به گزارش
گرداب؛ نفوذگری با حساب کاربری 0x2Taylor در توییتر ادعا میکند که به یکی از کارگزارهای آمازون حاوی ۸۰۰۰۰ مجوز ورود کاربران (kindle) نفوذ کرده است.
این نفوذگر بهعنوان مدرکی برای نفوذ، بیش از ۸۰۰۰۰ مجوز متعلق به کاربران آمازون را بهصورت برخط منتشر کرد، او همچنین توضیح داده است که این شرکت به اخطارهای او در مورد آسیبپذیری کارگزارهایش توجه نکرده است.
0x2Taylor در توییتر در توضیح به دیلی دات بیان کرد که نقایص را سه روز قبل به آمازون گزارش کرده است اما با موفقیت همراه نبوده است.
رخنه در اطلاعات آمازونکارگزار مورد نفوذ واقعشده حاوی اطلاعات ۸۰۰۰۰ کاربر کیندل ازجمله مجوز ورود، شهر، ایالت، کد پستی، شماره تلفن و آدرس IP آخرین ورود کاربر بود.
0x2Taylor همچنین تأیید کرد که اعتبار مجوزها را تأیید نموده است. او همچنین افزود که پرداخت ۷۰۰ دلار را از آمازون درخواست کرده است اما شرکت برنامهای برای اعطای پاداش نداشته و همچنین تلاشهای نفوذگر را تأیید نکرده است.
او افزود: «آمازون شرکت بزرگی است و باید پول کافی برای اعمال دفاعهای امنیتی صحیح داشته باشد. من تلاش کردم بهطور محرمانه به آنها اثبات کنم که اخطارهای من را نادیده میگیرند.» او گفت: در این لحظه حقیقتاً نمیخواهم به آنها کمک کنم. فکر میکنم بهاندازه کافی غرامت دادهام.
این نفوذگر پیش از بارگذاری پایگاه داده کامل در سرویس ذخیرهسازی ابری Mega، تصویری از این اطلاعات را در توییتر به اشتراک گذاشته است.
0x2Taylor به کاربران پیشنهاد کرده است که رمزهای عبور خود را هر چه سریعتر بهروز نمایند و از آنها خواست بهطور مرتب این کار را انجام دهند.
اجازه دهید منتظر جواب آمازون بمانیم. کارشناسان امنیتی معتقدند اجرای یک برنامه پاداش برای شرکتها مفید است. نقصی که توسط نفوذگر کلاهسفید گزارش شد شاید به هر شرکتی اجازه دهد که میلیونها دلار ضرر ناشی از نشت اطلاعات را کاهش دهد.
بهروزرسانی ۱۰ ام جولای ۲۰۱۶به اظهارنظر یک محقق امنیتی برایان والاس در Cylance SPEAR Team توجه کنید:
بهعنوان یک پژوهشگر حوزه امنیت و یکی از مشتریان آمازون، در مورد نشت اطلاعات فرضی، کنجکاو هستم. با بررسی دادهها، پی بردم که دادهها با انتظارات ما از اطلاعات معمول یک کاربر انطباق ندارند. آدرس رایانامه برای حسابهای کاربری همگی قالب یکسانی داشتند. این قالب شامل نام کوچک، سپس نام خانوادگی و به دنبال آنیک دنباله تصادفی از حروف و اعداد بود. بهعلاوه، تمام آدرسهای رایانامه متعلق به gmail.com، yahoo.com و hotmail.com بودند.
با مشاهده این نکته تعداد دفعات وقوع هر دامنه بهکاررفته را بررسی کردم و پی بردم که از میان این سه دامنه هرکدام تقریباً یکسوم دفعات وقوع را تشکیل میدهند. این برخلاف انتظار ما برای مشاهده در نسخهبرداری از دادهها است، اما زمانی که این سه دامنه بهصورت تصادفی ۸۳۸۹۹ بار انتخاب شوند مشاهده این قالب انتظار میرود. باوجوداین شواهد دال بر اینکه دادهها تولید نشدهاند، در پی شواهد دیگری مبنی بر اینکه این اطلاعات نماینده اطلاعات کاربران قانونی نیستند برآمدم.
این دادهها شامل مقادیری برای آخرین IP کاربر است که ظاهراً نمایانگر آدرس IP کاربر در آخرین مرتبه ورود آن است. با بررسی آدرسهای IP، پی بردم که اکثریتقریببهاتفاق آدرسهای IP متعلق به ColoCrossing است؛ شرکتی که مراکز داده را بهعنوان یکی از خدمات ارائه میکند. درحالیکه احتمال دارد برخی از کاربران آمازون از طریق مراکز داده به شبکه متصل شوند، میتوان انتظار داشت که این موارد اکثریتقریببهاتفاق کاربران نباشند.
هنگام بررسی فیلد user_agent که ظاهراً توسط مرورگر وب کاربر در آخرین مرتبه ورود او به وبگاه این فیلد پر میشود، پی بردم که این نیز رفتار یک کاربر قانونی رانشان نمیدهد. مشابه دامنههای رایانامه، به نظر میآید که این عاملهای کاربران از یک فهرست کوتاه بهطور تصادفی انتخابشدهاند، چون تعداد عاملهای هر کاربر تقریباً مساوی بود. معمولاً، انتظار داریم برخی از مرورگرهای مشهور، برخی مرورگرهای غیر مشهور و خیلی بیشتر از ۲۲ عامل کاربری متفاوت ببینیم.
رمزهای عبور فهرست شده در دادهها نیز نماینده کاربران قانونی نیستند. تمام رمزهای عبور ظاهراً از ترتیب تصادفی حروف بزرگ و اعداد تشکیلشدهاند و هیچ واژه یا رمز عبور شناختهشدهای وجود ندارد. ممکن است تصور شود که برخی از کاربران بهطور تصادفی رمزهای عبور را تولید کردهاند اما بسیار بعید است که ۸۳۸۹۹ کاربر به یکشکل رمز عبور ساخته باشند.
وی میگوید: « من هیچیک از حسابهای کاربری را در Amazon.com آزمایش نکردم چون این کار بهطور بالقوه میتواند خطر قانونی داشته باشد.»
«براساس این شواهد، معتقدم که دادههای منتشرشده نماینده کاربران حقیقی آمازون نیستند، بلکه در عوض این اطلاعات تولیدشدهاند. مشخص نیست که آیا این اطلاعات توسط فردی که اطلاعات را منتشر کرده است تولیدشدهاند، یا توسط یک فرد سوم تولیدشدهاند و اینکه اطلاعات به دست فردی که آنها را منتشر کرده است رسیدهاند.»