Canonical بهتازگی اعلام کرد که تالارهای گفتگوی برخط اوبونتو مورد نفوذ واقع شدند و دادههای متعلق به بیش از ۲ میلیون کاربر به خطر افتاد.
به گزارش گرداب؛ هیچ نرمافزاری حتی لینوکس در برابر نفوذ ایمن نیست! Canonical بهتازگی اعلام کرد که تالارهای گفتگوی برخط اوبونتو مورد نفوذ واقع شدند و دادههای متعلق به بیش از ۲ میلیون کاربر به خطر افتاد. به گزارش این شرکت که نتوانست وصلهای را برای تأمین امنیت اطلاعات کاربران به کار گیرد، اطلاعات به خطر افتاده کاربران شامل آدرس IP آنها، نام کاربری و آدرس رایانامهها بود.
بااینحال، کاربران باید به خاطر داشته باشند که نفوذ بر سامانه عامل اوبونتو اثر نداشته است، یا به دلیل آسیبپذیری یا ضعف در سامانه عامل نبوده است.
Betanews که اولین بار اخبار را گزارش کرد اظهار داشته است که در عوض، این نفوذ فقط بر تالارهای گفتگوی برخط اوبونتو که افراد از آن برای بحث در مورد سامانه عامل استفاده میکنند اثر داشته است.
جین سیلبر، مأمور اجرایی ارشد Canonical در یک مطلب ارسالشده در وبگاه نوشت: «یک تخلف امنیت در وبگاه تالارهای گفتگوی اوبونتو رخداده است. ما امنیت اطلاعات و محرمانگی کاربر را بسیار جدی قلمداد میکنیم؛ مجموعهای دقیق از اقدامات امنیتی را دنبال میکنیم و این اتفاق یک بررسی کامل را الزامی کرده است. اقدامات اصلاحی اتخاذ گردید و کل خدمات تالارهای گفتگو اصلاح شد. برای شفافیت ما ترجیح میدهیم جزئیات تخلف مذکور و اقدامات در پیشگرفته شده را به اشتراک بگذاریم. برای این تخلف عذرخواهی میکنیم و پیگیر مشکلات هستیم.»
پس از بررسی دقیق واقعه، شرکت متوجه شد که یک آسیبپذیری مشخص تزریق SQL را در افزونه Forumrunner متعلق به تالارهای گفتگویی که اطلاعات کاربران را افشا کردهاند وصله نکرده است.
این وضعیت واقعاً وحشتناک است. این امر مجدداً اثبات میکند که ضعیفترین عنصرها در امنیت هنوز انسانها هستند.
حمله SQLi (تزریق SQL) حملهای است که برای تزریق فرمانهای SQL مخرب (بار دادههای مخرب) از طریق ورود اطلاعات از سرویسگیرنده به برنامه کاربردی بهمنظور نفوذ در پایگاه داده و دسترسی به اطلاعات شخصی کاربران استفاده میشود.
آسیبپذیری مذکور یکی از قدیمیترین، اما قدرتمندترین و خطرناکترین اشکالاتی است که میتواند بر هر وبگاه یا برنامه کاربردی وب که از پایگاه داده مبتنی بر SQL استفاده میکند اثر بگذارد.
به گفته سیبلر، مهاجمان به موارد زیر دسترسی پیدا میکنند:
مهاجمان میتوانند SQL قالببندی شده را به پایگاه داده Forums در کارگزارهای پایگاه داده Forums تزریق کنند که دسترسی به خواندن مطالب از هر جدولی را برای آنها امکانپذیر میکند.
مهاجمان سپس از دسترسی سطح بالا برای بارگذاری بخشهای از جدول کاربر حاوی نام کاربری، آدرس رایانامه و آدرس IP متعلق به ۲ میلیون کاربر استفاده میکنند.
ازآنجاییکه کلمههای عبور ذخیرهشده در این جدول رشتههای تصادفی بودند (که عبارتاند از Hashed و Salted) و تالارهای گفتگوی اوبونتو برای ورود به ورود یکپارچه اوبونتو متکی هستند، شرکت اظهار کرد که هیچ کلمه عبور فعالی در دسترس مهاجمان قرار نگرفته است.
گرچه Canonical خیلی سریع واکنش نشان داد و از آن زمان به بعد اشکال را وصله کرد، هنوز این مسئله ناامیدکننده است که اشتباه احمقانه شرکت در عدم نصب یک وصله برای یک اشکال شناختهشده موجب افشای اطلاعات شخصی کاربران آن شد.
25 سال قبل در چنین روزهایی Linus Benedict Torvalds تلاش برای طراحی سیستم عامل متن باز لینوکس را آغاز کرد. این سیستم عامل امروزه مبنایی برای طراحی دهها سیستم عامل متن باز شده است.