حمله به شرکت uKnowKids پس از افشای ناامنی در ۱۷۰۰ پایگاه داده‌ی مربوط به کودکان

یک شرکت تأمین‌کننده‌ی امنیتِ کودکان با نام uKnowKids ، محققی امنیتی را به خدمت گرفته است که توانسته هویتِ ۱۷۰۰ نفر کودک که باید از آن‌ها محافطت شود را فاش کرده است.
پژوهش‌گر امنیتی به نام کریس ویکِری به شرکت uKnowKids اعلام کرد که والدین باید تمرکز زیادی روی فعالیت‌های برخط فرزندانشان داشته باشند. یکی از پایگاه داده‌های این شرکت حاوی اطلاعات حساس شرکت و اسامی کود‌کان بوده که در دسترس همگان قرار گرفته است. ویکری بعدها فاش کرد که این پایگاه داده حاوی چند گیگابایت داده‌ و اطلاعات حساس در مورد کودکان نیز می‌باشد که شامل ۶٫۸ میلیون پیام متنی، ۱٫۸ میلیون تصویر و نمایه‌هایی از ۱۷۴۰ کودک است.
استیو وودا، مدیر اجر‌اییِ شرکت uKnowKids به جای قدردانی از تلاش‌های ویکری، وی را به نفوذ در سامانه‌‌های رایانه‌ای و نفوذ به یکی از کارگزارهای شرکتش متهم کرد. وودا در نامه‌ای خطاب به مشتریانش گفت: «جای تأسف دارد که خبرهایی را در مورد نفوذ به پایگاه داده‌ی خصوصی uKnow توسط یک نفوذگر به شما می‌دهم.»
وودا بیان کرد نام و اسامی، ارتباطات و داده‌های URL پنجاه درصد از ۲۶۰ هزار کودکِ uKnowKids که از طریق کارگزار عمومی قابل موجود است، نیاز به محافظت دارند.
وودا گفته ‌است uKnow آسیب‌پذیری موجود در پایگاه داده را ظرف مدت ۹۰ دقیقه پس از نفوذ ویکری وصله کرده ‌است.
ویکری مطلبی را در وب‌گاه MacKeeper نوشت و در این پست، شرکت uKnowKids را متهم به نقضِ قانون حمایت از حریم شخصی برخط کود‌‌کان (COPPA) نمود. ویکری در ادامه چنین نوشت: «COPPA نیاز دارد سرویس‌هایی نظیر uKnowKids.com به ایجاد و حفظِ روش‌های منطقی و قابل قبول برای محافظت از امنیت، اعتماد و انسجام اطلاعات شخصیِ گردآور‌ی‌شده از کودکان اقدام نمایند. نمی‌دانم نظر شما چیست اما به عقیده‌ی من، دسترسی آزادانه به پایگاه داده‌ی حاوی اطلاعاتی در مورد کودکان،کار چندان منطقی به نظر نمی‌رسد.»
ویکری در ادامه‌ی مطالبش گفت: «اطلاعات و داده‌های کودکان شامل نام، تصاویر، پست‌الکترونیکی، مختصات GPS و حساب‌‌های کاربری رسانه‌های اجتماعی بوده‌اند.»
نگرانی وودا بیشتر به مسئله‌ی دسترسی غیرمجازِ ویکری به پایگاه داده‌ی uKnow بوده و وی را متهم بارگیری داده‌های خصوصی مشتریان، داده‌ها و اطلاعات تجاری، طرح پایگاه‌ی داده و اسامی فیلدها، مسائل امنیتی در کسب و کار، الگوریتم‌ها و فرهنگ لغاتِ مربوط به داده‌ها و اطلاعات محرمانهکرده‌ است.
وودا مدعی است که ویکری، درخواستی را مبنی بر حذف اطلاعات حساسِ تجاری داده است. با این حال، مطابق با گفته‌ی وودا، ویکری حذف میزانِ نامشخصی از اسکرین‌شات‌ها به منظور افشای مالکیت حقوق معنوی شرکت را رد کرده است.
تیلِر شیلدز، نائب‌رئیسِ فعال در زمینه‌ی بازاریابی، مشارکت و راه‌برد در علومِ سیگنالِ شرکت امنیتی، بیان کرد: «به عقیده‌ی محققانِ امنیتی، نزاعِ عمومیِ ویکری و وودا بسیار امری شایع است. این چنین درگیری‌هایی از زمان‌های بسیار دور بین محققین امنیتی رایج بوده است. بدون آشنایی با جزئیات کار نمی‌توان نظری داد. اما می‌توانم به شما بگویم که محققان همواره در معرض تهدیداتی از سوی دادخواهان مسئله‌ی آسیب‌پذیری شرکت‌ها قرار دارند.
مطابق با مطالعات ویکری، این پایگاه‌ داده به مدت ۴۸ ساعت برای دسترسی عموم پیکربندی و تنظیم شده‌ بود.
ویکری گفت: «وی با کمک موتور جست‌وجوی شودان (Shodan) که نقشی در یافتن مسیریاب‌ها، کارگزارها و رایانه‌های کنترلِ شرکتی برعهده دارد، به طور سهواً پایگاه داده را در معرض دسترس همگان قرار داده است.»
مطابق با گفته‌ی وودا، ویکری به کارگزارهای شرکت به طور متناوب و طی یک دوره‌ی دوروزه پیش از آگاه نمودن از وجود کارگزار ناامن در uKnow دسترسی داشته است.
ویکری مدعی است وودا ابتدا از افشای اطلاعات بسیار خرسند بوده اما بعداً طی تماس تلفنی، اشتباه خود را پذیرفته است.
ویکری نوشت: «از این‌که هر کسی وارد رایانامه‌ی من شود و من را از طریق تلفن تهدید کند، بسیار ناراحت می‌شوم.»
یکی از درس‌هایی که ویکری یاد گرفت این بود که: «اگر زمانی تصمیم گرفتید کار درست را انجام داده و یک شرکت را از وجود رخنه‌ی امنیتی در داده‌هایشان مطلع سازید، سعی کنید تمام مراحل را به صورت مکتوب انجام داده و نسخه‌ای از آن‌ را را نگاه دارید. من متوجه شده‌ام که CEOها توجه چندانی به مکالمات تلفنی ندارند.»
شیلدز گفت: «اگر شرکت‌تان مورد تهاجم و نفوذ قرار گرفت باید روش‌هایی برای مقابله با آن را در اختیار داشته باشید. تنها پاسخ به تهدیداتِ مخفی و پنهان نمی‌تواند کار منطقی باشد. بهترین راه این است که ابتدا مسئله را با کارشناس در میان بگذارید، این‌که چگونه کارشناس مهاجم را شناسایی می‌کند و چه کمکی می‌تواند به شما کند بسیار مهم است. شما بایستی با چنین افرادی در تعامل بوده و با آن‌ها در‌گیر نشوید.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.