eBay بزرگ هک شد؛ امنیت شوخی نیست!

**alikamanak** · June 18th, 2014, 02:35

eBay بزرگ هک شد؛ امنیت شوخی نیست!

ماهنامه شبکه - خرداد 1393 شماره 157

سبحان عطار

اشاره: ماهنامه شبکه - اوایل خرداد ماه، شرکت eBay به‌طور رسمی اعلام کرد که از اواخر ماه فوریه سال جاری تا اوایل ماه مارس تحت حملات سایبری قرار گرفته و اطلاعات حساسی در مورد مشتریانش از جمله نام، آدرس‌های ایمیل، کلمه‌های عبور رمزنگاری شده، آدرس‌های پستی، شماره‌های تلفن و تاریخ‌های تولد آن‌ها و در یک کلام تمام اطلاعات مورد نیاز برای نابود کردن زندگی آنلاین و آفلاین یک شخص به سرقت رفته است.

اوایل خرداد ماه، شرکت eBay به‌طور رسمی اعلام کرد که از اواخر ماه فوریه سال جاری تا اوایل ماه مارس تحت حملات سایبری قرار گرفته و اطلاعات حساسی در مورد مشتریانش از جمله نام، آدرس‌های ایمیل، کلمه‌های عبور رمزنگاری شده، آدرس‌های پستی، شماره‌های تلفن و تاریخ‌های تولد آن‌ها و در یک کلام تمام اطلاعات مورد نیاز برای نابود کردن زندگی آنلاین و آفلاین یک شخص به سرقت رفته است. اگرچه تا‌کنون این مسئله تأیید نشده است، اما شنیده‌های درون سازمانی این شرکت حاکی از آن است که این تهاجم با استفاده از سرقت اطلاعات کاربری کارمندان این شرکت با استفاده از روشی موسوم به فیشینگ (phishing) و پس از آن دسترسی به شبکه داخلی eBay صورت گرفته است. مشکل این نوع تهاجم آن است که ممکن است به راحتی دامنه نفوذ و عمق آن مشخص نشود. زیرا دسترسی‌ها مجاز بوده و نشانه‌ای از تهاجم به شکلی مشخص وجود ندارد.
پس از انتشار این خبر، شرکت eBay اعلام کرد که تمامی کلمه‌های عبور رمزنگاری شده بودند و در نتیجه لازم نیست کاربران نگران رمزهای عبور خود باشند. این اظهار نظر در حالی رخ داد که این شرکت هیچ توضیحی در مورد نحوه پیاده‌سازی روش رمزنگاری خود ارائه نکرده است و پر واضح است که برای مثال اگر کلید رمزنگاری کلمه‌های عبور – که در زمان سرقت برای مدتی مورد استفاده بوده است - توسط متهاجمان سرقت شده باشد، رمزنگاری صورت گرفته دست‌کم برای بخشی از کلمه‌های عبور کمترین ارزشی نخواهد داشت. همچنین چنان‌چه در ذخیره‌سازی کلمه‌های عبور از روش‌های رمزنگاری یا درهم ریزی غیراستاندارد استفاده شده باشد، مهاجمان خواهند توانست تا به اصل کلمه عبور دست یابند. اتفاقی که حدود یک ماه قبل برای شرکت ادوبی رخ دارد.
مشابه این واقعه زمانی که شبکه اجتماعی لینکدین بیش از پنج میلیون کلمه عبور کاربران خود را در حمله هکرها از دست داد رخ داد و در کمتر از دو روز بیش از 60 درصد از این کلمه‌های عبور رمزگشایی شدند. در واقع زمانی که شما می‌توانید با استفاده از یک کامپیوتر رومیزی و استفاده از چند ابزار مرسوم یا چند سایت اینترنت به‌سادگی رمز عبوری که رشته درهم ریخته شده آن را در اختیار دارید به‌دست آورید، می‌توان تصور کرد که گروهی از مهاجمان با دسترسی به شبکه‌ای گسترده از کامپیوترهایی که در حال اجرای کد کنترلی از راه دور هستند، در چه زمانی قادر خواهند بود این رمزهای عبور نصف و نیمه را بازگردانند. نمونه واقعی آن شبکه اجتماعی لینکدین است.
اما در این رخداد که نمونه‌های کوچک و بزرگ آن‌را تقریباً هر روز شاهد هستیم، دو جنبه وجود دارد که گویی هرچقدر نیز به آن پرداخته شود کم است. جنبه نخست کاربران و توجه آن‌ها به هویت مجازی خودشان است. در دنیا و به‌طور خاص‌تر در ایران هنوز کاربران آن‌چنان که باید و شاید به هویت مجازی خود و اهمیت صیانت و حفاظت آن توجه ندارند. مواردی مانند آن‌چه دوستان دیگرم در باب مراقبت از کلمه عبور و نحوه امن‌سازی اطلاعات دیجیتال پیش از این بیان داشته‌اند همگی نشان از اهمیت این موضوع و داستان‌های مختلفی که در مورد از دست رفتن کلمه عبور کاربران به رغم تمامی این هشدارها می‌شنویم، نشان از عدم توجه به این هویت دارد. حداقل کاری که می‌توانید بکنید، انتخاب یک کلمه عبور با طول بیش از 20 کاراکتر، متشکل از ارقام، حروف بزرگ و کوچک لاتین و علایم و عدم افشای آن برای هرشخص دیگری است.
اما جنبه دوم این موضوع، که به اندازه جنبه اول و اغلب بیش از آن اهمیت دارد، بحث توسعه نرم‌افزارهای امن است. نرم‌افزار در هر شاخه و حوزه‌ای که توسعه داده می‌شود باید تا حد امکان امن و بر اساس «بهترین تجربیات» یا همان (Best Practice) امنیتی باشد. توسعه نرم‌افزارهایی که به‌راحتی کاربر را در معرض مخاطرات مختلف قرار می‌دهد یا شبکه‌هایی که در آن‌ها اصول امنیتی رعایت نشده است، همگی از مواردی هستند که باید از سوی کارفرمایان و توسعه‌دهندگان مورد توجه قرار گیرد.
استفاده از توسعه‌دهندگانی که دانش کافی در حوزه نرم‌افزار نویسی را کسب نکرده یا صرف علاقه به این رشته فعالیت، وارد این بازار می‌شوند، می‌تواند منجر به رخدادهایی شود که جبران آن حتی برای کسب‌و‌کارهای داخلی نیز ضررهای جبران ناپذیری را به‌بار داشته باشد.
برای مثال، یک فروشگاه مانند eBay در مقیاس داخلی را در نظر بگیرید که اطلاعات مشتریان خود را به‌شکلی ناامن – کلمات عبور رمزنگاری نشده، شماره کارت بانکی و مانند آن – نگه‌داری می‌کند. حال اگر مهاجم یا مهاجمانی موفق به ورود به سیستم‌های این فروشگاه شده و اطلاعات مشتریانش را به سرقت ببرند، بسیاری از مشتریان راغب نخواهند بود تا دوباره اطلاعات خود را در‌اختیار آن کسب‌و‌کار قرار دهند. اگرچه این در شرایطی است که مردم از مخاطرات درز کردن اطلاعات شخصیشان آگاه بوده و همچنین آن کسب‌و‌کار حمله احتمالی را اعلام کند. بنابراین کاربران در جایگاه خود و کارفرمایان نیز در جایگاه خود باید تمام تلاش شان را برای ایجاد فضایی امن برای خود و کاربران‌شان انجام دهند و بهترین راه در این زمینه استفاده از «بهترین تجربیات» و همچنین نیروی کار واقعاً متخصص خواهد بود. اگرچه در نهایت باید توجه داشت که هیچ برنامه‌ای هرگز کاملاً امن نخواهد بود.

منبع: shabakeh-mag.com

**elementary** · June 18th, 2014, 02:37

عالی بود

موضوع: eBay بزرگ هک شد؛ امنیت شوخی نیست!

ابزارهای موضوع

نحوه نمایش موضوع

eBay بزرگ هک شد؛ امنیت شوخی نیست!

تعداد تشکر ها از alikamanak به دلیل پست مفید

پاسخ : eBay بزرگ هک شد؛ امنیت شوخی نیست!

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

موضوعات مشابه

و این بار ebay

پرداخت 7 پوند در سایت Ebay

سؤال در مورد نحوه ی خرید از سایت ebay.com

فروش در ebay و سایت های مشابه

سخت افزار های سرور موجود در سایت ebay و قیمت بسیار پایین آن!

مجوز های ارسال و ویرایش