نقض داده در پیام‌رسان هیپ‌چت: گذرواژه‌های کاربران بازنشانی شد

هیپ‌چت گذرواژه‌های کاربران خود را بازنشانی کرد. گفته می‌شود این اقدام پس از آن انجام شد که این شرکت حدس می‌زند یک نقض امنیتی رخ داده و در آن نام، آدرس رایانامه و گذرواژه‌های درهم‌سازی شده‌ی کاربران تحت تأثیر قرار گرفته باشد.

هیپ‌چت در یک پست وبلاگی روز دوشنبه اعلام کرد که در برخی موارد ممکن است مهاجمان به پیام‌ها و محتوا در اتاق‌های گفتگو نیز دسترسی داشته‌اند. ولی گفته می‌شود احتمالاً این اتفاق در ۰.۰۵ درصد از موارد رخ داده باشد. هیپ‌چت اعلام نکرده در این حادثه چند نفر از کاربران تحت تأثیر قرار گرفته‌اند. این شرکت اعلام کرد برای اهداف مخرب و نفوذ بسیار سخت بتوان از گذرواژه‌های لورفته استفاده کرد.

این شرکت اعلام کرد گذرواژه‌ها با استفاده از الگوریتم bcrypt رمزنگاری یا مبهم شده‌اند که باعث می‌شود گذرواژه به رشته‌ای از نویسه‌های تصادفی تبدیل شود. هیپ‌چت برای افزایش امنیت، هنگام درهم‌سازی گذرواژه‌ها، یک مقدار اولیه را نیز به آن‌ها اضافه کرده است. هیپ‌چت هشدار داده ممکن است اطلاعات اتاق‌های گفتگو مانند نام و موضوع اتاق در دسترس نفوذگران قرار گرفته باشد. این شرکت اعلام کرد ولی هیچ داده‌ی مالی یا اطلاعات کارت‌های اعتباری در اختیار مهاجمان قرار نگرفته است. هیپ‌چت یک سرویس پیام‌رسان محبوب است که در سازمان‌های زیادی مورد استفاده قرار می‌گیرد. چنین نفوذ و دسترسی به داده‌های حساس کاربران می‌تواند عواقب امنیتی زیادی در پی داشته باشد.

سرویس هیپ‌چت اعلام کرد آخرهفته‌ی گذشته از این نقض امنیتی مطلع شده است. این نفوذ از یک آسیب‌پذیری بر روی سرویس اَبر هیپ‌چت بهره‌برداری کرده که عنوان این آسیب‌پذیری ذکر نشده ولی گفته می‌شود در یکی از کتابخانه‌های ثالث که این سرویس استفاده می‌کند وجود دارد. این اولین بار نیست که سرویس پیام‌رسان هیپ‌چت با چنین مشکلات امنیتی مواجه می‌شود. در سال ۲۰۱۵ میلادی، هیپ‌چت گذرواژه‌های کاربران خود را بازنشانی کرد و اعلام شد یک نفوذ رخ داده که اطلاعات کاربران را به سرقت برده و تقریباً ۲ درصد از کاربران این سرویس را تحت تأثیر قرار داده است.

وقتی چنین نقض داده‌ای رخ می‌دهد کارشناسان امنیتی توصیه می‌کنند تا کاربران بر روی هر حساب کاربری که از این گذرواژه استفاده کرده‌اند، آن را تغییر دهند. کاربران برای جلوگیری از چنین اتفاقاتی می‌توانند از نرم‌افزارهای مدیریت گذرواژه استفاده کرده و برای هر حساب کاربری، گذرواژه‌ای جدا و پیچیده داشته باشند و به راحتی آن را به‌خاطر بیاورند.

هیپ‌چت در حال حاضر رایانامه‌هایی را برای کاربرانی که تحت تأثیر قرار گرفته‌اند ارسال کرده و آن‌ها را از بازنشانی گذرواژه مطلع کرده است. در سال ۲۰۱۵ میلادی، رقیب این پیام‌رسان با نام Slack یک نقض داده را گزارش کرد و برای بهبود امنیت حساب‌ها، ویژگی احراز هویت دوعاملی را ارائه کرد. در هیپ‌چت هنوز ویژگی احراز هویت دوعاملی وجود ندارد.

منبع: asis

درباره نماد امنیت وب

کانال اخبار فناوری اطلاعات نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.