند که این مبلغ در برابر کشف بزرگ این هکر محقق بسیار ناچیز بوده است. فیسبوک برای هکری که توانسته بود باگ امنیتی سادهتری را کشف کند، جایزهی بیشتری در نظر گرفته بود. آناند پراکاش (Anand Prakash) به این نکته پی برده بود که هر فردی میتواند با حملات مختلف و استفاده از بخش فراموشی رمز عبور در اپلیکیشن و وبسایتهای تست اپلیکیشن فیسبوک، حسابهای کاربری افراد را هک کند. او برای این کشف جایزهی ۱۵ هزار دلاری دریافت کرده بود در حالی که تسای توانسته بود به یکی از سرورهای مهم نفوذ کند و حتی کنترل سرور را در دست بگیرد و نفوذ هکری دیگر را گزارش کند و تنها ۱۰ هزار دلار جایزه دریافت کرد.
این اولین بار نیست که جایزهی نفوذ و کشف باگ، تیم امنیتی فیسبوک را به خطر میاندازد. البته این تیم همیشه بازخوردهای نسبتا نامناسبی نسبت به این گزارشها داشتهاند. سال گذشته هکری به نام وزلی واینبرگ (Wesley Wineberg) توانسته بود در خلال تحقیقاتش به این نکته پی ببرد که از طریق فیسبوک میتواند به ایسنتاگرام نیز نفوذ کند. او با ادامه دادن حملاتش توانست به بسیاری از اطلاعات حیاتی (حتی سورسکدها) دسترسی پیدا کند. اما تیم امنیتی فیسبوک تنها ۲۵۰۰ دلار به او جایزه داد و مدیر تیم امنیتی، به جای این که با واینبرگ ارتباط برقرار کند و در مورد نحوهی نفوذ و سری باگهایی که او پیدا کرده بود صحبت کند، تنها دستور شکایتهای قانونی علیه وی را داده بود. این حرکت او دیدی بسیار بد از فیسبوک در بین هکرها ایجاد کرد و آنها امنیت خود را در خلال برنامههای جایزهی امنیت فیسبوک، در خطر میبینند.
به هر حال اتفاقی که تسای گزارش کرده است، در دنیای هکرها اصلا اتفاق کوچکی نیست و نشان میدهد که تیم امنیتی فیسبوک اصلا درسهای مناسبی از گزارش سال گذشتهی واینبرگ نگرفته است. به هر حال به نظر میرسد تیم امنیتی این شرکت بزرگ باید تغییرات اساسی در سیاستهایش و برخورد با محققانی که به آنها کمک میکنند داشته باشد.
تسای در پست وبلاگی خود عنوان کرده که در خلال برنامههایش برای کشف باگهای امنیتی و کسب جایزهی فیسبوک به این نکته پی برده است که هکری دیگر در حدود ۸ ماه در سرورهای این شرکت نفوذ داشته و اطلاعات کاربری بسیاری از کارمندان این شرکت را جمعآوری کرده است.
تسای در ادامه توضیح میدهد که با استفاده از گوگل و اطلاعاتی که در اینترنت پیدا کرده است، توانسته یکی از دامنههای شبکهی داخلی فیسبوک با آدرس tfbnw.net که مخفف The Facebook Network است را شناسایی کند. او از طریق این دامنه توانسته است ۵ سرور دیگر فیسبوک را شناسایی کند. یکی از این سرورها در دامنهی files.fb.com قرار داشته که تسای مطمئن بوده مربوط به سرویس اشتراک امن فایل شرکت Accellion است. او با استفاده از روش هک سادهی SQL injection هفت حفرهی امنیتی در این سرویس پیدا کرده و طبق وظیفهی اخلاقیاش به فیسبوک و تیم پشتیبانی Accellion اطلاع داده است. تسای با استفاده از یکی از این حفرههای امنیتی وارد این سرور شده و کنترل ماشین را در دست گرفته است. البته شرکت Accellion نیز پس از اطلاع از این حفرهها سریعا پچ امنیتی مورد نظر را برای رفع آنها در اختیار کاربران قرار داده است.
این هکر ناشناس در مدت زمان مشخصی کنترل کامل سرور را به دست داشته است. این قسمت از گزارش تسای باعث شده تا بسیاری از کارشناسان امنیت به این عبارت اشاره کنند که فیسبوک به طور کامل تحت کنترل هکر درآمده است.
نکتهی دیگر این که جمعآوری اطلاعات ورود کاربران و کارمندان، جزو فعالیتهایی است که فیسبوک به شرکتکنندگان در برنامهی جایزهی امنیت اجازهی آن را نمیدهد. این بدان معناست که هکر ناشناس به دنبال کشف باگ و گرفتن جایزه نبوده است. بعلاوه صحبتهای سیلوا نیز به عنوان یک کارمند فیسبوک (طبق قوانین نیروی انسانی فیسبوک) قابل استناد نیست.
جایزهی بیارزش
نکتهی قابل توجه دیگر این است که جایزهای که فیسبوک به تسای پرداخت کرد، تنها ۱۰ هزار دلار بود. بسیاری از کارشناسان که گزارش تسای در مورد این اتفاق را مطالعه کردهاند، بر این باورند که این مبلغ در برابر کشف بزرگ این هکر محقق بسیار ناچیز بوده است. فیسبوک برای هکری که توانسته بود باگ امنیتی سادهتری را کشف کند، جایزهی بیشتری در نظر گرفته بود. آناند پراکاش (Anand Prakash) به این نکته پی برده بود که هر فردی میتواند با حملات مختلف و استفاده از بخش فراموشی رمز عبور در اپلیکیشن و وبسایتهای تست اپلیکیشن فیسبوک، حسابهای کاربری افراد را هک کند. او برای این کشف جایزهی ۱۵ هزار دلاری دریافت کرده بود در حالی که تسای توانسته بود به یکی از سرورهای مهم نفوذ کند و حتی کنترل سرور را در دست بگیرد و نفوذ هکری دیگر را گزارش کند و تنها ۱۰ هزار دلار جایزه دریافت کرد.
به هر حال اتفاقی که تسای گزارش کرده است، در دنیای هکرها اصلا اتفاق کوچکی نیست و نشان میدهد که تیم امنیتی فیسبوک اصلا درسهای مناسبی از گزارش سال گذشتهی واینبرگ نگرفته است. به هر حال به نظر میرسد تیم امنیتی این شرکت بزرگ باید تغییرات اساسی در سیاستهایش و برخورد با محققانی که به آنها کمک میکنند داشته باشد.
تبلیغات متنی
-
خداحافظی یک ستاره بعد از جام جهانی ۲۰۲۶
-
تفسیر بازیکن پیشین تیم ملی از لبخند قلعهنویی
-
ترامپ: من نگفتم عملیات رزمی علیه ایران تمام شده
-
تصویری از آتشسوزی شدید یک کشتی در ساحل دبی
-
احتمال رایگان شدن دائمی اتوبوس و مترو در تهران
-
شرط سنگین برای فسخ قرارداد رضاییان با استقلال
-
پزشکیان: معنای مذاکره تسلیم نیست
-
راننده کامیونِ توقیفی، ۱۲ ساله از آب درآمد!
-
واکنش همتی به افزایش نرخ دلار: منطقی بود
-
پروازهای فرانسه به این ۴ کشور خاورمیانه لغو شد
-
واکنش تند تاج خطاب به ترامپ: خل و چل!
-
وضعیت دانشآموزان بازگشته از امارات به کجا رسید؟
-
چگونه درخواست بیمه بیکاری بدهیم؟
-
۴ هزار میلیارد بدهید کیفیت ایتا را به اندازه واتساپ میرسانیم!
-
اظهارات جنجالی نخستوزیر ارمنستان درباره قرهباغ
-
ترامپ: من نگفتم عملیات رزمی علیه ایران تمام شده
-
واکنش همتی به افزایش نرخ دلار: منطقی بود
-
فوری؛ پاسخ ایران به متن پیشنهادی آمریکا ارسال شد
-
پوتین: ایران پیشنهاد رقیقسازی اورانیوم را داد
-
شغل جدید و عجیبی که این روزها رونق گرفته است
-
ماجرای تعمیر خانه یک خانم مسن توسط رسول خادم
-
ادعای امارات درباره شلیک پهپاد به خاک این کشور
-
رگبار و رعد و برق از این تاریخ مهمان تهران است
-
سرقت مسلحانه از طلافروشی در اندرزگو
-
یک اتفاق هولناک دقایقی بعد از ترور رهبر کرهشمالی
-
صدای انفجار شدید در چابهار شنیده شد
-
تایتانیک در هامون به آب انداخته شد!
-
پزشکیان: مردم سطح توقعات خود را تعدیل کنند
-
چلوگوشت دیماه سال قبل حالا مزه قرمهسبزی میدهد
-
یک فروند جنگنده F-۳۵ کد اضطراری صادر کرد
-
توهین باورنکردنی به علی دایی روی آنتن زنده صداوسیما!
-
بنر آیسان اسلامی در چند شهر مازندران زده شد
-
تمام واکنشها به خبر دیدار پزشکیان با رهبر انقلاب
-
اولین تصویر از حمله موشکی به پتروشیمی امیرکبیر
-
جمله تهدیدآمیز ترامپ درباره شیوه پایان آتشبس
-
یک اتفاق هولناک دقایقی بعد از ترور رهبر کرهشمالی
-
اعتراض به گرانیها به تجمعات شبانه رسید
-
چهل سالگی فیلمی که تا هنوز و تا ابد دوستش داریم
-
ادعای هاآرتص: این کشور مانع سرنگونی نظام ایران شد
-
بنگاه برادر رونالدو در گلشهر کرج افتتاح شد!
-
حرکت پهلوانانه رسول خادم همه را به ستایش وا داشت!
-
پیام تبریک متفاوت ایران به سخنگوی کاخ سفید
-
پرونده پژمان جمشیدی در افکار عمومی پیچیدهتر شد!
-
ویدئوی خبرساز همشهری از مداحی برای دختران کمحجاب!
-
یک عبارت دو کلمهای از دل قطعی اینترنت متولد شد!
بانک اطلاعات مشاغل تهران و کرج
-
سالن های آرایش و زیبایی
-
پزشکان پوست و مو
-
آموزشگاه آشپزی در تهران
-
گالری پوشاک
-
اخذ ویزا
-
کاشت ناخن
-
محصولات پزشکی
-
تدریس خصوصی
-
مزون و شوی لباس
-
اعزام دانشجو
-
خدمات آرایشی و زیبایی
-
خدمات درمانی
-
مدارس
-
طلا و جواهر و زیورآلات
-
صرافی
-
محصولات آرایش و زیبایی
-
خدمات حیوانات خانگی
-
مهد کودک
-
مبلمان
-
سیسمونی و نوزاد
-
مراکز درمانی
-
پت شاپ
-
رستوران و تهیه غذا
-
تعمیرات مبل در تهران
-
خدمات تفریح و سرگرمی
-
پزشکان متخصص
-
باشگاه های ورزشی
-
فست فودهای تهران
-
سرویس خواب
-
موبایل
-
دکتر زنان در تهران
-
فروشگاه ها و لوازم ورزشی
-
کافی شاپ و سفره خانه
-
دکوراسیون داخلی
-
لوازم خانگی
-
دندانپزشکان
-
آموزشگاه ها
-
صنایع غذایی
-
تزیینات داخلی
-
خدمات منزل
-
دندانپزشکی کودک
-
آموزشگاه زبان در تهران
-
تشریفات و موسسه پذیرایی
-
خدمات ساختمان
-
فروش و خدمات خودرو
-
پزشکان زیبایی و لاغری
-
آموزشگاه موسیقی
-
خدمات مجالس
-
قالیشویی در تهران
-
سایر خدمات
-
جراحی بینی و زیبایی
-
آموزشگاه هنری
-
آتلیه عکاسی
-
آژانس مسافرتی و هتل
ارسال نظر