55 Views
2017 Dec 16Newstechnology
img

لینکدین نقص امنیتی افشا شده در مورد دیوار امنیتی صفحه فیس بوک مارک زوکربرگ را نادیده گرفت. 

خلیل شریته، کارشناس فلسطینی فناوری اطلاعات ، 4 سال پیش با هک کردن دیوار امنیتی سئوی مارک زوکربرگ، مدیر عامل فیس بوک، جنجال زیادی در رسانه ها به پا کرد. شریته که از اینکه فیس بوک نقص امنیتی بزرگی که وی پیدا کرده بود را نادیده گرفته بود به شدت نگران بود، با اجرای حمله هکری بر روی دیوار امنیتی صفحه فیس بوک خود زوکربرگ توانست به راحتی توجه شرکت را جلب کرده و آنها را وادار به رفع مشکل امنیتی سایت کند. شریته در ماه گذشته یک نقص امنیتی در سایت لینکدین کشف کرد و بعد از اینکه با نادیده گرفتن این نقص توسط شرکت لینکدین مواجه شد درست مثل چهار سال پیش، مجبور شد جزئیات این نقص را در سایت The Verge قرار دهد.


این نقص از طریق انتقال قاچاقی کدی پیچیده تر به تصاویر میزبانی شده در سرور عمل می کرد. با تغییر مختصات منبع یک تصویر ارسال شده، هکر می تواند یک اسکریپت کنترل از راه دور را هنگامی که کاربر بر روی تصویر کلیک می کند، اجرا کند. در حالت بسیار نگران کننده این حمله، هکر می تواند این اسکریپت را به عنوان یک خطای تأیید اعتبار خود سایت لینکدین جا بزند، که به طور بالقوه می تواند کاربران را به وارد کردن رمز عبورش متقاعد کند. حتی در صورتی که کاربر فقط از این پست دیدن کند و سپس از سایت خارج شود هم این کد تایید هویت به طور خودکار اجرا می شود. لینکدین پس از اینکه با سایت The Verge تماس برقرار کرد این نقص را به طور موقت رفع کرد.

با وجود اینکه برای استفاده هکر از این نقص امنیتی نیاز است که این حمله در یک حساب کاربری لینکدین با تعداد فالوورهای بالا اجرا شود یا از طریق یک ایمیل فیشینگ بین قربانیان پخش شود، اما هنگامی که شریته آن را برای سایت The Verge توصیف کرد، به نظر خیلی آسان بود. در مکاتبات دیده شده توسط سایت The Verge، مهندسان امنیت لینکدین در ابتدا، به رغم اینکه حتی اگر کاربر بدون وارد شدن به حساب کاربری خودش پست مورد نظر را برای مدت کوتاهی بازدید کند کد احراز هویت سریعا به صورت اتوماتیک نمایش داده می شود، این گزارش را به این دلیل که مستلزم "مداخله کاربر" است نادیده گرفتند.


شریته گفت: "من از پاسخهایی که از شرکت لینکدین دریافت کردم به شدت تعجب کردم. لینکدین و سایر شرکت ها باید نسبت به مسائل امنیتی حساسیت بسیار بیشتری نشان دهند به طوریکه متخصصان امنیتی این شرکت ها بایستی نسبت به هر گونه گزارش امنیتی مستقیما پاسخ دهند."

شریته یک محقق امنیتی تمام وقت نیست، اما او تقریبا 9 سال است که در مورد نقصهای امنیتی وب تحقیق می کند. حتی خبرگزاری CNN پیش از این در خانه اش در فلسطین با وی مصاحبه کرده است. شریته در طی سالهای پس از حمله هکری به صفحه شخصی زوکربرگ با پیدا کردن حداقل 10 حفره امنیتی در فیس بوک بارها از این شرکت جایزه دریافت کرده است.


نگرانی آشکار شریته قابل درک است. ما هر هفته شاهد افشای نقایص امنیتی سطح بالا هستیم که اغلب به هزاران و یا میلیون ها کاربر خسارت وارد می کند. محققان امنیتی به طور مرتب این نقاط آسیب پذیر سایت ها را گزارش می دهند و اگر شرکت ها به سرعت واکنش نشان ندهند، قطعا کاربران در معرض خطر قرار خواهند گرفت. یک سخنگوی لینکدین در یک بیانیه به The Verge گفت: "پس از اینکه محققی با ما تماس می گیرد تا یک مسئله امنیتی را در پلتفرم ما با ما در میان بگذارد، ما به طور جدی و به سرعت برای پیگیری مساله با آنها همکاری می کنیم. اما در این مورد این مشکل امنیتی تنها در صورتی امکان دارد به وقوع بپیوندد که کاربران به یک ایمیل فیشینگ که از طرف هکر ارسال شده است پاسخ دهند و سپس اطلاعات کاربری خود را در صفحه ای که باز می شود وارد کنند. ما معتقدیم هیچگونه مشکل امنیتی رخ نداده است. ما ارزش تحقیقات مهم و تاثیرگذار محققان امنیتی را درک می کنیم و معتقدیم کار با محققان امنیتی برای محافظت از اعضای ما ارزشمند است."


LinkedIn

Zuckerberg

Khalil Shreateh

facebook

The Verge

هک

هکر

لینکدین

مارک زوکربرگ

شبکه جتماعی

فیس بوک

حمله هکری

نقص امنیتی

حفره امنیتی

هک لینکدین

هک فیس بوک

هک صفحه مارک زوکربرگ