نفوذ به یک کارگزار شرکت آمازون!

تاریخ انتشار : ۲۳ تير ۱۳۹۵

نفوذ به یک کارگزار شرکت آمازون و رخنه در اطلاعات ورود بیش از ۸۰ هزار حساب کاربری صورت گرفت.

به گزارش گرداب؛ نفوذگری با حساب کاربری 0x2Taylor در توییتر ادعا می‌کند که به یکی از کارگزارهای آمازون حاوی ۸۰۰۰۰ مجوز ورود کاربران (kindle) نفوذ کرده است.

این نفوذگر به‌عنوان مدرکی برای نفوذ، بیش از ۸۰۰۰۰ مجوز متعلق به کاربران آمازون را به‌صورت برخط منتشر کرد، او همچنین توضیح داده است که این شرکت به اخطارهای او در مورد آسیب‌پذیری کارگزارهایش توجه نکرده است.

0x2Taylor در توییتر در توضیح به دیلی دات بیان کرد که نقایص را سه روز قبل به آمازون گزارش کرده است اما با موفقیت همراه نبوده است.

 رخنه در اطلاعات آمازون

کارگزار مورد نفوذ واقع‌شده حاوی اطلاعات ۸۰۰۰۰ کاربر کیندل ازجمله مجوز ورود، شهر، ایالت، کد پستی، شماره تلفن و آدرس IP آخرین ورود کاربر بود.

0x2Taylor همچنین تأیید کرد که اعتبار مجوزها را تأیید نموده است. او همچنین افزود که پرداخت ۷۰۰ دلار را از آمازون درخواست کرده است اما شرکت برنامه‌ای برای اعطای پاداش نداشته و همچنین تلاش‌های نفوذگر را تأیید نکرده است.

 او افزود: «آمازون شرکت بزرگی است و باید پول کافی برای اعمال دفاع‌های امنیتی صحیح داشته باشد. من تلاش کردم به‌طور محرمانه به آن‌ها اثبات کنم که اخطارهای من را نادیده می‌گیرند.» او گفت: در این لحظه حقیقتاً نمی‌خواهم به آن‌ها کمک کنم. فکر می‌کنم به‌اندازه کافی غرامت داده‌ام.

 این نفوذگر پیش از بارگذاری پایگاه داده کامل در سرویس ذخیره‌سازی ابری Mega، تصویری از این اطلاعات را در توییتر به اشتراک گذاشته ‌است.

 

0x2Taylor به کاربران پیشنهاد کرده است که رمزهای عبور خود را هر چه سریع‌تر به‌روز نمایند و از آن‌ها خواست به‌طور مرتب این کار را انجام دهند.

اجازه دهید منتظر جواب آمازون بمانیم. کارشناسان امنیتی معتقدند اجرای یک برنامه پاداش برای شرکت‌ها مفید است. نقصی که توسط نفوذگر کلاه‌سفید گزارش شد شاید به هر شرکتی اجازه دهد که میلیون‌ها دلار ضرر ناشی از نشت اطلاعات را کاهش دهد.

 

به‌روزرسانی ۱۰ ام جولای ۲۰۱۶

به اظهارنظر یک محقق امنیتی برایان والاس در Cylance SPEAR Team توجه کنید:

به‌عنوان یک پژوهشگر حوزه امنیت و یکی از مشتریان آمازون، در مورد نشت اطلاعات فرضی، کنجکاو هستم. با بررسی داده‌ها، پی بردم که داده‌ها با انتظارات ما از اطلاعات معمول یک کاربر انطباق ندارند. آدرس رایانامه برای حساب‌های کاربری همگی قالب یکسانی داشتند. این قالب شامل نام کوچک، سپس نام خانوادگی و به دنبال آن‌یک دنباله تصادفی از حروف و اعداد بود. به‌علاوه، تمام آدرس‌های رایانامه متعلق به gmail.com، yahoo.com و hotmail.com بودند.

با مشاهده این نکته تعداد دفعات وقوع هر دامنه به‌کاررفته را بررسی کردم و پی بردم که از میان این سه دامنه هرکدام تقریباً یک‌سوم دفعات وقوع را تشکیل می‌دهند. این برخلاف انتظار ما برای مشاهده در نسخه‌برداری از داده‌ها است، اما زمانی که این سه دامنه به‌صورت تصادفی ۸۳۸۹۹ بار انتخاب شوند مشاهده این قالب انتظار می‌رود. باوجوداین شواهد دال بر اینکه داده‌ها تولید نشده‌اند، در پی شواهد دیگری مبنی بر اینکه این اطلاعات نماینده اطلاعات کاربران قانونی نیستند برآمدم.

این داده‌ها شامل مقادیری برای  آخرین IP کاربر است که ظاهراً نمایانگر آدرس IP کاربر در آخرین مرتبه ورود آن است. با بررسی آدرس‌های IP، پی بردم که اکثریت‌قریب‌به‌اتفاق آدرس‌های IP متعلق به ColoCrossing است؛ شرکتی که مراکز داده را به‌عنوان یکی از خدمات ارائه می‌کند. درحالی‌که احتمال دارد برخی از کاربران آمازون از طریق مراکز داده به شبکه متصل شوند، می‌توان انتظار داشت که این‌ موارد اکثریت‌قریب‌به‌اتفاق کاربران نباشند.

هنگام بررسی فیلد user_agent که ظاهراً توسط مرورگر وب کاربر در آخرین مرتبه ورود او به وب‎گاه این فیلد پر می‌شود، پی بردم که این نیز رفتار یک کاربر قانونی رانشان نمی‌دهد. مشابه دامنه‌های رایانامه، به نظر می‌آید که این عامل‌های کاربران  از یک فهرست کوتاه به‌طور تصادفی انتخاب‌شده‌اند، چون تعداد عامل‌های هر کاربر تقریباً مساوی بود. معمولاً، انتظار داریم برخی از مرورگرهای مشهور، برخی مرورگرهای غیر مشهور و خیلی بیشتر از ۲۲ عامل کاربری متفاوت ببینیم.

رمزهای عبور فهرست شده در داده‌ها نیز نماینده کاربران قانونی نیستند. تمام رمزهای عبور ظاهراً از ترتیب تصادفی حروف بزرگ و اعداد تشکیل‌شده‌اند و هیچ واژه یا رمز عبور شناخته‌شده‌ای وجود ندارد. ممکن است تصور شود که برخی از کاربران به‌طور تصادفی رمزهای عبور را تولید کرده‌اند اما بسیار بعید است که ۸۳۸۹۹ کاربر به یک‌شکل رمز عبور ساخته باشند.

 

وی می‌گوید: « من هیچ‌یک از حساب‌های کاربری را در Amazon.com آزمایش نکردم چون این کار به‌طور بالقوه می‌تواند خطر قانونی داشته باشد.»

«براساس این شواهد، معتقدم که داده‌های منتشرشده نماینده کاربران حقیقی آمازون نیستند، بلکه در عوض این اطلاعات تولیدشده‌اند. مشخص نیست که آیا این اطلاعات توسط فردی که اطلاعات را منتشر کرده است تولیدشده‌اند، یا توسط یک فرد سوم تولیدشده‌اند و اینکه اطلاعات به دست فردی که آن‌ها را منتشر کرده است رسیده‌اند.»