نفوذ به ۴۳ میلیون حساب کاربری Weebly!

۹۲۰۱۶ سال نقض داده‌هاست؛ سالی که بیشتر شرکت‌های مطرح مورد آماج حملات سایبری قرار گرفتند و در نتیجه حساب برخط بیش از یک میلیارد کاربر مورد نفوذ واقع شد.
Weebly و Foursquare آخرین قربانی‌های این نقض اطلاعاتی گسترده هستند و به فهرست «نقض میلیونی» که در ماه‌های اخیر منتشر شده پیوسته‌اند؛ فهرستی که لینکداین، مای‌اسپیس، VK.com، تامبلر، دراپ‌باکس و مهم‌تر از همه یاهو در آن جا خوش کرده‌اند.
جزئیات مربوط به بیش از ۴۳ میلیون کاربر وب‌گاه سرویس Weebly به سرقت رفته است. این یافته‌ها حاصل تحقیقات وب‌گاه اطلاع‌رسانی LeakedSource است که یک نسخه‌ی رونوشت مرتب‌‌سازی شده از اطلاعات به سرقت رفته را از یک منبع ناشناس دریافت کرده است.
علاوه بر این، LeakedSource اطلاعات مربوط به این حمله‌ی سایبری را روز پنجشنبه در وب‌لاگ خود منتشر کرده و اتفاقات اخیر را شرح داده است. باورها بر این است که حمله‌ی مذکور در فوریه‌ی ۲۰۱۶ رخ داده است.
خوشبختانه برخلاف سایر نفوذهای دیگر، یکی از بنیان‌گذاران و مدیر ارشد فن‌آوری Weebly، کریس فنینی از موضوع طفره نرفته و به‌طور کامل به پرسش‌ها پاسخ داده است.
کارشناسان سعی دارند تا اطمینان حاصل کنند که امنیت کاربران Weebly، با بازنشانی گذرواژه‌ها و ارسال رایانامه‌های اطلاع‌رسانی به آن‌ها برگشته است.
اطلاعات سرقتی شامل داده‌های شخصی ۴۳،۴۳۰٫۳۱۶ نفر از کاربران Weebly بوده است که این اطلاعات شامل نام کاربری، آدرس رایانامه، گذرواژه، و آدرس‌های IP آن‌ها می‌باشد.
گذرواژه‌های سرقتی به کمک تابع رمزنگاری قدرتمند BCrypt ذخیره شده بودند، به این ترتیب کار برای نفوذگران سخت می‌شود و آن‌ها برای به دست آوردن گذرواژه‌ی واقعی کاربران با مشکل مواجه خواهند بود.
همچنین تصور می‌شود که رشته‌ی هش‌شده‌ی گذرواژه از یک نمک (Salt) استفاده کرده باشد؛ Salt یک رشته‌ی تصادفی است که به فرآیند درهم‌سازی اضافه می‌شود تا گذرواژه‌های قوی‌تری ساخته شود و نفوذگران نتوانند به راحتی به گذرواژه‌ها دست پیدا نمایند.‌ ‌
Weebly این نقض اطلاعاتی را تأیید کرده است؛ Weebly می‌گوید که این شرکت کاربران آسیب‌دیده را مطلع ساخته و در حال حاضر فرآیند بازنشانی گذرواژه را آغاز نموده است.
Weebly اخیراً متوجه شده که یک نهاد غیرمجاز به آدرس‌های رایانامه، شناسه‌های کاربری، آدرس‌های IP و گذرواژه‌های رمزشده‌ی (با درهم‌سازی bcrypt) متعلق به تعداد بی‌شماری از مشتریان دست پیدا کرده است.
مسئولان این سرویس می‌گویند که تا به اینجا هیچ‌گونه شواهدی را مبنی بر دسترسی نادرست به وب‌گاه یک کاربر در دست ندارند. آن‌ها خاطرنشان کردند که هرگز شماره‌های کارت‌های اعتباری را به‌طور کامل در کارگزارهای Weebly ذخیره نمی‌کنند، و تا به اینجای کار اطلاع نداشتیم که ممکن است از اطلاعات کارت‌های اعتباری برای انجام کلاه‌برداری سوءاستفاده به عمل بیاید.
LeakedSource همچنین جزئیات یک نقض داده را شرح داده که حدود ۲۲٫۵ میلیون کاربر را سرویس مبتنی بر موقعیت مکانی Foursquare را تحت تأثیر قرار داده است؛ البته Foursquare این ادعا را رد کرده است.

توصیه برای کاربران Weebly
حتی اگر دست یافتن به متن صریح گذرواژه‌های سرقتی کار دشواری باشد، باز هم ایده‌ی خوبی است که رمز عبور حساب کاربری Weebly خود را عوض کنید تا در امان بمانید.
همچنین گذرواژه‌ی سایر حساب‌های برخط خود را در اسرع وقت تغییر دهید، به خصوص اگر از یک گذرواژه‌ی یکسان برای چندین وب‌گاه استفاده می‌نمایید.
علاوه بر این بد نیست که استفاده از یک برنامه‌ی مدیریت گذرواژه را در دستور کار خود قرار دهید تا به این طریق بتوانید گذرواژه‌های پیچیده‌ای را برای هر وب‌گاه ایجاد کرده و به خاطر بسپارید.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter