افشاء اطلاعات میلیون‌ها گواهی‎نامه با آسیب‎پذیری در سرویس PwnedList

آسیب‌پذیری موجود در PwnedList ممکن است برای دسترسی به گواهی‎نامه‌های حساب‌های کاربری میلیون‌ها نفر مورد سوءاستفاده قرار گیرد. این سرویس اطلاعات مربوط به گواهی‎نامه‎های حساب کاربری افراد را جمع‌آوری می‎کند.
شرکت PwnedList در سال ۲۰۱۱ با هدف این‎که به کاربران اجازه دهد تا بدانند که آیا حساب‌های آن‎ها در معرض خطر قرار دارد یا خیر، راه‌اندازی شد. در سال ۲۰۱۳ شرکت InfoArmor خدمات PwnedList را خریداری کرد و چند ماه بعد از آن استفاده کرد تا یک راه حل جدید «بررسی امنیتی شرکت‌ها» را ارائه کند که به سازمان‌ها در صورتی که یکی از فروشندگان ثالث آن‎ها دارای یک نقص امنیتی باشد، هشدار دهد.
باب هاجز (Bob Hodges) یک محقق امنیتی که تلاش می‎کرد تا دامنه‌های .edu‌ و .com را به حساب کاربری PwnedList اضافه کند، پس از ورود به فهرست پیگیری‌های سرویس PwnedList، متوجه شد که یک نقص خطرناک به او اجازه می‌دهد تا بر هر دامنه‌ای نظارت کند.
کاربران در صورتی که بخواهند دامنه و یا نشانی رایانامه خود را به حساب کاربری PwnedList خود اضافه کنند باید یک روند تأییدیه‌ را در فرایند ثبت‌نام در فهرست پیگیری‌ها طی کنند. با این حال، یک آسیب‌پذیری دستکاری در پارامترها به هاجز اجازه داد تا هر نام دامنه‌ای را که می‌خواهد به این فهرست اضافه کند.
مشکل اینجاست که در فرایند دومرحله‌ای اضافه کردن یک عنصر جدید به این فهرست، مرحله دوم، اطلاعات مرحله اول را در نظر نمی‌گیرد و به مهاجمان اجازه می‌دهد تا با دستکاری درخواست‌ها، هر نوع اطلاعات دلخواهی را که لازم دارند اضافه کنند.
هاجز به وبلاگ‌نویس امنیتی برایان کربس (Brian Krebs) اطلاع داد و او نیز این مشکل را با اضافه کردن دامنه Apple.com به این فهرست آزمایش کرد. در کمتر از ۱۲ ساعت، کربس یک گزارش قابل‎بارگیری دریافت کرد که شامل ۱۰۰ هزار نام کاربری و گذرواژه بود که به حساب‌های apple.com مرتبط بودند.
یک مهاجم با داشتن یک حساب کاربری فعال PwnedList می‌تواند از این آسیب‌پذیری استفاده کرده و دامنه هر کدام از شرکت‌های بزرگ نظیر gmail.com را اضافه کند و بتواند فهرستی از همه‌ی حساب‌های در معرض خطر Gmail.com را به دست آورد. به گفته وب‌گاه PwnedList این سرویس شامل ۸۵۶ میلیون گواهی‎نامه کاربری که ۱۰۱ هزار مورد آن دارای نشت اطلاعاتی هستند، می‌باشد.
کربس هنگامی که آزمایش خود را انجام داد، با شرکت InfoArmor در ارتباط بوده است. این شرکت ابتدا در مورد یافته‌های هاجز تردید کرد، اما به محض اینکه این مشکل تأیید شد، وب‌گاه PwnedList از حالت برخط خارج شد و این آسیب‎پذیری وصله شد.
شرکت InfoArmor به Security Week گفته است: «در ارتباط با ابزار گواهی‎نامه‎های PwnedList داده‌های در معرض خطر، شامل هیچ نوع اطلاعات شخصی و حساسی نبودند. وب‌گاه PwnedList یک وب‌گاه قدیمی است که در سال ۲۰۱۳ خریداری شده است. از سال گذشته خدمات رایگان نظارت بر مشتریان برنامه‌ریزی شده بود که در ۱۵ ماه می سال ۲۰۱۶ برچیده شد. داده‌هایی که در خطر قرار گرفته بودند اکنون نیز در همان وضعیت قرار دارند. اما هیچگونه داده‌های شخصی و حساس در آنها ثبت نشده است».
این شرکت در اظهاریه‌ای اعلام کرد: «شرکت InfoArmor برای مشترکین شخصی PwnedList ارزش قائل است و به آنها فرصتی را ارائه می‌کند تا ارتباط خود را با این شرکت با ثبت‌نام در محصول نظارت جامع هویتی PrivacyArmor ادامه دهند».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.