هکر بلژیکی چگونه حفره امنیتی اینستاگرام را شناسایی کرد؟

هکر کلاه سفید بلژیکی بعد از کشف باگ امنیتی اینستاگرام، ۵۰۰۰ دلار پاداش گرفت. این داستان شبیه به داستان هکر اسلونیایی است که قبلا در شبکه‌های اجتماعی و اینترنت منتشر شده بود. به گزارش کلیک داستان از این قرار بود که  یک دانش‌آموز اسلوونیایی، باگی در شبکه پاسخ اضطراری کشورش پیدا کرد. قرار بود شبکه بی‌سیم تترا در روند انتقال داده‌ها ابتدا داده‌ها را رمزگذاری کند و بعد کار انتقال داده‌ها را انجام دهد اما در بعضی موارد، اطلاعات بدون رمزگذاری از طریق این شبکه بی‌سیم منتقل می‌شدند. رفع این باگ مدت زمان زیادی طول کشید و همین تاخیر در رفع مشکل کافی بود تا دژان ارنیگ حفره امنیتی‌اش را بر روی این شبکه امتحان کند و به هزاران دلار ثروت برسد. اما پایان داستان، خوشایند نبود و او به ۱۵ ماه حبس تعلیقی محکوم شد. کشف باگ در در اینستاگرام  هم اتفاق افتاد اما این‌بار هم هکر کلاه سفید و هم مسئولان، عاقلانه و خردمندانه عمل کردند.

هکر بلژیکی چگونه حفره امنیتی اینستاگرام را شناسایی کرد؟
بنر همراه اول - کمپین ماه رمضان

به گزارش کلیک داستان از این قرار بود که یک دانش‌آموز اسلوونیایی، باگی در شبکه پاسخ اضطراری کشورش پیدا کرد. قرار بود شبکه بی‌سیم تترا در روند انتقال داده‌ها ابتدا داده‌ها را رمزگذاری کند و بعد کار انتقال داده‌ها را انجام دهد اما در بعضی موارد، اطلاعات بدون رمزگذاری از طریق این شبکه بی‌سیم منتقل می‌شدند. رفع این باگ مدت زمان زیادی طول کشید و همین تاخیر در رفع مشکل کافی بود تا دژان ارنیگ حفره امنیتی‌اش را بر روی این شبکه امتحان کند و به هزاران دلار ثروت برسد. اما پایان داستان، خوشایند نبود و او به ۱۵ ماه حبس تعلیقی محکوم شد. کشف باگ در در اینستاگرام هم اتفاق افتاد اما این‌بار هم هکر کلاه سفید و هم مسئولان، عاقلانه و خردمندانه عمل کردند.

یک پژوهشگر به نام آرن سواینن، بعد از کشف باگ اینستاگرام از طریق یک حساب کاربری آزمایشی سعی کرد تا وجود این حفره امنیتی را به مردم اطلاع دهد. در واقع سواینن نمی‌توانست ادعای خود و خطرات متعاقب را آن‌گونه که می‌خواست با استفاده از حساب‌های کاربری خودش به گوش افرادی که در شبکه‌ها و صفحات مجازی عضو هستند برساند. برای همین از طریق فیس‌بوک، کسانی را که صفحه اینستاگرام داشتند دعوت کرد تا نشان دهد که این باگ ممکن است باعث آسیب دیدن افراد زیادی در دنیای واقعی شود. سواینن می‌گوید وقتی حفره یا باگی را کشف می‌کنید شما در مقابل حساب‌های کاربران واقعی مسئول هستید و هرگز نباید فکر ورود به این حساب‌های کاربری را هم بکنید. او می‌گوید برای جلوگیری از هر گونه سردرگمی و پیچیدگی به صراحت با فیس بوک وجود چنین باگی را مطرح کردم. همچنین سواینن اضافه می‌کند که این وظیفه تمام هکرهای کلاه سفید است که باگ شناسایی شده را به اطلاع همه برسانند هرچند باعث شود که پاداش کمتری برای کشف باگ دریافت کنند. در واقع این یک تعامل سازنده بین محققان و کسانی است که برای کشف حفره‌های امنیتی پاداش می‌دهند هرچند امروزه چیزی بر خلاف این مرسوم باشد.

اما فیس بوک هم به نوبه خود به نحو شایسته‌ای وارد عمل شد. فیس بوک با توجه به اطلاعاتی که سواینن در اختیارش قرار داده بود، همان شب اقدام به رفع این باگ کرد و پاداش ۵۰۰۰ دلاری سواینن را دو هفته بعد، تمام و کمال پرداخت کرد.

حفره امنیتی

داستان کشف این حفره امنیتی از آنجا شروع می‌شود که سواینن بعد از مدت‌‌‌ها تصمیم می‌گیرد تا سری به صفحه اینستا‌گرامش بزند. هنگام ورود به حساب کاربری ، سیستم امنیتی اینستاگرام از او می‌خواهد که برای تایید هویتش به صفحه تایید هویت برود. صفحه‌ای که بسیاری از وب سایت‌‌ها برای جلوگیری از سرقت اطلاعات و مسایل امنیتی از آن استفاده می‌کنند. مرورگر سواینن چیزی شبیه به آن‌چه که در تصویر زیر می‌بینید برای او نمایش داد.

swinn-verify-1-640-min

او متوجه شد که در نوار آدرس می‌تواند به راحتی شناسه کاربری را تغییر دهد. او همچنین دریافت برای تمام کاربرانی که قبل از ورود به صفحه اینستاگرامشان باید احراز هویت شوند، یک صفحه تایید هویت باز می‌شود. او متوجه یک مشکل امنیتی شد. این مشکل زمانی رخ می‌دهد که شما می‌توانید آدرس یا URL ای که شما را به اطلاعات درونی یک وب سایت می‌رساند، حدس یا تخمین بزنید. این مشکل در فضای امنیت وب به مرجع شی مستقیم نا امن یا insecure direct object refrence معروف است.

حتی اگر این صفحه تایید هویت یک گزینه جایگزین برای ورود داشت باز هم دزدان اطلاعات می‌توانستند لیستی از شناسه‌هایی بسازند که در معرض سرقت اطلاعات قراردارند و بعد برای هر کاربر صفحه تایید هویت ارسال کنند و به اطلاعاتی که کاربر در آن صفحه وارد می‌کند دسترسی پیدا کنند.

بعد از آن سواینن سعی کرد تا بفهمد برای چند درصد از شناسه‌های کاربری، صفحه امنیتی نمایش داده می‌شود. به گفته او تقریبا برای چیزی بین دو میلیارد تا دو میالیارد و یک میلیون، شناسه کاربری صفحه امنیتی نمایش داده می‌شود. اما چیزی که بعدا اتفاق افتاد جالب بود. سواینن با ۴ نوع مختلف صفحه تایید هویت مواجه شد. ۲ تای این صفحات طراحی کاملا متفاوت با آنچه سواینن با آن روبرو شده بود، داشتند. در این صفحات به جای اینکه کاربر کد امنیتی را از طریق آدرس ایمیل یا شماره تلفن همراهی که قبلا برای اینستاگرام تعریف شده بود دریافت کند، به کاربر این امکان داده شده بود تا برای دریافت کد امنیتی شماره تلفن یا ادرس ایمیل جدیدی وارد کند. در واقع هکرها می‌توانستند با دادن ایمیل و یا شماره تلفن خودشان به جای صاحب حساب کاربری، به اطلاعات آن دسترسی پیدا کنند. با این حساب هکرها، نه تنها می‌توانستند کنترل حساب کاربری افراد را به دست بگیرند بلکه می توانستند دسترسی کاربر به صفحه خودش را هم‌زمان قطع کنند. سواینن حتی چیزی بدتر از آن را کشف کرد. او متوجه شد که برای حدود ۳٫۸۸ درصد از حساب‌های کاربری که قفل شده اند، شماره تلفن کاربر به صورت پیش‌فرض بر روی صفحه امنیتی فعال و قابل مشاهده است.

swinn-verify-2-640-min

توصیه به طراحان وب سایت‌‌ها و شبکه‌های اجتماعی برای حفاظت اطلاعات کاربران و بالا بردن امنیت صفحات:

اجازه دسترسی به اطلاعات کاربران با قابلیت نوشتن را ندهید.

اجازه دسترسی به اطلاعات کاربران با قابلیت فقط خواندن را هم ندهید.

به گزارشات کاربران در خصوص مشاهده ضعف‌های امنیتی توجه کنید.

منبع:https://nakedsecurity.sophos.com/2016/05/23/how-one-man-could-have-grabbed-your-instagram-account/

ارسال به دیگران
اینستاگرام باگ
ارسال نظر

آخرین اخبار