مؤاخذه‌ی سوپرمارکت زنجیره‌ای Asda برای آسیب‌پذیری‌های موجود

سوپرمارکت زنجیره‌ای Asda به خاطر مجموعه‌ای از آسیب‌پذیری‌های بالقوه جدی در وب‌گاه خود که برای مدت تقریباً دو سال باقی مانده بودند، مورد حمله قرار گرفته است.
در اولین گزارشی که در روز دوشنبه توسطThe Register منتشر شد، اعلام شد که مشاور امنیتی بریتانیا Paul Moore به Asda در مورد فهرست آسیب‌پذیری‌های خرید خود در ماه مارس هشدار داده است.
Asda درجه‌ی رمزنگاری TLS خود را بلافاصله بعد از آن افزایش داده است، اما با وجود گفت‌وگوی Moore با کارکنان فن‌آوری این سوپرمارکت بزرگ، آن‌ها نتوانستند تا روز جمعه با این مجموعه از آسیب‌پذیری‌ها مقابله‌ای درست انجام دهند، و تنها پس از این هشدارها بود که کاستی‌های این شرکت در این زمینه در صبح روز بعد به اطلاع عموم رسید.
آسیب‌پذیری‌های XSS (تزریق کد) و CSRF / XSRF (درخواست جعل تزریق کد) در وب‌گاه Asda وجود داشته‌اند که موجب شده‌اند ساز و کار بالقوه‌ای برای نفوذگران برای دسترسی به حساب‌های مشتریان Asda بدون نیاز به جزییات ورود آن‌ها فراهم آید.
همان مجموعه از نقص‌ها به سارقان اجازه می‌دهد تا اطلاعات پرداخت را هنگامی که یک مشتری برگه‌ی مرورگر جدیدی را در هنگام خرید از Asda باز می‌کند، سرقت کنند. مسیر به مراتب مشکل‌تری نیز برای دسترسی به پایگاه داده‌های مشتریان این شرکت در سال گذشته وجود داشت. برای مثال، حملات تزریق SQL از طریق ارائه‌دهنده‌ی اینترنت در انگلستان.
با این حال، خطر هنوز نیز وجود دارد.
Moore اولین بار در ماه مارس ۲۰۱۴ نقص‌های امنیتی جدی را به Asda اعلام کرد و تضمینی دریافت کرد مبنی بر این‌که این نقص‌ها در چند هفته‌ی آینده اصلاح خواهند شد. اما تنها یک مشکل SSL در هنگامی که Moore یک ویدئو از حمله‌ی بی‌ضرر اثبات مفهوم را در نوامبر سال ۲۰۱۵ برای Asda ارسال کرد، اصلاح شده بود.
در نهایت این هفته صبر او لبریز شد، و کاستی‌های وب‌گاه Asda را در روز دوشنبه عمومی کرد و گفت که این کاستی‌ها می‌تواند موجب حمله‌ی موفقیت‌آمیزی به وب‌گاه این سوپرمارک زنجیره‌ای شود.
نقص‌های پیوند داخلی XSS و CSRF در وب‌گاه Asda ممکن است ساز و کاری را برای مجرمان سایبری ایجاد کند تا حساب‌های کاربری را مورد حمله قرار دهند، همچنان‌که در کلیپ ویدئویی ارائه شده توسط مور این موضوع نشان داده می‌شود.
Moore اذعان کرده است که او نمی‌داند که آیا نفوذگران مخرب از این نقایص در حمله‌های واقعی تاکنون استفاده کرده‌اند یا خیر.
در پی گزارش حفره‌های Moore کارشناسان مستقل امنیتی از مدیریت Asda انتقاد می‌کنند. گزارش‌ها از نفوذ به حساب‌های Asda گاهی اوقات در رسانه‌های اجتماعی با اعلام شکایت از تقلب صورت گرفته است. این حوادث احتمالاً بیشتر به دلیل حملات فیشینگ است تا آسیب‌پذیری در وب‌گاه این شرکت که بهره‌برداری از آن زمان‌بر است.
خود Asda نمی‌پذیرد که این نقص‌های کشف شده توسط Moore می‌تواند برای مشتریان این شرکت آسیبی را در بر داشته باشد. نمایندگان این سوپرمارکت این آسیب‌پذیری‌ها برای مشتریان بسیار کم خطر دانسته‌اند زیرا که آن‌ها همه‌ی حفاظت‌های لازم را به شکل مناسبی انجام داده‌اند.
آن‌ها در یک بیانیه‌ای رسمی که در پی پرسش‌های El Reg از آن‌ها صورت گرفته بود گفته‌اند: «Asda و Walmart امنیت وب‌گاه‌ها را بسیار جدی گرفته‌اند و ما سامانه‌های خود و نرم‌افزارها را به طور مرتب بررسی می‌کنیم. این مشکل امنیتی مطرح شده دارای خطر بسیار کمی برای کاربران است و با این حال ما آن را بررسی کرده‌ایم.»
این فروشگاه زنجیره‌ای متعلق به آمریکا در ادامه گفته است: «هیچ شاهدی بر این‌که اطلاعات یک مشتری در اثر نقص‌های عنوان شده در خطر قرار گرفته باشد، موجود نیست» و در ادامه اعلام کرده است: «تغییراتی را برای بهبود وضعیت امنیتی وب‌گاه اعمال کرده است.»
سخن‌گوی این فروشگاه اعلام کرده است: «خطر کوچکی که ممکن بود برای اطلاعات مشتریان وجود داشته باشد، در یک به‌روزرسانی برطرف شده است.»
نظر سوپرمارکت این است که ین نقص جزئی بوده است و هرگز خطری برای مشتریان ایجاد نمی‌کرده است، از این رو تصمیم امنیتی این شرکت مربوط به آن‌ها نبوده است. اما منتقدان استدلال می‌کنند که Asda در این مورد نقایص شناخته شده مقصر است، این آسیب‌پذیری‌ها در فهرست ده نقص اصلی OWASP قرار داشته‌اند، و آن‌ها کارشناسی را که نزدیک دو سال پیش این مشکل را گزارش داده بود، نادیده گرفته‌اند.
تأخیر Asda در اصلاح این نقص بدون توضیح توسط این سوپرمارکت باقی مانده است، حتی با وجودی که El Reg مستقیماً برای توضیحی در این مورد، سؤال کرد بود؛ که Moore کاملاً بی‌توجهی کرده است.
Ross Brewer معاون و مدیر بازارهای بین‌المللی شرکت ابزارهای امنیتی LogRhythm در این زمینه می‌گوید: «مجموعه‌ای از آسیب‌پذیری‌های امنیتی برخط در درگاه برخط Asda تشخیص داده شده‌اند که به شکلی باورنکردنی این خرده‌فروشی با وجود دانستن این موضوع به مدت دو سال اقدام به تعمیر آن‌ها نکرده است. این کار غیرقابل پذیرش است، به ویژه برای چنین شرکت‌های بزرگ و شناخته‌شده‌ای که منابع و تخصص‌های لازم را برای درک و فهم آنچه که پیامدهای سهل‌انگاری در امنیت است، در اختیار دارند.»
او هشدار می‌دهد: «بدون هیچ‌گونه محافظت XSRF در وب‌گاه، این آسیب‌پذیری می‌تواند عواقب بالقوه بلندمدتی هم برای Asda و هم برای مشتریان این شرکت داشته باشد.این نقص نه تنها فرصتی را برای نفوذگرها برای دسترسی به داده‌ها فراهم می‌کند، بلکه آن‌ها را قادر می‌سازد تا حساب مشتریان را بدون دانستن نام کاربری و گذرواژه‌ی آن‌ها مورد هدف قرار دهند. سرقت اطلاعات، این امکان را ایجاد می‌کند که با استفاده از آن حملات فیشینگ برای اهداف کلاه‌برداران مورد استفاده قرار گیرد.»
Graham Cluley یکی از پیش‌گامان مسائل امنیتی نیز در زمره‌ی منتقدان قرار دارد.
Clulely می‌گوید: «Asda متعلق به غول سوپرمارکت آمریکا Clulely است و هر هفته بیش از دویست هزار تراکنش برخط انجام می‌دهد. به طور خلاصه هر گونه آسیب‌پذیری که بتواند مشتریان برخط Asda را مورد حمله قرار دهد، یک مشکل بزرگ است و این شرکت از نظر منابع برای مقابله با چنین مشکلاتی کمبود ندارد. و با وجود داشتن فرصت کافی برای حل مشکل در این زمینه موفق نبوده است.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.