اختلال در پیکربندی پایگاه داده سامانه فیلم هالیوود

آخرین نسخه‌ی سامانه‌عامل تلفن‌های همراه اپل با قابلیت‌های بیشتر برای ارتقا حریم‌خصوصی به بازار آمده است. قبل از انجام کارهایی نظیر تنظیم تلفن همراه، بارگیری نرم‌افزار‌های جدید یا همگام‌سازی داده‌های خود برای اولین بار، باید چند مرحله برای قفل‌ کردن و محافظت از حریم خصوصی خود انجام دهید.

برای شروع می‌توان به چند ترفند مهم اشاره کرد:

۱. ویجت‌های نشت-داده را پیدا کنید. اولین مسئله‌ای که نظر شما را جلب می‌کند، ویجت‌ها هستند که خلاصه‌ای از فعالیت‌های روزانه‌تان نظیر اخبار، مقصد، تقویم، برنامه‌ریزی و بیشتر از این‌ها را در اختیارتان می‌گذارند. اگر صفحه‌ی نمایش خود را به سمت راست بکشید این ویژگی در دسترستان خواهد بود. به برنامه‌هایی که نباید آنجا باشند دقت کنید. با باز کردن قفل گوشی خود، به صفحه کنترلی ویجت‌ها رفته و در قسمت پایین، ویرایش را انتخاب کنید. در آنجا می‌توانید آنچه بر روی صفحه‌ی نمایشتان دیده می‌شود را کنترل بکنید.

۲. ردیابی مکان خود را غیرفعال کنید. همانند نسخه‌های پیشین، iOS ۱۰ مکان شما را ردیابی می‌کند. مادامی‌که به وای‌فای متصل شوید، چه در محل کار باشید و چه در کافی‌شاپ یا خانه، مکان شما ردیابی می‌شود. می‌توانید تلفن همراه یا تبلت را از ذخیره‌ی «مکان‌های پربازدید» خود بازدارید. این کار را می‌توان با رفتن به قسمت تنظیمات > حریم خصوصی > موقعیت مکانی > خدمات > خدمات سامانه و سپس مکان‌های پربازدید و غیرفعال‌‌کردن گزینه‌ی آن انجام داد. برای امنیت بیشتر می‌توان از گزینه پاک ‌کردن تاریخچه استفاده کرد.

۳. آنچه را دستگاهتان در حال قفل‌شده می‌تواند انجام دهد محدود کنید. موارد مختلفی دیده‌شده که در آن صفحه‌نمایش، فرصت‌هایی را در اختیار مهاجمان قرار می‌دهد تا کنترل دستگاه شما را بر به‌دست بگیرند یا داده‌ها را بربایند. باید دیگران را از استفاده از Siri یا قابلیت پاسخ به پیام‌های کوتاه، منع کنید. بار دیگر با رفتن به قسمت تنظیمات > رمز عبور و شناسه لمسی ، می‌توان موارد موجود در صفحه‌ی نمایش را محدود کرد. برای امنیت بسیار بالا، تمام موارد باید غیر‌فعال بشوند؛ اما می‌توان مناسب با ترجیح خود این موارد را تنظیم کرد. همچنین با فعال‌سازی قسمت پاک کردن اطلاعات، دستگاه شما پس از وارد شدن ۱۰ بار رمز اشتباه، حافظه‌ی تلفن همراه را پاک می‌کند.

۴. زمان قفل خودکار را کاهش دهید. هرچه تنظیمات صفحه‌ی نمایش کوتاه‌تر باشد، صفحه‌ی آیفون یا آیپد شما سریع‌تر قفل می‌شود و امکان دسترسی دیگران به آن را کمتر می‌کند. مدت‌زمان قفل خودکار را می‌توان با رفتن به قسمت تنظیمات > عمومی > قفل خودکار، کاهش داد. به یاد داشته باشید که هر چه این میزان کمتر باشد بهتر است.

۵. اعلان‌های خود را کنترل کنید. همانند نسخه‌های پیشین iOS، می‌توان هشدار‌ها و اعلان‌های خود را تنظیم کنید تا محتوا را در صفحه‌ی نمایش، نشان دهند، مانند پیام‌های کوتاه و رایانامه. این کار موجب می‌شود که سایرین نگاهی به آیفون یا آیپد شما بیندازند. برای محدود ساختن این ویژگی، برای مثال، برای اینکه تنها نام فرستنده‌ی پیام نشان داده شود نه محتوای پیام، به قسمت تنظیمات > اعلان‌ها رفته و سپس پیام و ای‌میل را به ترتیب برای پیام‌‌ها و رایانامه انتخاب ‌کنید. در هر صفحه، می‌توان شیوه‌ی نمایش را تغییر داد. برای امنیت بیشتر، پیش‌نمایش را غیرفعال کرده تا محتوای پیام‌ها بر روی صفحه‌ی نمایش، نشان داده نشوند.کارشناسان امنیتی می‌گویند یک پایگاه داده مربوط به صنعت فیلم‌سازی هالیوود برای مدت نامعلومی بدون داشتن کلمه‌عبور مدیریتی در معرض دسترس همگان در اینترنت بوده‌ است. این پایگاه داده متعلق به وبگاهی است که اعضای صنعت فیلم‌سازی در امریکا با مراجعه به آن پیش‌نمایش فیلم‌های اکران نشده را مشاهده می‌کرده‌اند.

هرکسی که می‌دانست باید به کجا مراجعه کند می‌توانست به پایگاه داده دسترسی پیدا کند و محتوای ان را بارگیری کند. کلمه‌های عبور حساب‌هایی که به‌منظور ورود به وبگاه و مشاهده فیلم‌های منتشرنشده استفاده می‌شدند ازجمله جزئیات افشاشده بوده است.

خبر خوب برای استودیوهای هالیوود این است که کلمه‌های عبور با الگوریتم bcrypt و به کمک salt (کاراکترهای تصادفی) درهم‌سازی شده است. رمزگشایی این کلمه‌های عبور مستلزم عملیات محاسباتی است که سالها طول می‌کشد.

حساب‌های کارکنان استودیو فیلم در پایگاه داده مذکور موجود بوده‌اند!

به گفته کریس ویکری ، محقق امنیتی شرکت MacKeeper و شخصی که کارگزار افشاشده را شناسایی کرد، پایگاه داده مذکور حاوی حساب‌هایی برای کاربرانی بود که از طریق رایانامه با دامنه‌های paramount.com ،@disney.com ،@wrnerbors.com ،@fox.com@ و spe.sony.com@ ثبت‌نام کرده بودند.

ار آن‌جا که مهاجم دسترسی مدیریتی به این حساب‌های کاربری داشته است، نیازی به رمزگشایی کلمه‌های عبور نداشته بلکه فقط الگوریتم درهم‌سازی را حدس می‌زد و کلمه عبور حساب را تغییر می‌داد یا مشخصات جدیدی برای خودش ایجاد می‌کرد.

بلافاصله پس از کشف این پایگاه داده، ویکری با شرکت Vision Media Management (VMM) تماس گرفت. شرکت مذکور توسط MPAA (اتحادیه تصاویر متحرک امریکا) به کار گرفته شده بود تا به‌جای ارسال DVD فیلم‌ها از طریق پست وبگاه مذکور را ایجاد نماید (و از این طریق DVD ها را به اشتراک بگذارد).

این وبگاه که در awards-screeners.com قرار دارد توسط اعضای MPAA برای مشاهده و رأی دادن به فیلم‌هایی که هرسال در جشنواره اسکار رقابت می‌کنند استفاده می‌شود.

۲_۶۴

ویکری یادآور شد که پس از تماس وی خوشبختانه شرکت VMM نفوذ به داده‌ها را بسیار جدی گرفته است و بلافاصله با مجمع داخلی و سپس با مدیر ارشد فنی تماس گرفته شده است.

VMM طی همان روز امنیت پایگاه داده را مجدداً برقرار کرد!

درحالی‌که هنوز ویکری به بقیه اعضای مجمع توضیح می‌داد که قصد اخاذی از آن‌ها را ندارد شرکت VMM بلافاصله اقداماتی را برای قطع دسترسی به پایگاه داده صورت داد. اوضاع زمانی جالب‌تر شد که VMM یک وکیل مشهور را استخدام کرد. وی تلاش کرد با متهم کردن ویکری به بارگیری غیرقانونی نسخه‌ای از پایگاه داده او را بترساند. ویکری همیشه این‌کار را در مواقعی که شرکت‌های مختلف رخنه‌های امنیتی خود را امتناع می‌کنند به عنوان مدرک انجام می‌دهد. ویکری با یادآور شدن سابقه طولانی خود در شناسایی پایگاه داده‌های ناامن به‌سرعت وکیل را سر جای خود نشاند.

ویکری طی رایانامه‌ای پاسخ داد: «من در تحقیقات مربوط به افشای داده‌ها که توسط FTC ،FBI، ارتش آمریکا، HHS/OCR، سرویس سری امریکا و دیگر مؤسسات مشابه انجام شده است همکاری و مشارکت داشته‌ام. از میان مؤسسات قانونی و حکومتی که با آن‌ها تعامل داشته‌ام هیچ‌کدام نگفته‌اند کاری که من انجام می‌دهم، یعنی بارگیری اطلاعات منتشرشده به صورت عمومی، کاری نادرست است.»

طی رایانامه‌هایی که بعدا ردوبدل شد، شرکت VMM به ویکری گفت که بخش اعظم داده‌هایی که او بارگیری کرده است درواقع داده‌های آزمایشی بوده‌اند. ویکری می‌گوید که داده‌های مرتبط با ۱۲۰۰ حساب کاربری پیدا کرده است اما VMM به او اطلاع داد که فقط ۱۶۰ مورد از این اطلاعات متعلق به کاربران واقعی بوده است.

ویکری همچنین با بررسی بیش‌تر داده‌ها متوجه پیوندهایی به سه کارگزار Amazon S۳ شد که بدون مجوز در اینترنت افشا شده بودند. این شرکت جزئیات مربوط به ابزارهای توسعه‌دهنده و یکپارچه‌سازی API ها را روی این کارگزارها ذخیره‌سازی می‌کرده است. ویکری می‌گوید که VMM هنوز به این گزارش اخیر او پاسخ نداده است.

۳_۴۷

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap