انتشار ۳۹ میلیون حساب ‌کاربری توسط مهاجم GhostShell

یک مهاجم موفق شده‌ است اطلاعات تقریباً ۳۹ میلیون حساب ‌کاربری را به سرقت ببرد. این مهاجم معروف که GhostShell‌ نام دارد، توانسته است تعداد زیادی پایگاه ‌داده ناشناخته را از ۱۱۰ کارگزار متصل به اینترنت بارگیری کند.
این مهاجم توانسته‌ بود از ابزارهای پویش پورت از جمله Shodan.io، موتور جست‌وجویی برای مکان‌یابی پایگاه‌های داده استفاده کند. این پایگاه‌های داده بر روی کارگزارهایی ذخیره شده ‌بودند که از بیرون قابل دسترس بود و همچنین این کارگزارها از نرم‌افزار پایگاه داده معروف MongoDB استفاده می‌کردند. MongoDB یک پایگاه داده‌های سندگرای متن‌باز، کارا، مقیاس‌پذیر، بدون نیاز به طرح‌بندی اولیه نوشته شده در زبان برنامه‌نویسی C++ است.
این پایگاه‌ داده برای رفع مشکلاتی طراحی شده که با پایگاه داده‌های رابطه‌ای به سادگی رفع نمی‌شوند؛ برای مثال اگر پایگاه داده کارسازهای زیادی را در برگیرد.
MongoDB به جای اینک همانند پایگاه های داده‌های رابطه‌ای کلاسیک داده‌ها را در جداول ذخیره کند، داده‌های ساختاریافته را در اسنادی با قالبی شبیه به JSON (این قالب را BSON می‌نامند) ذخیره‌سازی می کند و بدین ترتیب یکپارچه‌سازی داده‌ها را در برخی اقسام برنامه‌های کاربردی آسان‌تر و سریع‌تر می کند.
این مهاجم، نزدیک به ۶ گیگابایت داده را در اعتراض به نداشتن امنیت این سامانه‌ها در اختیار عموم قرار داده‌ است.
او در وب‌گاه Pastebin، جایی که مهاجمان اغلب داده‌های مورد نفوذ را قرار می‌دهند گفته ‌است که هدفش این بوده‌ تا نشان‌دهد زمانی که تصمیم می‌گیرید حتی از یک نام‌ کاربری و کلمه عبور استفاده نکنید چه اتفاقی ممکن است بیافتد.
GhostShell‌ هم‌چنین افزوده ‌است :«بسیاری از مدیران سامانه‌ها به بررسی درگاه‎های باز بر روی کارگزارهایی که به تازگی تنظیم شده‌اند نمی‌پردازند. این بدان معناست که هر کسی می‌تواند بدون نام‌کاربری و کلمه‌عبور به این داده‌های دسترسی پیدا کند.»
«لازم نیست هیچ‌کار خاصی انجام دهید، به محض این‌که به پایگاه داده متصل می‌شوید همه دسترسی‌ها را دارید. می‌توانید پایگاه‌ داده‌های جدید بسازید، پایگاه‌های داده موجود را حذف کنید، داده‌ها را تغییر دهید.»
هنوز مشخص نیست این پایگاه‌های داده منتشر شده در کدام بخش مورد استفاده قرار می‌گرفته‌اند. برخی از این پایگاه‌های داده توسط شرکت‌های معروفی هم‌چون آمازون و Rackspace میزبانی می‌شده‌اند.

متخصصان امنیتی zdnet‌ می‌گویند با بررسی متوجه شده‌اند این پایگاه‌های داده شامل نام‌ کامل افراد، نام‌های کاربری، تاریخ‌های تولد، آدرس‌های رایانامه، شماره‌های تلفن، جنسیت، اطلاعات درگاه پرداخت، عناوین شغلی و حتی تاریخ‌های ازدواج بوده‌اند. برخی محتواهای مربوط به شبکه‌های اجتماعی مانند شناسه کاربری فیسبوک و توئیتر و تصاویر نمایه حساب‌های کاربری نیز در بین داده‌های منتشر شده وجود دارد. حتی در برخی موارد، متن کامل یک ایمیل مشاهده شده ‌است.
این کارشناسان هم‌چنین فراداده‌هایی از جمله آدرس‌های IP اتصال، اطلاعات دستگاه، داده‌های مکانی، نوع مرورگر و این‌که چه زمانی یک حساب کاربری ایجاد شده ‌است و یا آخرین بار که کاربر با حساب ‌خود وارد شده ‌است، را در بین داده‌های منتشر شده پیدا کرده‌اند.

بسیاری از کلمات‌عبور موجود در این پایگاه‌های داده درهم‌سازی شده بوده‌اند اما متخصصان zdnet می‌گویند موفق شده‌اند با برخی ابزارهای برخط تعدای از این کلمات‌ عبور را بخوانند.
در مواردی نیز ترکیباتی از نام‌ کاربری، کلمه‌ عبور و یا آدرس رایانامه به صورت رمزنشده وجود داشته ‌است که به مهاجمان اجازه می‌دهد حملات دیگری را صورت دهند.
متخصص امنیتی و موسس خبرگزاری Cyber Wars لی جان‌استون می‌گوید پس از بررسی‌های به‌عمل آمده ۶۲۶ هزار آدرس رایانامه منحصربه‎فرد را شناسایی کرده ‌است که بالغ بر ۱۳۰۰ مورد موبوط به آدرس‌های gov. (شامل سازمان امنیت داخلی، اف‌بی‌آی، IRS و نیروی دریایی) بوده‌اند.
او می‌گوید ۷هزار مورد آدرس‌‌ رایانامه نیز با پسوند edu. را که متعلق به دانشگاه‌ها بوده‌ شناسایی کرده‌ است.

یکی از این پایگاه‌های داده به تنهایی ۱۴۰‌هزار آدرس‌ رایانامه منحصربه‎فرد را شامل می‌شده‌ است که به گفته GhostShell‌ متعلق به شرکت‌های اپل، مایکروسافت، IBM و حتی FBI است.
این پایگاه داده ناامن توسط Webair، شرکت میزبانی خدمات ابری در نیویورک میزبانی می‎شد.
Webair در این‌باره گفته ‌است‌: «این پرونده پایگاه داده در کارگزارهایی میزبانی می‎شد که خود-سازمانی است، بدان ‌معنا که خود مشتری مسئولیت مدیریت زیرساخت امنیتی و سامانه‌عامل را دارد. اگر مشتری داده‌های محافظت نشده ‌را بر روی وبگاه عمومی باگذاری کند، این اشتباه خود او بوده‌ است؛ Webair در این‌خصوص دخالتی ندارد.»
GhostShell‌ نیز در پاسخ گفته‌ است : «قصد ندارم به مسئولان Webair‌ اهانت کنم اما وقتی شرکت‌تان آن‌قدر قدیمی‌است باید حداقل از مشتریانتان محافظت کنید.»
اندازه این پایگاه‌های داده موجب شده‌ تا این رخنه به یکی از بزرگ‌ترین رخنه‌های ۲۰۱۶ تبدیل شود.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.