تشریح جزییات آسیبپذیری امنیتی اخیر خطری متوجه اطلاعات ۴۰ میلیون کاربر «کافه بازار» نیست! تایید نفوذ و تکذیب نشت اطلاعات ! یک مدیر کافهبازار با تشریح جزییات آسیبپذیری امنیتی اخیر و اقدامات فنی مقابله با آن، اطمینان داد که این موضوع پایان یافته و نگرانی دیگری دراین باره وجود ندارد. تأیید خبر دسترسی غیرمجاز به […]
تشریح جزییات آسیبپذیری امنیتی اخیر
خطری متوجه اطلاعات ۴۰ میلیون کاربر «کافه بازار» نیست!
تایید نفوذ و تکذیب نشت اطلاعات !
یک مدیر کافهبازار با تشریح جزییات آسیبپذیری امنیتی اخیر و اقدامات فنی مقابله با آن، اطمینان داد که این موضوع پایان یافته و نگرانی دیگری دراین باره وجود ندارد.
تأیید خبر دسترسی غیرمجاز به سورسکد یکی از زیرسیستمهای وبسایت کافه بازار درست چند روز پس از نفوذ به بخشی از اطلاعات تاکسی اینترنتی تپسی، بازتاب گستردهای داشت.آنهم به این دلیل که اپلیکیشن بازار آمار بیش از۴۰ میلیون نصب را دارد.
اگرچه کافه بازار درباره ابعاد آسیبپذیری امنیتی کشف شده شفافسازی کرده اما برخی متخصصان علاقمند نیز وعده دادهاند که ادعای کافه بازار را راستی آزمایی کنند.
*سورسکد یکی از زیرسیستمهای وبسایت کافهبازار از مجموعه خارج شد
علی وحدانی مدیر محصول کافهبازار در گفتوگو با فارس در پاسخ به این سؤال که کافه بازار وقوع دسترسی غیرمجاز به سورسکد یکی از زیرسیستمهای وبسایت را تأیید و نشست اطلاعات از این سایت را رد کرده، چه توضیحی برای اینکه اطلاعات نشت نکرده وجود دارد؟ اظهارداشت: در اطلاعیه رسمی به صراحت نوشتیم که بخشهایی از سورس کد دست یکسری افراد افتاده و این را تأیید کردهایم؛ اما افرادی بودند که ادعا میکردند نفوذ کرده و به اطلاعات کاربران دسترسی پیدا کردهاند؛ برای بررسی این ادعا مسیری که از طریق آن توانسته بودند به سورس کد دسترسی پیدا کنند را پیدا کردیم و بستیم؛ سپس بررسی کردیم که آیا از این طریق توانستهاند نفوذ دیگری انجام دهند یا خیر که در نتیجه بررسی مطمئن شدیم تمام ادعاهای دیگرکاملاً غلط است و آنها اگر یک رکورد دیتا داشتند تاکنون منتشر کرده بودند و مطمئن شدیم که دیتایی نداشتهاند.
وی توضیح داد: تمام ردپاهای آنها را جستوجو کردیم و مشخص شد آنچه به دست آوردهاند دیتای کاربران نبوده؛ بلکه از روی وبسرور توانسته بودند یک آسیبپذیری پیدا کرده و سورس کد را دانلود کنند؛ آنها وارد سرور نشدند که بتوانند به دیتایی دسترسی داشته باشند؛ از اینرو در بیانیه به صراحت اعلام کردیم که توانستهاند به سورس کدی دسترسی پیدا کنند اما هیچ دسترسی دیگری نداشتند و همه راهها را بسته و چک کردهایم که مطمئن شویم هیچ دیتایی نشت نکرده است.
*چه بخشی از اخبار و مستندات نفوذ به دیتابیس اطلاعات کاربران صحت دارد؟
وحدانی در پاسخ به این سؤال که اخبار متعددی از ابعاد این آسیبپذیری امنیتی منتشر شده است، کدام یک از این اخبار صحت دارد؟ گفت: معتقد بودیم اگر آسیبپذیری وجود دارد به آن حساس هستیم، باید جلوی آن را بگیریم و درباره اینکه چه خطری وجود دارد اطلاعرسانی کنیم؛ امامسأله این بود که آنها میخواستند از حداقل چیزی که به دست آوردهاند خبرسازی کنند و اخبار جعلی تا جایی پیش رفت که در رسانههای غیررسمی و حتی کانالهای برانداز از ردپاهایی غیرواقعی در سورسکدهای کافه بازار صحبت کردند. رسانههای بینام و نشان که امروز زیادشدهاند علاقه دارند سروصدا به راه بیندازند و با برداشت شخصی خود، ولو دروغ خبر جنجالی بزنند؛ در این مسیر از رسانهها انتظار داریم با انتشار اخبار صحیح ما را کمک کنند.
مدیر محصول کافهبازار ادامه داد: نفوذگران توانستند به سورسکد وب سایت دسترسی داشته باشند و به سورس کد اپلیکیشن و سرورها دسترسی نداشتهاند؛ تنها یک عدد از سرورهای غیراصلی وب سایت مورد دسترسی قرار گرفته که سورس کد وب سایت را نگه میدارد و حتی نتوانستند سورس کد سیستمهای اصلی را بدزدند. بخش زیادی از سرورهای ما در حال سرویسدهی به ۴۰ میلیون کاربر کافه بازار هستند که به آنها دسترسی نیافتهاند.
وی ادامه داد: این سورس کد چیزی نیست غیر از سایت کافهبازار که با وارد کردن آدرس سایت یک سری اپلیکیشن نمایش داده میشود. تمام آنچه که به عنوان مصداق نفوذ گذاشته شده بود کد و تنظیمات این سایت بود و هیچ چیز دیگری نبود که دیتای کاربر یا دیتای اپلیکیشن باشد. با دنبال کردن رد پای جایی که توانسته سورس کد را از آنجا بگیرد، لاگ تمام فایلهایی که موفق شده بود دانلود کند را از سرور نگاه کردیم و اکنون دقیقاً میدانیم که چه چیزی به دست آورده و چه چیزی به دست نیاورده است؛ دیتایی که به دست آورده را تحلیل و تمام ادعاهای مطرح شده در توییتهاو مطالب کانالها را مانیتور کردهایم و با قطعیت میگوییم که صحت نداشتهاند. برای مثال یکی ادعا کرده بود که دیتا بیس از کافه بازار دارد و نمونه ارائه کرده بود که فایل ارایه شده خندهدار بود؛ همان سورس کدها را داخل یک فایل ریخته بود و گفته بود دیتابیس است. اصلاً چنین چیزی نبوده و هیچ دیتایی ندارند که بخواهند منتشر کنند که اگر یک رکورد داشتند منتشر میکردند.
* نگرانی از انتشار اخبار جدید از نفوذ در روزهای آینده وجود دارد؟
وحدانی در پاسخ به این سؤال که علیرغم شفافسازی کافه بازار درباره آسیبپذیری امنیتی، برخی برای راستی آزمایی ادعای کافه بازار و روشن شدن ابهامات درباره میزان نفوذ و رفع آسیب اعلام آمادگی کردهاند، نگرانی بابت اینکه در روزهای آینده اخبار جدیدی از این نفوذ منتشر شود وجود ندارد؟ گفت: تنها نگرانی از خروج این سورس کد که میتوانست وجود داشته باشد و روی آن تمرکز کردیم این احتمال بود که آنها از طریق این سورس کد بتوانند دیتایی پیدا کنند و سپس از طریق آن بتوانند به سرورهای دیگر حمله کنند تا دیتای کاربران را بدزدند که در همان زمان دو کار را برای مقابله انجام دادیم؛ نخست اینکه تمام مسیرهای احتمالی نفوذ را بررسی کردیم و ردپاهایی که حدس زدیم شاید با این دیتا، دیتایی دیگری را بدست آورند را گشتیم؛ دوم اینکه تمام کلیدها و پسوردهای لازم و تنظیمات را از ابتدا انجام دادیم انگار که این تنظیمات لو رفته تا مطمئن شویم خطر امنیتی جدیدی ما را تهدید نمیکند.
وی تأکید کرد: بنابراین تنها کارکرد این سورسکد این احتمال بود که از این دیتا قصد حمله دیگری را داشته باشد که جلوی آن را گرفتهایم.
* اگرافشاکنندگان جدی نبودند بیانیه دوم که تأییدگر نفوذ بود ارایه میشد؟
وی در پاسخ به اینکه بیانیه اول کافهبازار خیلی زود منتشر شد که البته حاوی اطلاعات مهمی نبود و در واقع گزارش آسیب را رد کرده بود، برخی تصور میکنند اگر ادعا با جدیت مطرح نمیشد شاید کافهبازار بیانیه دیگری ارایه نمیداد که بخواهد در آن آسیبپذیری را بپذیرد، پس از اطلاع از موضوع روند پیگیری توسط تیم امنیتی مجموعه که منجر به صدور بیانیهها میشد، چه بود؟ گفت: همواره شبکههای اجتماعی را مانیتورمیکنیم که به محض انتشار خبر در شبکههای اجتماعی بررسی موضوع شروع شد و چند ساعت بعد بیانیه اول منتشر شد؛ پس از انتشار بیانیه اول بررسی را ادامه دادیم و متوجه شدیم قضیه چه بوده و سورسکد از کجا به دستشان رسیده و مقداری طول کشید که بفهمیم آیا با سورسکدی که به دست دارند کار دیگری میتوانند انجام دهند. سپس بیانیه دوم را ارایه دادیم که مجموع اقدامات در حدود ۱۸ ساعت طول کشید.
وحدانی اضافه کرد: در بیانیه اول هنوز با قطعیت نمیدانستیم که چه اتفاقی افتاده است؛ فقط اعلام کردیم که متوجه موضوع هستیم و موضوع در حال بررسی است و در آخر بیانیه اعلام کرده بودیم که اگر کسی دیتایی دارد و به دنبال جایزه است پول را پرداخت میکنیم و آسیبپذیری را اعلام کند؛ البته کار به اینجا نکشید و مشاور امنیتی گرفتیم و همکاران امنیتی مجموعه تحلیل کردند و متوجه شدیم. وقتی شخصی عکس از سورسکد میگذارد حتی ممکن است این عکس از صفحه برنامهنویسی در حال انجام گرفته باشد. در بیانیه اول مسائل از صفر (بهترین حالت) تا ۱۰۰ (بدترین حالت) پیش رویمان بود؛ از اینکه فقط یک عکس است یا اینکه همه چیز لو رفته است؛ در نهایت تصور میکنم روال معقولی را طی کردهایم.
این مطلب بدون برچسب می باشد.
دیدگاه بسته شده است.