ضعف‌های امنیتی در موتورهای شبکه‌های اجتماعی/ هک اطلاعات کاربران

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به استفاده از موتورهای شبکه اجتماعی ناامن به دلیل کمبود اطلاعات فنی که تهدیدات امنیتی برای کاربران به همراه دارد، هشدار داد.

امروزه شبکه‌های اجتماعی به جزء‌ جدایی‌ناپذیر از زندگی بسیاری تبدیل شده‌اند و حتی با وجود قابلیتهای فراوان و کاربرپسند شبکه‌های اجتماعی موجود، علاقه به راه‏ اندازی شبکه‌ های اجتماعی جدید با محوریتهای متفاوت و یا موضوع خاصی همواره در حال رشد است. برای مثال گروه‏های مختلف اجتماعی، از اهالی روستا‏ها گرفته تا دانشجویان و فارغ‌التحصیلان دانشگاهی، اقدام به ایجاد شبکه های اجتماعی می کنند.

اما با این وجود توجه به این نکته مهم است که تمامی این شبکه‌های اجتماعی، توسط افراد با‌تجربه در علوم مهندسی نرم‏ افزار و دارای مهارت فنی کافی ایجاد نمی‌شوند. در نتیجه، چنین شبکه‌هایی عمدتا دچار ضعف‌های فراوانی در طراحی و کمبود قابلیت‌ها و ضعف‌های امنیتی هستند و در نتیجه کاربران این سامانه‌ها ممکن است با خطرات و تهدیدات متعددی مواجه شوند.

براین اساس مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) موضوع امنیت شبکه های اجتماعی را از حیث طراحی و استفاده از بسته های نرم افزاری برای راه اندازی موتور این شبکه ها مورد بررسی قرار داده و نسبت به استفاده از موتورهای ناامن شبکه های اجتماعی هشدار داده است.

راه اندازی شبکه های اجتماعی به صورت سفارشی سازی شده

مرکز ماهر اعلام کرد: اگرچه برای ایجاد یک شبکه اجتماعی تخصص‌های مختلفی مورد نیاز است اما همواره نباید چرخ را از ابتدا خلق کرد. با این وجود به جهت دستیابی به یک شبکه اجتماعی می‌توان از بسته‌های نرم‌افزاری آماده تحت عنوان موتورهای شبکه اجتماعی استفاده کرد.

موتورهای شبکه‌ اجتماعی بسته‌های نرم‌افزاری هستند که برای ایجاد یک شبکه اجتماعی سفارشی‌سازی‌شده مورد استفاده قرار می‌گیرند. معمولا با استفاده از این بسته‌های نرم‌افزاری به سادگی می‌توان به یک شبکه اجتماعی دست‌ یافت.

سازوکار نصب و راه‌اندازی این موتورها مشابه سامانه‌های مدیریت محتوا (CMS) (مانند Joomla و WordPress) است که مدت‌هاست در داخل کشور به صورت گسترده برای راه‌اندازی پورتال‌ها و وب‌گاه‌ها توسط اقشار مختلف از جمله سازمان‌ها مورد استفاده قرار گرفته‌اند.

موتورهای شبکه اجتماعی مختلف قابلیت‌های گوناگونی را ارائه می‌دهند؛ امکاناتی نظیر عضویت کاربر، امکان برقراری ارتباط با اعضا، درج محتوا، درج نظر بر روی محتوا، به اشتراک‌گذاری عکس، فیلم و غیره تنها بخشی از قابلیت‌های شبکه‌های اجتماعی ایجاد شده توسط این موتورها است. همچنین امکان توسعه قابلیت‌های این شبکه‌ها با استفاده از افزونه وجود دارد. بنابراین سازندگان این بسته‌های نرم‌افزاری به ملاحظاتی که از دید یک توسعه‌دهنده عادی پنهان می‌ماند، توجه کرده‌اند.

چالش های استفاده از موتورهای سفارشی برای شبکه های اجتماعی

براساس بررسی های صورت گرفته، استفاده از این موتورهای شبکه اجتماعی چالش‌هایی را نیز به همراه دارد.

در صورت استفاده از این‌گونه موتورها تمام مسئولیت‌های نصب، راه‌اندازی و نگه‌داری از شبکه اجتماعی بر عهده استفاده کننده از این موتورها است. اگرچه او در تمامی امور، اختیار شبکه اجتماعی خود را دارا بوده و تمامی اطلاعات کاربران محفوظ خواهد ماند.

در همین حال باید گفت سازندگان شبکه های اجتماعی سفارشی سازی شده به علت عدم اطلاع کافی از بسترهای سخت‌افزاری مورد نیاز برای اجرای مناسب شبکه اجتماعی، از بسترهای ضعیف استفاده کرده و یا بیش از اندازه برای بستر سخت‌افزاری هزینه می‏ کنند.

مرکز ماهر تاکید کرد: اگرچه در طراحی و پیاده‌سازی موتورهای شبکه اجتماعی معمولا به امنیت توجه ویژه شده است اما در صورت استفاده از آن‌ها، فراهم‌ کردن امنیت از جهاتی دشوارتر نیز می‌شود چرا که این موتورها در دسترس عموم قرار داشته و هکرها در سرتاسر دنیا تمامی زوایای کد آن‌ها را با هدف یافتن یک آسیب‌پذیری بررسی و تحلیل می‌کنند. به‌عنوان مثال چندی پیش یکی از شبکه‌های اجتماعی که از موتورهای شبکه اجتماعی بهره برده بود، هک شده و اطلاعات دو میلیون کاربر آن در اختیار هکرها قرار گرفت.

کاهش امنیت شبکه های اجتماعی به دلیل کمبود اطلاعات فنی

در نتیجه‌ کشف آسیب‌پذیری‌های موتورهای شبکه اجتماعی از سوی هکرها، سازندگان این موتورها به صورت پیوسته نسخه‌های جدیدتری را که آسیب‌پذیری‌های کشف شده در آن‌ها رفع شده است، منتشر می‌کنند. بنابراین کاربران این موتورها باید پیوسته دغدغه به روزرسانی موتور شبکه اجتماعی خود را داشته باشند که در بسیاری از موارد این‌چنین نیست و در این صورت دچار چالش‌های جدی امنیتی خواهند شد.

چالش بعدی نیز این است که برخی از طراحان شبکه های اجتماعی و کاربران موتورهای این شبکه ها به علت کمبود اطلاعات فنی ممکن است این موتورها را به گونه‌ای مناسب پیکربندی نکرده و در نتیجه کاربران نهایی در حین استفاده با مشکلات مختلفی از جمله کاهش سرعت پردازش، کاربرپسندی و از همه مهم‌تر کاهش امنیت وب‏گاه مواجه شوند.

با این وجود به طراحان شبکه های اجتماعی داخلی توصیه می شود که در بکارگیری موتورهای راه اندازی این شبکه ها جوانب احتیاط امنیتی را رعایت کنند و کاربران نهایی نیز در عضویت در این شبکه ها با آگاهی بیشتری عمل کرده و اطلاعات مهم و شخصی خود را در این شبکه ها قرار ندهند.

منبع: مهر

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap