نفوذگران به صفحه‌ی مدیریتی کارگزار اصلی اینستاگرام دست‌رسی پیدا کردند

شاید برای بسیاری از کاربران پیش آمده باشد که بخواهند به یک حساب کاربریِ اینستاگرام یا فیسبوک دست‌رسی غیرمجاز داشته باشند، جالب است بدانید که بالاخره نفوذ به حساب‌های کاربری ایسنتاگرام و فیسبوک توسط یک نفوذگر عملی شده است!
اما همیشه به خاطر داشته باشید که گزارش یک آسیب‌پذیریِ امنیتی به غول‌های فناوری باز هم می‌تواند مشکلات قانونی برای پژوهش‌گر ایجاد کند.
یک پژوهش‌گر امنیتی مدعی شده است که پس از گزارش یک آسیب‌پذیری مربوط به کارگزار اینستاگرام از طرف فیسبوک تهدید شده است، این آسیب‌پذیری امکان دست‌رسی به داده‌های حساس ذخیره‌شده به کارگزارهای اینستاگرام را برای این پژوهش‌گر فراهم کرده است. داده‌های حساس عبارتند از:
– کد منبعِ وب‌گاه ایسنتاگرام
– گواهی‌نامه‌های SSL و کلیدهای خصوصی اینستاگارم
– اطلاعات شخصیِ کاربران و کارمندانِ اینستاگرام
– اطلاعات محرمانه‌ی کارگزار رایانامه‌ی اینستاگرام

با این‌که این اطلاعات بسیار مهم به نظر می‌رسند، اما فیسبوک به عنوان مالکِ اینستاگرام این پژوهش‌گر را تهدید کرده است که به علت مخفی کردن این آسیب‌پذیری‌ها و عدم ارائه‌ی اطلاعات دقیق به تیم امنیتی فیسبوک، از این پژوهش‌گر شکایت خواهد کرد!
جزییات آسیب‌پذیری
این پژوهش‌گر به نام Wesley Weinberg با شرکت در برنامه‌ی کشف آسیب‌پذیری‌های فیسبوک سعی در کشف آسیب‌پذیری‌های اینستاگرام داشته است، البته انگیزه‌ی اولیه‌ی این پژوهش‌گر پس از شناسایی آسیب‌پذیریِ احتمالی در کارگزار sensu.instagram.com بوده است.
آسیب‌پذیری مربوط به نحوه‌ی پردازش کوکی‌های کاربر در این کارگزار است،‌ کوکی‌ها سازوکار معمولی هستند که برای به خاطر سپردن اطلاعات حساب کاربری به کار برده می‌شوند. این کارگزار آسیب‌پذیر، از یک توکنِ مخفی روبی استفاده می‌کند که به صورت ثابت در آن قرار داده شده، استفاده می‌کند. به کمک سوء‌استفاده از این آسیب‌پذیری این پژوهش‌گر موفق شده بود کارگزار را در شرایطی قرار دهد که اطلاعات پایگاه‌داده‌های این کارگزار را که شامل اطلاعات حساس است را نمایش دهد.
البته گذرواژه‌های مربوط به حساب‌های کاربری با الگوریتم رمزنگاری bcrypt رمز شده بودند، اما چون الگورتیم به اندازه‌ی کافی قدرتمند نیست، Weinberg موفق شده است هزاران گذرواژه‌ی ساده مانند عبارت‌های password یا instagram را رمزگشایی نماید.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.