ابزار Shard کلمه عبور مشترک بین سرویس‎های وب محبوب را کشف می‎کند!

Shard یک ابزار رایگان است که می‌تواند توسط هکرها برای کشف رمزهای عبور مشترک بین بسیاری از خدمات وب محبوب از جمله Facebook ،LinkedIn ،Reddit ،Twitter و یا Instagram مورد استفاده قرار گیرد.

در ماه‌های گذشته، ما در مورد نقض داده‌های متعدد خواندیم. LinkedIn ،MySpace ،VerticalScope فقط چند نمونه از قربانیان مطرح هستند.

صدها، هزاران و میلیون‌ها اعتبار، در بازارهای زیرزمینی جرائم رایانه‎ای غرق شدند که یک کالای باارزش برای هکرهاست که می‌توانند از آن‌ها برای هک حساب کاربران زمانی که صاحب حساب از نام کاربری و رمز عبور مشترک استفاده می‌کند، بهره ببرند.

البته، این کار بسیار وقت‌گیر است، هکرها نیاز به آزمودن اعتبارهای ورود به سامانه در داده‌های موجود بر روی سرویس‎های مختلف برخط دارند.

در حال حاضر این فعالیت را می‌توان با استفاده از ابزار Shard سرعت بخشید. یک ابزار خط فرمان توسعه داده شده که به کاربران اجازه می‌دهد تست کنند که آیا رمز ورود به یک وب‎گاه در دیگر سرویس‎های محبوب همچون Facebook ،LinkedIn ،Reddit ،Twitter یا Instagram نیز قابل استفاده است یا نه!

در زیر لیستی از ماژول‌های موجود آمده است:

۲_۴۰
Shard نام کاربری و رمز عبور را به‌عنوان ورودی دریافت کرده و سپس برای احراز هویت آن با وب‎گاه‌های مختلف تلاش می‌کند.

Philip O’Keefe سازنده Shard به وب‎گاه ArsTechnica گفت: «من رمز عبور را به‌عنوان رمز عبور کلی (عمومی) برای بسیاری از سرویس‎ها مورد استفاده قرار می‌دهم.» او همچنین در یک ایمیل اعلام کرد: «این سخت است که به یاد داشته باشید که این کلمات عبور را در کدام وب‎گاه استفاده کرده‎اید و همه آن‌ها را تغییر دهید. حالا من از یک برنامه مدیریت رمز عبور استفاده می‌کنم.»

بدیهی است، یک برنامه مشابه، یک ابزار قدرتمند در دست هکرها است. کد ابزار Shard در GitHub موجود است که کلاه‌برداران به احتمال زیاد آن را با دیگر خدماتی که با این نسخه‌ها کار می‌کنند، وفق می‌دهند، از جمله نسخه‎های تجاری.

ما می‌دانیم که استفاده مجدد از رمز عبور یک عادت بد بسیار رایج است، در بهترین حالت کاربران بر روی رمز اصلی تغییرات ساده‌ای اعمال می‌کنند تا از آن در چندین سرویس وب استفاده مجدد نمایند. چند اصلاح در کد Shard برای هک حساب در این سناریوی جدید نیز می‌تواند قابلیت ارائه کند.

بیایید فکر کنیم برای مثال اگر از «mypassoword۰۱» در یک وب‎گاه و «mypassoword۰۲» در وب‌گاه دیگر استفاده شود، در این مورد، یک نسخه اصلاح‌شده از ابزار به راحتی می‌تواند اعتبار ورود را حدس بزند.

به‌طور بالقوه محدودیت منحصربه‌فرد این ابزار در تعداد تلاش از یک IP واحد است، محدودیتی که می‌تواند به راحتی کنار گذاشته شود اگر یک مهاجم قدرت نفوذ در botnet را داشته باشد.

کاربران باید اعتبارنامه‌های مختلف برای هر یک از سرویس‎های وب اتخاذ نمایند، کلمات عبور قوی انتخاب کرده و احراز هویت دوعاملی را اگر که در دسترس باشد، فعال کنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap