نفوذ به بزرگ‌ترین میزبانِ رایگانِ وب؛ نقض بیش از ۱۳ میلیون گذرواژه‌ با متن ساده

بزرگ‌ترین شرکت میزبانی وبِ رایگان، به نام ۰۰۰Webhost با یک حمله‌ی بی‌سابقه‌ی سایبری مواجه شده و در پی آن بیش از ۱۳ میلیون گذرواژه‌ی رمز‌نشده مربوط به مشتریان این شرکت به دست مجرمان سایبری افتاده است.
مجموع کامل اطلاعات به سرقت‌رفته شامل نام کاربری، گذرواژه به صورت متن ساده، آدرس رایانامه و آدرس آی‌پی ۱۳٫۵ میلیون مشتری این شرکت بوده است. مسئله‌ای که این نفوذ را جدی‌تر می‌کند این است که حمله‌ی سایبری در ماه مارس ۲۰۱۵ یعنی بیش از ۶ ماه پیش رخ داده و هم‌اکنون اطلاع‌رسانی صورت گرفته است.
مسئولان امنیتی ۰۰۰webhost در فیسبوک خود ضمن تایید خبر این نفوذ به کارگزار اصلی شرکت، تاکید کردند که نگرانی اول آن‌ها در مورد اطلاعات لو رفته‌ی مشتریان است.
ظاهراً این حمله به کمک سوء‌استفاده از یک آسیب‌پذیری قدیمی PHP و بارگذاری چند پرونده در کارگزار شروع شده است و مجرمان سایبری موفق شده‌اند کنترل کامل کارگزار و همه‌ی داده‌های آن را به دست بگیرند.
یک محقق امنیتی به نام Troy Hunt ضمن تایید این نفوذ، گزارش داده است که داده‌های برخی از مشتریان از یک منبع ناشناس برای وی ارسال شده و صحت داده‌های مربوطه نیز قابل تایید است. البته این محقق در چند ماه گذشته چندین بار سعی کرده است با مسئولان ۰۰۰Webhost ارتباط برقرار کند و گزارش کاملی از این نفوذ ارائه دهد، اما آن‌ها تصمیم به انکار این حمله گرفته‌اند!
در واقع این شرکت عملاً استاندارهای پایه‌ای امنیت سایبری را نقض کرده است، و علاوه بر این‌که سامانه‌های خود در مقابل آسیب‌پذیری‌های وصله‌شده به‌روز نکرده، از اطلاع‌رسانی به موقع به مشتریان خودداری کرده است. گفتنی است ذخیره کردن داده‌های مربوط به گذرواژه به صورت متن ساده یکی از استانداردهایی است که باید در تمامی سازمان‌ها و شرکت‌ها خصوصاً در مورد اطلاعات مشتریان رعایت شود که ۰۰۰Webhost آن را نادیده گرفته است.
کاربرانی که از این شرکت خدمات رایگان میزبانی وب دریافت می‌کرده‌اند باید علاوه بر بررسی صحت وب‌گاه خود، در صورتی که از این گذرواژه در حساب‌های کاربری دیگری استفاده کرده‌اند، آن‌ را تغییر دهند تا از خطرات احتمالی در امان باشند.
در حال حاضر دست‌رسی به وب‌گاه ۰۰۰Webhost مسدود شده است.

منبع: asis

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap