آسیب‌پذیری سامانه پرداخت قبوض برق توسط هکرهای کلاه‌سفید کشف شد

اطلاعات مدیران سایت شرکت توزیع برق در معرض افشا

اطلاعات مدیران سایت شرکت توزیع برق در معرض افشا
تاریخ انتشار : ۱۲ شهريور ۱۳۹۸

داغ‌ترین آسیب‌پذیری امنیتی که نیمه شب گذشته توسط سه هکر کشف و امروز برطرف شد، مربوط به سامانه پرداخت قبوض شرکت توزیع نیروی برق تهران بزرگ است. این باگ اطلاعات کاربران و مدیران این سامانه را در معرض افشا قرار می‌داد.

به گزارش گرداب، هکرهای کلاه‌سفید به منظور تست و ارزیابی امنیت یک شبکه و سیستم محافظت شده، برای هک کردن آن تلاش می‌کنند تا ببینید می‌توانند در آن آسیب‌پذیری کشف کنند یا نه. آن‌ها اگر رخنه‌ای را پیدا کنند،  آن‌قدر پیش می‌روند تا بفهمند آسیب‌پذیری تا چه حد خطرناک است و چه اطلاعاتی را در معرض افشا قرار می‌دهد.

«یاشار شاهین‌زاده» از آن هکرهای کلاه سفیدهای است که در شبکه اجتماعی توئیتر حسابی معروف است و او را می‌شناسند. او تا الان همراه دوستانش باگ‌های زیادی را کشف کرده و در این دو سه رخنه آخر هم توانسته مانند تمام هکرهای کلاه سفید دنیا، اندکی کسب درآمد کند.

یاشار شاهین زاده که مدتی قبل نیز از سوی وزیر ارتباطات تقدیر شد، شب گذشته همراه دوستانش متوجه شدند سامانه پرداخت قبوض اداره برق، یک باگ (آسیب‌پذیری) خطرناک دارد. باگی که علاوه بر لو دادن اطلاعات کاربران، منجر به دسترسی به اطلاعات مدیران می‌شد. به همین دلیل است که یاشار می‌گوید، این باگ بسیار خطرناک بود.

شاهین‌زاده درباره این آسیب‌پذیری امنیتی می‌گوید: مدتی است اداره برق برای حذف قبوض کاغذی، سامانه‌ای را طراحی کرده تا با این شیوه، قبض‌ها به صورت آنلاین پرداخت شوند. ساعت ۳۰دقیقه بامداد امروز، دوستانم سالار نصیری و جلال سجادی متوجه وجود باگی در این سامانه شدند.

البته قبل از آن هم ابراهیم خلیل‌زاده درباره این باگ چیزهایی به من گفته بود، اما باگ‌ها زمانی ارزش افشا پیدا می‌کنند که جدی باشند و خطرناک. زمانی که متوجه این باگ شدیم، آن را در توئیتر مطرح کردیم و از مسئولان اداره برق که در این حوزه تصمیم‌گیری می‌کنند خواستیم با ما در تماس باشند.  

اطلاعات کاربران و مدیران سایت شبکه توزیع برق

از نظر او آسیب‌پذیری که در این سامانه پیدا کرده‌اند «خطرناک» است. دلیل هم دارد؛ می‌گوید: این سامانه یک باگ داشت اما اطلاعاتی که از آن استخراج می‌شد را می‌توان به دو دسته تقسیم کرد که اولی در قیاس با دومی خیلی خطرناک نبود. شکل اول اطلاعات مربوط به کاربران بود که نشان می‌داد چه کسی، چه مبلغی را با چه شناسه قبضی پرداخت کرده است. از آن‌جایی که در این بخش اطلاعات مهم مانند کدملی وجود نداشت، می‌توان گفت آن‌قدر خطرناک نبود.

در حالی در کنار کاربران، لیستی از اطلاعات مدیران سایت شبکه توزیع برق وجود داشت که اگر کسی سایت را هک‌ می‌کرد به راحتی می‌توانست برای مشترکان پیامک ارسال کند و دسترسی به آن اطلاعات هم برایش کار ساده‌ای بود. البته بگویم ما تا همین جا پیش رفتیم، اما ممکن بود شرایط بحرانی‌تر شود و بتوان کل شبکه را هک کرد.

«کمتر از یک ساعت، از اداره برق با ما تماس گرفتند و گفتند شما آسیب‌پذیری را بگویید تا برطرفش کنیم. در ازای این کار هم جایزه و تقدیرنامه به شما می‌دهیم». یاشار با این توضیحات می‌گوید: برخوردشان خیلی خوب بود. به سرعت هم از نظر فنی توانستند مشکل را حل کنند و از این جهت خیلی خوب عمل کردند. البته هنوز تا این ساعت پولی به ما نداده‌اند و در واقع کمی در حال چانه‌زنی هستند.

جایزه ۱۰ میلیونی 

رقمی که قرار است به شاهین و سه دوست دیگرش برسد، ۱۰میلیون تومان بیشتر نیست. اگر این باگ کشف نمی‌شد، آن‌ها باید برای جبران خسارت، چندین برابر این رقم هزینه می‌کردند. به یاشار می‌گویم چرا ۱۰میلیون؟ رقم بانتی (جایزه) در دنیا خیلی بالاست؟ او می‌گوید: از آن‌جا که در کشور ما این زنجیره و شیوه کار به تازگی در حال جا افتادن است، ما سعی می‌کنیم عدد و رقم بالایی درخواست نکنیم تا زمانی که کارمان به شکل درست جا بیفتد.

البته از آن‌جایی که فکر می‌کنم کار این سامانه را یک پیمانکار انجام می‌دهد، برای همین این مبلغ از نظرشان کمی زیاد است.

شاهین و دوستانش که حدود یک سال است بیشتر از قبل شناخته شده‌اند و مورد اعتماد شرکت‌ها و ادارات دولتی هستند، معمولا بر پایه اعتماد با دیگران همکاری می‌کنند. او می‌گوید به جز یک مرتبه که شرکت مخابرات و ایرانسل پولی بابت باگ کشف شده به من ندادند، بقیه آسیب‌پذیری‌ها منجر به کسب درآمد برای ما شده است.

او افزود: با همراه اول زیاد کار کردم و هر بار هم توانسته‌ایم باگ‌های‌شان را شناسایی کنیم، اما با این‌که ایرانسل و مخابرات همین الان هم باگ‌های زیادی دارند، اما تعاملی با یکدیگر نداریم.

باگ ۱۵ میلیونی

یاشار کمتر از یک ماه قبل نیز یک آسیب‌پذیری در سامانه تهران من، سازمان فناوری اطلاعات و ارتباطات شهرداری تهران کشف کرد و به سرعت به آن‌ها اطلاع داد. در مقابل هم یک تقدیرنامه گرفت و یک چک ۱۵ میلیونی که رئیس سازمان فاوا شهرداری پای آن را امضا کرده بود.

شاهین‌زاده این باگ را هم به کمک دوستش محمدحسن نمدی کشف کرده است، سامانه تهران من برای شهروندان طراحی شده تا به صورت اینترنتی به خدمات شهری خود مانند خرید کارت مترو، طرح ترافیک و... دسترسی پیدا کنند. آسیب پذیری سامانه این بود که می‌شد حساب طرح ترافیک شهروندی را با بی‌نهایت شارژ پولی کرد.

یاشار و دوستش این باگ را با سازمان فاوا در میان گذاشتند و در عرض چند ساعت هم تقدیر شدند، هم جایزه‌شان را گرفتند هم این آسیب‌پذیری جدی از بین رفت.

این که چرا خیلی ها بعد از کشف باگ سراغ شاهین‌زاده می‌آیند و با او همکاری می‌کنند هم دلیل خاص خودش را دارد. او در این‌باره می‌گوید: من تا الان باگ‌های زیادی را پیدا کردم و به صاحبان‌شان اطلاع داده‌ام. به همین دلیل خیلی‌ها را می‌شناسم و با آن‌ها رابطه دارم. علاوه بر مزایای ارتباطی، دوستان زمانی که باگی کشف می‌کنند به من می‌گویند تا بتوانیم در آن پیشروی کنیم و به باگ بزرگ‌تر و اصلی برسیم.

او در توضیح بیشتر می‌گوید: گاهی اوقات فردی یک رخنه کوچک در سایت پیدا می‌کند و من به او کمک می‌کنم تا آن را به جاهای بحرانی برساند. قدم اول پیدا کردن آسیب‌پذیری است، اما قدم بعدی این است که ببینی این آسیب‌پذیری قرار است تا کجا پیش برود. به این کار می‌گویند exploit یا بهره‌کشی.

منبع: ایرنا