استفاده از روش بازنشانی گذرواژه برای نفوذ به ۱۰۵۰ رایانامه دانشگاهی

۹فکر می‌کنید نفوذ به رایانامه‌هایی که توسط کارکنان و دانشجویان دانشگاه‌های آمریکا استفاده می‌شود چقدر سخت است؟ بر اساس جزئیاتی که به‌تازگی توسط وزارت دادگستری ایالات‌متحده درباره یک پرونده منتشر شده است در برخی موارد این امر کار چندان سختی نیست.

سازمان FBI‌ می‌گوید هفته گذشته فردی ۲۹ ساله با نام جاناتان پاول را دستگیر کرده است که گفته می‌شود به ۱۰۰۰ مورد رایانامه متعلق به دو دانشگاه آمریکایی نفوذ کرده است. این نفوذگر توانسته است این کار را فقط با بهره‌گیری از نقاط ضعف موجود در فرآیند بازنشانی گذرواژه این رایانامه‌ها انجام دهد. پاول در کل ۷۵ مؤسسه را هدف قرار داده است اما پویش‌هایی علیه دانشگاه Pace در نیویورک و دانشگاهی دیگر در پنسیلوانیا از نظر مقیاس قابل‌توجه بوده‌اند.

گزارش‌ها نشان می‌دهد بین اکتبر ۲۰۱۵ و سپتامبر سال جاری، او سعی کرده است گذرواژه‌های ۲۰۵۴ رایانامه مختلف متعلق به دانشگاه Pace را تغییر دهد. در نهایت او توانسته است به ۱۰۳۵ حساب رایانامه دسترسی پیدا کند. در مورد دانشگاه پنسیلوانیا نیز او توانسته بود از ۲۲۰ مورد هدف خود به ۱۵ رایانامه نفوذ پیدا کند.
او پس از این‌ که کنترل حساب‌های مذکور را در دست گرفته است اقدام به انجام حملات بازنشانی گذرواژه بر روی خدماتی همچون iCloud شرکت اپل، فیس‌بوک، گوگل، لینکدین و یاهو کرده است.

دادستان منهتن، Preet Bharara در این خصوص می‌گوید: «این رخداد زنگ خطری برای دانشگاه‌ها و سایر مؤسسات آموزشی محسوب می‌شود. پاول از ابزارهای بازنشانی گذرواژه استفاده کرده تا به هزاران رایانامه دسترسی پیدا کند و بدین‌ترتیب به آنچه در این فضای شخصی ذخیره شده دسترسی داشته است.»

حملات بی‌پروایی که گاه توسط نفوذگران مستقل انجام می‌شود معمولاً دو سؤال را در ذهن ایجاد می‌کند: آن‌ها چگونه توانسته‌اند این حمله را انجام دهند و چرا چنین حمله‌ای صورت گرفته است؟
پاسخ به چرایی این حمله در انواع حملات دشوار است، اما وزارت دادگستری می‌گوید بیشتر انگیزه‌ها شخصی هستند.

در مدارک اعلام جرم پاول درباره چگونگی این حمله توضیحی داده نشده است اما به نظر می‌رسد دلیل اصلی نبود محدودیت برای انتخاب گذرواژه قوی برای رایانامه‌ها بوده است. در مورد دانشگاه Pace، پاول در مجموع ۱۸ هزار مرتبه برای به دست آوردن گذرواژه‌ها ۲ هزار مورد رایانامه تلاش کرده است، این تعداد تلاش در مدت ۱۲ ماه نشان‌گر این است که هیچ‌ محدودیتی برای تعداد حدس‌های گذرواژه وجود نداشته است.

اگرچه کاربران رایانامه‌ها باید از گذرواژه‌های ضعیف استفاده نکنند، اما بهترین راه این است که شرط پیچیدگی و طول گذرواژه در هنگام ثبت‌نام اجباری باشند.
مجازات پاول به خاطر پرونده مذکور حداکثر ۵ سال زندان خواهد بود.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter