شبکهی Steemit که یک شبکه اجتماعی کوچک است در روز پنجشنبه ۱۴ جولای اطلاع داد که یک نفوذگر ناشناس به این شبکه نفوذ کرده و سرمایهی برخی از کاربرانش را به سرقت برده است.
Steem فناوری جدیدی است که شبکه اجتماعی Steemit را تقویت کرده و به کاربرانی که محتوای معروفی با Steem Power و Steem Dollars (یک ارز رمزپایه معمول با امتیازدهی یکبهیک به دلار آمریکا) ایجاد کنند، جایزه میدهد.
این شبکه دقیقاً همانند Reddit و Hacker news کار میکند و تنها راه به دست آوردن پول در آن، جمعآوری یا ایجاد محتوای جدید هست.
مهاجم Steem Dollars را به سرقت برده و میتواند آن را به بیت کوین تبدیل کند.
یکی از کاربران Steemit به نام dragonslayer۱۰۹ اولین کسی بود که متوجه این حمله شد و گزارش داد که تراکنشهای مرموزی پول را از حسابش به حساب دیگری در Bittrex انتقال داده است. Bittrex یک پورتال مبادله بیت کوین است که Steemit بهوسیله آن به کاربران اجازه میدهد که Steem Dollars را بهصورت بیت کوین برداشت کنند.
کاربران دیگری هم متوجه مواردی از این دست شدند. بعد از آن شرکت متوجه موضوع شد و پس از غیرفعال کردن گزینه انتقال پول به Bittrex شروع به تحقیق در این زمینه کرد و به FBI و دیگر مقامات مربوطه نیز اطلاع داد.
مهاجم از آسیبپذیریهای سمت مرورگر در وبگاه Steemit استفاده کرده است.
ند اسکات مدیرعامل Steemit گفت که تمامی کاربرانی که در این حمله آسیب دیدهاند از طریق فیسبوک یا Reddit حساب خود را ایجاد کردهاند و در پستی جدید، اواخر این هفته اعلام کرد که «هرگز به زنجیره قالب Steem رخنهای صورت نگرفته است. به همین دلیل کارگزارهای ما نیز آسیبی ندیدهاند. در واقع نفوذ گر از آسیبپذیریهای سمت مرورگر سوءاستفاده کرده است».
شایان ذکر است زنجیره قالب یک مدل از پایگاه داده توزیع شده است که در ایجاد بیت کوین به جهان معرفی شد. این پایگاه داده به صورت مستمر فهرستی از رکوردها (ردهها) را که هرکدام به گزینههای قبلی فهرست ارجاع میدهند حفظ میکند و بدین وسیله در مقابله با تضعیف یا بازنگری غیرمجاز تقویت میشود.
اسکات همچنین گفت که توانستهاند حمله را در همان روز متوقف کرده و اینکه Steem Dollars و Steem Power به تمامی کاربران آسیبدیده بازگردانده خواهد شد.
پس از وصله این خطاها و آسیبپذیریها در کد وبگاه Steemit، شبکه از کاربران خواست که کلمات عبور خود را تغییر دهند.
Steemit با ارائهدهندگان خدمات اینترنتی دیگر تفاوت دارد زیرا کاربران در آن سه کلمه عبور دارند، یک Owner Key، یک Active Key و یک Posting Key که هرکدام برای عملیات مختلفی استفاده میشوند.
مواجه شدن با یک حمله DDoS پس از وصله خطاها
سهواً یا عمداً، درست پس از اینکه شرکت این اطلاعیه را صادر نمود، حملهای DDoS به کارگزارهای این شرکت آسیب زد. Steemit از این موقعیت استفاده کرد و کارگزارهایش را مدتی برای وصله از کار انداخت و با افزودن فناوری به نام «احراز هویت چندعاملی مبتنی بر زنجیره قالب» خدماتش را ارتقاء و امنیت حساب کاربران را افزایش داد.
منبع: asis
درباره نماد امنیت وب
“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.