وب سایت سید حامد واحدی | Seyedhamed Vahedi Website

فاجعه های معروف و ننگین در امنیت فناوری اطلاعات


با نادیده گرفتن مفاهیم امنیتی شروع کنید. یک مقدار تنبلی اضافه کنید. زمانی که متوجه شدید، سیستم فناوری اطلاعات شما مورد حمله قرار گرفته است و داده مشتریان شما به خطر افتاده است، برای چند روز یا بیشتر به آنها چیزی نگویید. بطور کامل تحقیق نکنید که چه اتفاقی افتاده است.
بوم...... شما دریافت کرده اید دستورالعمل برای یک فاجعه امنیتی فناوری اطلاعات که برخی از همین مسایل منجر به فاجعه هایی شده است که در زیر به آنها اشاره می شود:

Equifax در سال 2017:
اشتباهاتی شامل طراحی شبکه غیرایمن و مکانیزم ناکارآمد تشخیص نفوذ در پروژه Apache Struts باعث شد که در ماه مارس 2017 ، مهاجمان به اطلاعات حیاتی 145 میلیون امریکایی بشوند. البته مشکلات بیشتر است و این نقص تا 29 جولای شناسایی نشده بود و پس از شناسایی در اواخر جولای تا 7 سپتامبر نیز اعلام نشد. پس از آن نیز شرکت Equifax یک تکنسین فناوری اطلاعات که بازنشسته شده را برای این فاجعه متهم کرده است. اما شواهدی وجود دارد که نشان میدهد شرکت Equifax از دسامبر 2016 هشدارهایی در خصوص ضعف امنیتی پروژه دریافت کرده بود.

Verizon در سال 2017:
آیا شما به امنیت شرکای تجاری خود اعتماد دارید؟ مشکل امنیتی Verizon در جولای 2017 باعث شد که پرونده های 6 میلیون مشتری در معرض خطر قرار بگیرد. علت استفاده از سرور ذخیره سازی Amazon S3 بود که به درستی محافظت نشده بود. این سرور توسط یک شرکت همکار Verizon که تماس های خدمات مشتریان را تسهیل می کرد، کنترل می شد. اطلاعاتی شامل نام مشتری، تلفن های همراه، پین های حساب و نشانی منزل و ایمیل از طریق این مشکل در اختیار مهاجمان قرار گرفت و هر کسی که آدرس وب سرور را می دانست، می توانست آن فایل ها را بگیرد. Verizon اعلام کرد که خوشبختانه این ضعف در 10 روز برطرف شد و اطلاعاتی در مورد سرقت اطلاعات مشتری رخ نداده است.

FriendFinder در سال 2016:
وقتی در دنیای واقعی با کسی دوست هستید و ارتباط دارید، عقل حکم می کند که از ارتباط خود محافظت استفاده کنید. و وقتی که بطور آنلاین به دنبال کسی هستید و با او ارتباط برقرار می کنید نیز به همان اندازه نیاز است که از رمز عبور خود حفاظت کنید. اما FriendFinder که یک شبکه از سایت ها است برای مردمی که به دنبال عشق هستند!! آیا رمز عبور مناسبی برای کاربران ارائه می کند!؟ ظاهرا نه! 99 درصد از رمزهای عبور کاربر که معادل 412 میلیون حساب کاربری بود در اکتبر 2016 شکسته شد. چرا!؟ چون رمزهای عبور، بصورت متن ساده بودند یا با الگوریتم Hash ضعیف SHA-1 ذخیره شده بودند. حتی حروف رمزها قبل از Hash شدن به حروف کوچک تبدیل شده بودند که شکسته شدن را آسانتر کرده بود. این مساله حتی حساب کاربری مربوط به کاربرانی که حساب های خود را حذف کرده بودند را تحت تاثیر قرار داده بود.

Anthem در سال 2015:
اگر شرکت Anthem قبل از اواخر سال 2014 ، بیمه گر درمانی شما بود، باید مراقب باشید زیرا در آینده نیز ممکن است با سواستفاده از اطلاعات شما، تقلب هایی روی بدهد. زیرا نام، تاریخ تولد و شماره شناسایی پزشکی و شماره های امنیت اجتماعی به سرقت رفته است. اطلاعاتی که تا سال ها می تواند روی زندگی شما تاثیر داشته باشد. این مشکل در فوریه 2015 منتشر شد و 80 میلیون نفر از مشتریان Anthem را تحت تاثیر قرار داد.

Office of Personnel Management در سال 2015:
ممکن است بخواهید که بدانید چگونه از اطلاعات حساس افراد حفاظت کنید!؟ توصیه می شود که شیوه های دفتر مدیریت اطلاعات (OPM) دولتی فدرال را مطالعه کنید. اما برعکس هکرها از سال 2012 به سیستم OPM دسترسی داشتند که حدود 2 سال این دسترسی غیرمجاز شناسایی نشد. شگفت آور است که هکر دیگری در سال 2014 به سیستم OPM دسترسی پیدا کرد و یک سال بعد کشف شد.
این سازمان در انجام اقدامات اساسی امنیت از جمله رمزگذاری داده ها و احراز هویت دو عاملی موفق نبود.


Yahoo در سال های 2013 و 2014:
چگونه مشکلات یاهو در سال 2013 و 2014 فاجعه بار بود؟ به طول کل 3 میلیارد از کاربران شرکت خدمات اینترنتی تحت تاثیر قرار گرفتند. ادوارد اسنودن به عنوان هدف هکرهای تحت حمایت دولت در سال 2013 معرفی شد ولی تا یک سال بعد نیز یاهو مسئول امنیتی دیگری استخدام نکرد. حتی مدیرعامل مایر نیز گزارش داد که منابع مالی برای ارتقای امنیت به اندازه کافی نیست. یاهو تا 2 یا 3 سال از اطلاع رسانی نفوذ و در معرض خطر قرار گرفتن اطلاعات کاربران هشدار نداد و حتی مایر در برابر اطلاع رسانی اینکه، کاربران رمزهایشان را تغییر بدهند نیز مقاومت کرد.

eBay در سال 2014:
یک ایمیل فیشینگ که روی کارکنان eBay متمرکز شده بود، باعث نقض گسترده اطلاعات این شرکت در ماه می 2014 شد. در این حمله 145 میلیون حساب کاربر شامل نام، تاریخ تولد و کلمه عبور رمز شده به خطر افتاد.
مهاجمان به شبکه eBay در 229 روز قبل از شناسایی نیز دسترسی کامل داشتند. انتقادی که به eBay شد از این بابت بود که سه ماه طول کشید تا متوجه نقض اطلاعات شوند و پس از آن نیز 2 هفته طول کشید تا وجود مشکل را به کاربران اعلام کنند تا رمز ورودشان را تغییر دهند. البته شرکت اعلام کرد که شماره کارت اعتباری کاربران به خطر نیفتاده است.

Target در سال 2013
در سال 2013 با استفاده از بدافزار، حمله عظیمی به فروشندگان خدمات تهویه مطبوع شد. این بدافزار Citadel نام داشت و کلاهبرداران اینترنتی، اعتبارهای Fazio را سرقت کردند و از آنجا به وب سرویس شرکت Target که در اختیار فروشندگان بود، دسترسی پیدا کردند. در نهایت مهاجمان اطلاعات شخصی 70 میلیون مشتری Target و اطلاعات مربوط به 40 میلیون کارت اعتباری را بدست آوردند.

LinkedIn در سال 2012
نمک را بده! این چیزی است که یک نفر در LinkedIn گفته است. ظاهرا در حمله ژوئن 2012 حدود 6.5 میلیون کلمه عبور LinkedIn به سرقت رفته است. کارشناسان امنیتی گفته اند که رمزها به خوبی محافظت نشده بودند زیرا رمزها Salted نبودند. رویترز اعلام کرد که یک سال قبل از بروز این حمله، یک محقق امنیتی ضعف امنیتی را هشدار داده بود.
پس از این مساله، LinkedIn عذرخواهی کرد و از کاربران خواست که رمزهای عبور خود را تغییر بدهند. FBI یکی از شهروندان روسیه را به دخالت در این نفوذ متهم کرد. لازم به ذکر است که در سال 2016 LinkedIn اعلام کرد که در حمله سال 2012 اطلاعات 100 میلیون کاربر تحت تاثیر قرار گرفته بود.

eHarmony در سال 2012:
eHarmony خود را سایت دوستیابی قابل اعتماد برای افراد مجرد می نامد. در سال 2012 حدود 1.5 میلیون کلمه عبور به سرقت رفت که این اطلاعات بعدا در یک وبسایت رمزگشایی روسیه منتشر شد. یک تحلیلگر امنیت SpiderLabs گفت که 80 درصد کلمات عبور در 72 ساعت شکسته شدند. گذرواژه ها هرچند که Hash شده بودند ولی Salted نبودند و در حالت غیرحساس به حروف کوچک و بزرگ ذخیره شده بودند که همین مساله باعث می شود به طور چشمگیری زمان شکستن گذرواژه ها کاهش یابد.

Dropbox در سال 2012:
در سال 2012، اطلاعات 68 میلیون کاربر که از سرویس Dropbox استفاده می کنند سرقت شد. شرکت به کاربران توصیه کرد که رمزهای کاربری را تغییر داده و از سرویس تایید هویت 2 مرحله ای استفاده کنند.

Sony PlayStation Network در سال 2011:
در سال 2011 حمله ای به شبکه PlayStation شرکت سونی شد که اعتبارهای ورود، نام کاربری، تاریخ تولد، آدرس ایمیل و سایر اطلاعات حدود 77 میلیون کاربر شبکه را در معرض خطر قرار داد. پس از مدتی و با بررسی بیشتر مشخص شد که 25 میلیون دیگر نیز در معرض خطر قرار داشتند.

James Martin
سید حامد واحدی سید حامد واحدی     18 آبان 1396