محققی امنیتی، مدیرعامل Imgur را راضی به افزایش پاداش کرد!

ناتان مالکولم، یک محقق امنیتی مستقل، این هفته تجربیات شخصی خود را درباره تیم امنیتی Imgur و اینکه چگونه پس از دسترسی به پایگاه داده‌‌ی تولید، مدیرعامل را راضی به افزایش پاداش پرداختی کرده است، منتشر نمود.

مالکولم عضو قدیمی شرکت Imgur بوده است. وی خیلی قبل‌تر از اینکه شرکت Imgur برنامه‌ی اهدای جایزه را راه بیندازد، به این شرکت پیوسته‌ بود. این شرکت پس ‌از اینکه مورد حملات DDOS قرار گرفت، این برنامه را برپا کرده است.

او تابستان سال ۲۰۱۵ و پیش از ارسال گزارش‌هایی درباره مجموعه‌ای از XSS، دست‌کاری‌ها و اشکالات CSRF، شروع به ارسال گزارش‌های حفره‌ها و اشکالات به این شرکت کرده بود.

طی همین گزارش‌ها بود که با مدیرعامل این شرکت که شخصاً به وی رایانامه‌ای فرستاده و بابت کمک به پیشرفت وب از وی تشکر کرده بود، رابطه برقرار کرد.

در ابتدا چون این برنامه اهدای جایزه را راه نینداخته بود، مالکولم توانست تنها توجهاتی را به سمت خودش جلب کند.

جلب توجه و دریافت ۵۰ دلار

وقتی حمله DDOS-۸Chan اتفاق افتاد، شرکت سرانجام برنامه اهدای جایزه را تنظیم کرد که طبق آن به مالکولم بابت کشف‌های قبلی‌اش جایزه‌ای اهدا شد.

وقتی مالکولم این موضوع را متوجه شد، متعجب شد چراکه او بابت کشف ۲۰ حفره، ۵۰ دلار جایزه گرفته بود، البته او گفت این مبلغ کم است چراکه او قبلاً چیزی دریافت نکرده بود.

او با دیدن این مبلغ دلسرد نشد و شروع به یافتن حفره و اشکالات جدید کرد تا تیم امنیتی Imgur را تحت تأثیر قرار دهد.

این محقق محیط آزمون Imgur را پیدا کرد.

طی کشفیات بعدی، او کارگزار پیشرفته‌ای را پیدا کرد که با بی‌دقتی کامل بر روی اتصالات خارجی باز بود؛ در اینجا مالکولم نیز نسخه کوچک‌تری از Imgur اما با ویژگی اشکال‌زدایی پیدا کرد. او متوجه شد که این کارگزار پیشرفته روی کارگزار قدیمی و ناامن ElasticSearch راه‌اندازی شده است که در معرض خطر CVE-۲۰۱۴–۳۱۲۰ قرار دارد. این کشف به وی اجازه می‌داد که پرونده‌ها را از این کارگزار ضعیف بیرون بکشد و با انجام این کار توانست پرونده /etc/pswd حاوی کلمات عبور کارگزار و keys.php حاوی کلیدهای API برای کارگزارهای مختلف مانند Fastly، MailChimp، reCAPTCHA، کارگزار AWS و کلیدهای API مختلف را برای برنامه‌های گوشی همراه Imgur به دست آورد.

مالکولم کنترل کامل پایگاه داده‌ وبگاه را به دست گرفت.

از آنجایی‌که مالکولم می‌خواست میزان خرابی را که یک مهاجم می‌تواند به بار آورد به تیم امنیتی Imgur نشان دهد و اینکه آن‌ها باید ارزش بیشتری برای محققان امنیتی قائل شوند، کلمه عبور MySQL را به دست آورد و به پایگاه داده‌ی تولید شرکت وارد شد؛ پایگاه داده‌ای که هیچ‌کس نمی‌توانست حدس بزند کجا قرار دارد.

او گزارش خود را با کشفیات جدیدش به‌روزرسانی کرد و مهندسان این شرکت تصمیم گرفتند پاداش وی را از ۵۰ به ۵۰۰ دلار افزایش دهند. او حتی بار دیگر رایانامه‌ای از جانب مدیرعامل Imgur دریافت کرد که راجع به جزئیات برطرف‌سازی اشکالات امنیتی نکاتی را گفته بود. «یک خطای پیکربندی توسط گروه امنیتی به محیط‌ توسعه Imgur اجازه می‌داد تا در معرض اینترنت(عمومی) قرار بگیرد. اصولاً این محیط‌ها پشت یک نقطه انتهایی مخصوص محافظت شده‌اند تا در یک محدوده زمانی مشخص و تنها به روی کارکنان مجاز Imgur باز است. از آنجایی‌که این محیط‌های توسعه به شیوه‌ای پیکربندی شده‌اند که کار توسعه را آسان کنند، برخی از رمزها و متغیرهای محیط در معرض خطر هستند. در حالی‌که بیشتر این اطلاعات حساس محدود به محیط‌های توسعه هستند، برخی از اطلاعات تولید نیز معرض خطر قرار دارند. از زمانی این گزارش منتشر شده است، روی امنیت این محیط‌های توسعه کار بیشتری انجام شده و اکنون پشت یک VPN مستقر شده‌اند».

مالکولم طی رایانامه‌ای به مدیرعامل دلایل مختلفی را توضیح داد که چرا وی باید پاداش بهتری به نه‌تنها او بلکه به محققان امنیتی بدهد. بخشی از رایانامه وی به این صورت است: «این برنامه اعطای جایزه مانند به خدمت گرفتن سرباز است؛ اما از استفاده دائمی از آزمایش‌‌کننده‌های نفوذ ارزان‌تر است. بنابراین اگر این محققان برای دریافت پول بیشتری موضع خود را عوض کردند و به جبهه مقابل پیوستند شکایتی نداشته باشید».

رایانامه وی اثرگذار بود چرا که در ژانویه ۲۰۱۶، مدیرعامل Imgur پاداش‌ها را بیشتر کرد و حتی پاداش مالکولم را از ۵۰۰ دلار به ۵۰۰۰ دلار افزایش داد. دو ماه بعد محققان امنیتی رخنه‌های دیگری در Imgur پیدا کردند، اما این بار با پاداشی بهتر.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]