چه کسی فیسبوک را هک کرد؟
چه کسی فیسبوک را هک کرد؟ آیا فیسبوک تاکنون هک شده است؟ یک هکر معروف اخیرا در پست وبلاگی خود عنوان کرده است که در خلال برنامهاش برای کشف باگهای امنیتی، متوجه این نکته شده که هکری از قبل به سیستمهای فیسبوک نفوذ کرده است. این هک از نوع نفوذ به حسابهای مدیریتی کارمندان بوده است.
zoomit.ir - مهدی زارع: چه کسی فیسبوک را هک کرد؟ آیا فیسبوک تاکنون هک شده است؟ یک هکر معروف اخیرا در پست وبلاگی خود عنوان کرده است که در خلال برنامهاش برای کشف باگهای امنیتی، متوجه این نکته شده که هکری از قبل به سیستمهای فیسبوک نفوذ کرده است. این هک از نوع نفوذ به حسابهای مدیریتی کارمندان بوده است. در ادامه با ما همراه باشید.
فیسبوک به عنوان بزرگترین شبکهی اجتماعی مجازی جهان، همیشه در معرض خطر نفوذ توسط هکرها بوده است. به همین دلیل، این شرکت در برنامههای مختلفی، جوایزی برای هکرهایی که بتوانند باگهای امنیتی سیستمهایش را کشف کنند، در نظر میگیرد. هکری به نام اورنج تسای (Orange Tsai) به تازگی خبری جالب و البته نگرانکننده در مورد کشف حفرههای امنیتی فیسبوک منتشر کرده که نشان میدهد حسابهای کارمندان این شرکت در معرض نفوذ جدی قرار داشته است.
تسای در پست وبلاگی خود عنوان کرده که در خلال برنامههایش برای کشف باگهای امنیتی و کسب جایزهی فیسبوک به این نکته پی برده است که هکری دیگر در حدود ۸ ماه در سرورهای این شرکت نفوذ داشته و اطلاعات کاربری بسیاری از کارمندان این شرکت را جمعآوری کرده است.
تسای در ادامه توضیح میدهد که با استفاده از گوگل و اطلاعاتی که در اینترنت پیدا کرده است، توانسته یکی از دامنههای شبکهی داخلی فیسبوک با آدرس tfbnw.net که مخفف The Facebook Network است را شناسایی کند. او از طریق این دامنه توانسته است ۵ سرور دیگر فیسبوک را شناسایی کند. یکی از این سرورها در دامنهی files.fb.com قرار داشته که تسای مطمئن بوده مربوط به سرویس اشتراک امن فایل شرکت Accellion است. او با استفاده از روش هک سادهی SQL injection هفت حفرهی امنیتی در این سرویس پیدا کرده و طبق وظیفهی اخلاقیاش به فیسبوک و تیم پشتیبانی Accellion اطلاع داده است. تسای با استفاده از یکی از این حفرههای امنیتی وارد این سرور شده و کنترل ماشین را در دست گرفته است. البته شرکت Accellion نیز پس از اطلاع از این حفرهها سریعا پچ امنیتی مورد نظر را برای رفع آنها در اختیار کاربران قرار داده است.
داشتن چنین حفرههای امنیتی برای فیسبوک که سرورهایش مملو از اطلاعات شخصی افراد است، بسیار خطرناک است. اطلاعات موجود در سرورهای فیسبوک آن قدر گسترده هستند که میتوان آنها را غیر قابل تصور نامید. اما این حفرههای امنیت پایان کار نبودند. تسای در ادامهی بررسیهایش برای گردآوری مدارک به منظور ارائه به فیسبوک، اصطلاحا یک Backdoor پیدا میکند و به این نکته پی میبرد که هکر دیگری از این قسمت به سرورها نفوذ کرده است. هکر مورد نظر پس از نفوذ به سرور، یک کیلاگر (Keylogger) بر روی آن نصب کرده است. کیلاگر نوعی برنامهی مخرب است که دکمههای فشرده شده روی کیبورد کاربر را در فایلی ذخیره میکند. طبق گزارش تسای این هکر ناشناس تمامی این اطلاعات ذخیره شده را در مسیری در سرور ذخیره میکرده که فقط خودش به آنها دسترسی داشته است.
این هکر ناشناس در مدت زمان مشخصی کنترل کامل سرور را به دست داشته است. این قسمت از گزارش تسای باعث شده تا بسیاری از کارشناسان امنیت به این عبارت اشاره کنند که فیسبوک به طور کامل تحت کنترل هکر درآمده است.
اما پاسخ فیسبوک چند روز بعد از انتشار پست تسای منتشر شد. زمانی که بحثها در مورد مشکلی که تسای عنوان کرده بود زیاد شد، یکی از کارمندان بخش امنیت فیسبوک Reginaldo Silva در مطلبی عنوان کرد که این Backdoor کشف شده توسط تسای، توسط یکی دیگر از محققانی که مانند او به دنبال حفرههای امنیتی برای دریافت جایزه بودهاند، باز گذاشته شده است. او در ادامه به این نکته اشاره میکند که این سرور به طور کاملا مجزا از سرورهای اصلی که حاوی اطلاعات کاربران هستند کار میکرده است. بعلاوه او از این اتفاق به عنوان یک پیروزی برای فیسبوک یاد میکند. طبق گفتهی سیلوا، این که دو محقق بتوانند یک حفرهی امنیتی را کشف کنند و هیچکدام نتوانند فرآیند نفوذ را تشدید کنند، نکتهی مثبتی برای امنیت فیسبوک است.
او در ادامه میگوید هکر دیگری توانسته به مدت حدود یک سال به اطلاعات کاربری بیش از ۳۰۰ کارمند فیسبوک دسترسی داشته باشد، اما نتوانسته حملهی خود را تشدید کند. حتی اگر صحبتهای سیلوا در مورد جدا بودن سرور مورد نظر از ساختار کلی فیسبوک صحیح باشد، این نکته که این هکر توانسته باشد با استفاده از رمزهای عبور کارمندان به اطلاعات بیشتری دسترسی پیدا کند، برای بسیاری نگرانکننده است.
نکتهی دیگر این که جمعآوری اطلاعات ورود کاربران و کارمندان، جزو فعالیتهایی است که فیسبوک به شرکتکنندگان در برنامهی جایزهی امنیت اجازهی آن را نمیدهد. این بدان معناست که هکر ناشناس به دنبال کشف باگ و گرفتن جایزه نبوده است. بعلاوه صحبتهای سیلوا نیز به عنوان یک کارمند فیسبوک (طبق قوانین نیروی انسانی فیسبوک) قابل استناد نیست.
جایزهی بیارزش
نکتهی قابل توجه دیگر این است که جایزهای که فیسبوک به تسای پرداخت کرد، تنها ۱۰ هزار دلار بود. بسیاری از کارشناسان که گزارش تسای در مورد این اتفاق را مطالعه کردهاند، بر این باورند که این مبلغ در برابر کشف بزرگ این هکر محقق بسیار ناچیز بوده است. فیسبوک برای هکری که توانسته بود باگ امنیتی سادهتری را کشف کند، جایزهی بیشتری در نظر گرفته بود. آناند پراکاش (Anand Prakash) به این نکته پی برده بود که هر فردی میتواند با حملات مختلف و استفاده از بخش فراموشی رمز عبور در اپلیکیشن و وبسایتهای تست اپلیکیشن فیسبوک، حسابهای کاربری افراد را هک کند. او برای این کشف جایزهی ۱۵ هزار دلاری دریافت کرده بود در حالی که تسای توانسته بود به یکی از سرورهای مهم نفوذ کند و حتی کنترل سرور را در دست بگیرد و نفوذ هکری دیگر را گزارش کند و تنها ۱۰ هزار دلار جایزه دریافت کرد.
این اولین بار نیست که جایزهی نفوذ و کشف باگ، تیم امنیتی فیسبوک را به خطر میاندازد. البته این تیم همیشه بازخوردهای نسبتا نامناسبی نسبت به این گزارشها داشتهاند. سال گذشته هکری به نام وزلی واینبرگ (Wesley Wineberg) توانسته بود در خلال تحقیقاتش به این نکته پی ببرد که از طریق فیسبوک میتواند به ایسنتاگرام نیز نفوذ کند. او با ادامه دادن حملاتش توانست به بسیاری از اطلاعات حیاتی (حتی سورسکدها) دسترسی پیدا کند. اما تیم امنیتی فیسبوک تنها ۲۵۰۰ دلار به او جایزه داد و مدیر تیم امنیتی، به جای این که با واینبرگ ارتباط برقرار کند و در مورد نحوهی نفوذ و سری باگهایی که او پیدا کرده بود صحبت کند، تنها دستور شکایتهای قانونی علیه وی را داده بود. این حرکت او دیدی بسیار بد از فیسبوک در بین هکرها ایجاد کرد و آنها امنیت خود را در خلال برنامههای جایزهی امنیت فیسبوک، در خطر میبینند.
به هر حال اتفاقی که تسای گزارش کرده است، در دنیای هکرها اصلا اتفاق کوچکی نیست و نشان میدهد که تیم امنیتی فیسبوک اصلا درسهای مناسبی از گزارش سال گذشتهی واینبرگ نگرفته است. به هر حال به نظر میرسد تیم امنیتی این شرکت بزرگ باید تغییرات اساسی در سیاستهایش و برخورد با محققانی که به آنها کمک میکنند داشته باشد.
تسای در پست وبلاگی خود عنوان کرده که در خلال برنامههایش برای کشف باگهای امنیتی و کسب جایزهی فیسبوک به این نکته پی برده است که هکری دیگر در حدود ۸ ماه در سرورهای این شرکت نفوذ داشته و اطلاعات کاربری بسیاری از کارمندان این شرکت را جمعآوری کرده است.
تسای در ادامه توضیح میدهد که با استفاده از گوگل و اطلاعاتی که در اینترنت پیدا کرده است، توانسته یکی از دامنههای شبکهی داخلی فیسبوک با آدرس tfbnw.net که مخفف The Facebook Network است را شناسایی کند. او از طریق این دامنه توانسته است ۵ سرور دیگر فیسبوک را شناسایی کند. یکی از این سرورها در دامنهی files.fb.com قرار داشته که تسای مطمئن بوده مربوط به سرویس اشتراک امن فایل شرکت Accellion است. او با استفاده از روش هک سادهی SQL injection هفت حفرهی امنیتی در این سرویس پیدا کرده و طبق وظیفهی اخلاقیاش به فیسبوک و تیم پشتیبانی Accellion اطلاع داده است. تسای با استفاده از یکی از این حفرههای امنیتی وارد این سرور شده و کنترل ماشین را در دست گرفته است. البته شرکت Accellion نیز پس از اطلاع از این حفرهها سریعا پچ امنیتی مورد نظر را برای رفع آنها در اختیار کاربران قرار داده است.
این هکر ناشناس در مدت زمان مشخصی کنترل کامل سرور را به دست داشته است. این قسمت از گزارش تسای باعث شده تا بسیاری از کارشناسان امنیت به این عبارت اشاره کنند که فیسبوک به طور کامل تحت کنترل هکر درآمده است.
نکتهی دیگر این که جمعآوری اطلاعات ورود کاربران و کارمندان، جزو فعالیتهایی است که فیسبوک به شرکتکنندگان در برنامهی جایزهی امنیت اجازهی آن را نمیدهد. این بدان معناست که هکر ناشناس به دنبال کشف باگ و گرفتن جایزه نبوده است. بعلاوه صحبتهای سیلوا نیز به عنوان یک کارمند فیسبوک (طبق قوانین نیروی انسانی فیسبوک) قابل استناد نیست.
جایزهی بیارزش
نکتهی قابل توجه دیگر این است که جایزهای که فیسبوک به تسای پرداخت کرد، تنها ۱۰ هزار دلار بود. بسیاری از کارشناسان که گزارش تسای در مورد این اتفاق را مطالعه کردهاند، بر این باورند که این مبلغ در برابر کشف بزرگ این هکر محقق بسیار ناچیز بوده است. فیسبوک برای هکری که توانسته بود باگ امنیتی سادهتری را کشف کند، جایزهی بیشتری در نظر گرفته بود. آناند پراکاش (Anand Prakash) به این نکته پی برده بود که هر فردی میتواند با حملات مختلف و استفاده از بخش فراموشی رمز عبور در اپلیکیشن و وبسایتهای تست اپلیکیشن فیسبوک، حسابهای کاربری افراد را هک کند. او برای این کشف جایزهی ۱۵ هزار دلاری دریافت کرده بود در حالی که تسای توانسته بود به یکی از سرورهای مهم نفوذ کند و حتی کنترل سرور را در دست بگیرد و نفوذ هکری دیگر را گزارش کند و تنها ۱۰ هزار دلار جایزه دریافت کرد.
به هر حال اتفاقی که تسای گزارش کرده است، در دنیای هکرها اصلا اتفاق کوچکی نیست و نشان میدهد که تیم امنیتی فیسبوک اصلا درسهای مناسبی از گزارش سال گذشتهی واینبرگ نگرفته است. به هر حال به نظر میرسد تیم امنیتی این شرکت بزرگ باید تغییرات اساسی در سیاستهایش و برخورد با محققانی که به آنها کمک میکنند داشته باشد.
تبلیغات متنی
-
در خانه رویاپردازترین زن جهان به روی مردم باز شد!
-
حرفهای عجیب عضو ۸۴ ساله شورای شهر تهران
-
پیشنهاد اعدام بازداشتیها در صورت حمله آمریکا
-
بیتکوین دوباره در ۲۴ ساعت گذشته سقوط کرد
-
رای نهایی استیناف، جدول لیگ را بههم ریخت!
-
چند ایرانی که ساعات اخیر را دربست مال خود کردند
-
عضو هیئترئیسه مجلس از دنیای تصورات روحانی پرده برداشت
-
ریزش سنگ و بهمن مسافران این جاده را تهدید میکند
-
پیام واضح بهاره هدایت به میرحسین موسوی
-
آتش سوزی در خیابان خیام تهران
-
بهنام یخچالی قید تیم ملی را زد؛ نمیتوانم به غم مردم بیتفاوت باشم
-
این شرکت خودرویی هم محصولاتش را گران کرد
-
زلزله شدید صبحگاهی عسلویه را لرزاند
-
رویترز: فرستاده ترامپ به عراق، برکنار شد
-
حرکت زشت و زننده مجری شبکه افقِ صداوسیما
-
کنارهگیری زهرا علیزاده از تیم ملی در پی اتفاقات اخیر
-
حرفهای عجیب عضو ۸۴ ساله شورای شهر تهران
-
بیتکوین دوباره در ۲۴ ساعت گذشته سقوط کرد
-
رای نهایی استیناف، جدول لیگ را بههم ریخت!
-
چند ایرانی که ساعات اخیر را دربست مال خود کردند
-
پیام واضح بهاره هدایت به میرحسین موسوی
-
بهنام یخچالی قید تیم ملی را زد؛ نمیتوانم به غم مردم بیتفاوت باشم
-
حرکت زشت و زننده مجری شبکه افقِ صداوسیما
-
خبر مربوط به عقبنشینی لینکلن کار ایرانیها بود!
-
خودش و دخترش؛ خانوادهای که خیلی در خبرها حضور دارند
-
پیشبینی هوای تهران طی ۲ روز آینده
-
ترامپ چارچوب توافق احتمالی با ایران را اعلام کرد
-
برای آنها که در عزای عزیزانشان خستگیناپذیر میرقصند
-
یک ترانه از داریوش که پس از ۴۰ سال محبوب شد
-
ورود کاروان نظامی بزرگ آمریکا به عراق
-
کریسمسِ صداوسیمای ایران تا ابد عزادار شد
-
احکام برخی دستگیرشدگان اعتراضات اخیر صادر شد
-
ناو هواپیمابر لینکلن دریای عمان را ترک کرد
-
صابرین نیوز: ادعاهای کارشناس شبکه افق مضحک است!
-
در ساعات اخیر مهدی قایدی در صدر چهرههای پربحث است
-
نعمیه نظامدوست: دلم میخواهد بمیرم
-
بازیکن خارجی استقلال آماده پخش زنده جنگ ایران و آمریکا شد!
-
تاییدنشده؛ شرط آمریکا برای انصراف از اقدام نظامی!
-
دو انفجار خبرساز در اهواز و بندرعباس
-
ترامپ امشب از یک تصمیم جدید درباره ایران خبر داد
-
رزمایش مشترک ایران، روسیه و چین تکذیب شد؟
-
در ساعات اخیر احتمال حمله آمریکا به ایران کاهش یافت
-
پرواز پهپاد شناسایی ایران بر فراز خلیج فارس
-
وضعیت تعطیلی مدارس تهران، شنبه ۱۱ بهمن
-
موضع عربستان درباره جنگ با ایران ۱۸۰ درجه تغییر کرد
بانک اطلاعات مشاغل تهران و کرج
-
سالن های آرایش و زیبایی
-
پزشکان پوست و مو
-
آموزشگاه آشپزی در تهران
-
گالری پوشاک
-
اخذ ویزا
-
کاشت ناخن
-
محصولات پزشکی
-
تدریس خصوصی
-
مزون و شوی لباس
-
اعزام دانشجو
-
خدمات آرایشی و زیبایی
-
خدمات درمانی
-
مدارس
-
طلا و جواهر و زیورآلات
-
صرافی
-
محصولات آرایش و زیبایی
-
خدمات حیوانات خانگی
-
مهد کودک
-
مبلمان
-
سیسمونی و نوزاد
-
مراکز درمانی
-
پت شاپ
-
رستوران و تهیه غذا
-
تعمیرات مبل در تهران
-
خدمات تفریح و سرگرمی
-
پزشکان متخصص
-
باشگاه های ورزشی
-
فست فودهای تهران
-
سرویس خواب
-
موبایل
-
دکتر زنان در تهران
-
فروشگاه ها و لوازم ورزشی
-
کافی شاپ و سفره خانه
-
دکوراسیون داخلی
-
لوازم خانگی
-
دندانپزشکان
-
آموزشگاه ها
-
صنایع غذایی
-
تزیینات داخلی
-
خدمات منزل
-
دندانپزشکی کودک
-
آموزشگاه زبان در تهران
-
تشریفات و موسسه پذیرایی
-
خدمات ساختمان
-
فروش و خدمات خودرو
-
پزشکان زیبایی و لاغری
-
آموزشگاه موسیقی
-
خدمات مجالس
-
قالیشویی در تهران
-
سایر خدمات
-
جراحی بینی و زیبایی
-
آموزشگاه هنری
-
آتلیه عکاسی
-
آژانس مسافرتی و هتل
ارسال نظر