حمله بارگیری اعتبارنامه چیست و چطور باید با آن مقابله کرد؟

حمله بارگیری اعتبارنامه چیست و چطور باید با آن مقابله کرد؟
تاریخ انتشار : ۲۲ ارديبهشت ۱۴۰۲

به حملاتی که در آن مهاجمان از نام کاربری و گذرواژه‌های سرقت شده از یک نقض داده، برای دسترسی به حساب‌های کاربری در سازمان دیگر استفاده می‌کنند، حملات پرکردن اعتبارنامه گفته می‌شود.

«پایگاه رسانه‌ای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزه‌های مختلف فناوری اقدام می‌کند. انتشار مطالب به معنای تایید محتوای آن نیست».

به گزارش گرداب، در دسامبر ۲۰۲۲، پی‌پال با نقض اطلاعات مواجه نشد، اما حساب‌های حدود ۳۵۰۰۰ مشتری آن در دسترس یک شخص غیرمجاز به مدت سه روز قرار گرفت. چرا این حادثه به عنوان نقض داده‌های پی‌پال شناخته نمی‌شود؟

حقیقتاً توضیح دادن آن کمی سخت است، اما این دسترسی به حساب‌ها در نتیجه به خطر افتادن سیستم‌های امنیتی پی‌پال رخ نداده است. در عوض، یک حادثه بارگیری اعتبارنامه (Credential Stuffing) در سطح گسترده رخ داد که یک مهاجم شخص ثالث توانست با استفاده از نام کاربری و رمز عبور صحیح مشتریان واقعی، به حساب‌های آن‌ها دسترسی پیدا کند؛ بنابراین باید گفت این حادثه، نقض ۳۴۹۴۲ حساب شخصی پی‌پال بوده و نه نقض سیستم خود پی‌پال. همین امر موجب شد که مردم نسبت به این نوع حملات آگاهی پیدا کنند و نحوه صحیح محافظت از اطلاعات خود را یاد بگیرند.

چه اتفاقی برای مشتریان پی‌پال افتاد؟

پی‌پال در ۲۰ دسامبر ۲۰۲۲ تأیید کرد که یک حمله بارگیری اعتبارنامه (Credential Stuffing) بین ششم و هشتم دسامبر، زمانی که دسترسی افراد غیرمجاز ممنوع شد، رخ داده است. این اطلاعات بر اساس اخطاریه امنیتی‌ای است که در ژانویه ۲۰۲۳ به صاحبان حساب‌های مورد نظر ارسال شده است.
پی‌پال نوشت که هیچ تراکنش غیرمجازی انجام نشده و از اطلاعات شخصی سوءاستفاده نگردیده است. مهم‌تر از همه این که مهاجمان نتوانستند از سیستم‌های پی‌پال اطلاعات ورود (لاگین) را به دست آورند. این نشان می‌دهد که حمله سطحی و به راحتی قابل پیشگیری بوده است.

بارگیری اعتبارنامه (Credential Stuffing) چگونه عمل می‌کند؟

این نوع حمله سایبری، تلاش برای دسترسی به چندین حساب مهم با استفاده از اطلاعات ورود به سیستم یک سرویس دیگر است؛ یک سرویسی که قبلاً مورد حمله و نفوذ قرار گرفته، اطلاعات موجود در آن به سرقت رفته و در سرور‌های مهاجمان توزیع شده است. این فرآیند غالباً خودکار و با وارد کردن اطلاعات یکی پس از دیگری انجام می‌شود. بعضی از این حملات مبتنی بر ربات بسیار پیچیده هستند و از IP چرخشی و تلاش‌های هم‌زمان برای ورود به سیستم و دور زدن موانع حفاظتی مسدودکننده استفاده می‌کنند. این نوع حملات را می‌توان به عنوان یک نوع حمله بروت فورس، ولی با شدتی بیشتر دید، چون در حملات بروت فورس هیچ اطلاعات اعتباری شناخته شده‌ای در دسترس نیستند و از نام‌های تصادفی و رمز عبور‌های متدوال استفاده می‌شود. در حالی که در حملات بارگیری اعتبارنامه (Credential Stuffing)، اطلاعات واقعی و صحیح در دسترس هستند. تفاوت اساسی، حداقل از دیدگاه مشتری، این است که حملات بارگیری اعتبارنامه (Credential Stuffing) بسیار موفق‌تر از حملات بروت فورس عمل می‌کنند.

نحوه پیشگیری از وقوع حملات بارگیری اعتبارنامه (Credential Stuffing)

انتظار می‌رود که یک کاربر معمولی از مدیریت‌کننده رمز عبور استفاده کند و از یک نوع اطلاعات ورودی برای چندین سیستم و حساب‌های مختلف استفاده نکند. اما معمولاً این چنین نیست. یک شخص که از مدیریت‌کننده رمز عبور استفاده می‌کنند شاید ۳۰۰ رمز عبور تصادفی و منحصر به فرد در آن ذخیره داشته باشد. هیچ کس نمی‌تواند این تعداد رمز عبور را به خاطر بسپارد حتی اگر یک نفر الگویی هوشمندانه برای ساخت رمز عبور داشته باشد.

هر نوع تکرار و استفاده مجدد از رمز عبور مانند استفاده از نام سرویس در رشته رمز عبور، اشتباه است. افرادی که از مدیریت‌کننده‌های رمز عبور استفاده می‌کنند کافیست که فقط رمز عبور اصلی مدیریت‌کننده را به خاطر بسپارند. آن هم در واقع رمز عبور نیست، بلکه یک عبارت عبور طولانی است و افراد فقط با به خاطر سپردن دو کلمه اول می‌توانند به راحتی کل آن را به خاطر بیاورند.

افرادی که سن و سالی از آن‌ها گذشته است و می‌ترسند عبارت عبور را فراموش کنند می‌توانند از یک کیت اضطراری حاوی عبارت عبور که هیچ کس به راحتی نمی‌تواند به آن دسترسی پیدا کند استفاده کنند. نوشتن آن‌ها در جایی به صورت مکتوب آنقدر‌ها هم که تصور می‌کنید یک اقدام امنیتی ضعیف نیست، چون احتمال این که کسی وارد خانه شما شود و آن را پیدا کند بعید است. در حالی که این احتمال برای حساب‌هایی که از اطلاعات ورود مشترک استفاده می‌کنند بالاست. متأسفانه این دقیقاً همان کاری است که بسیاری از مردم انجام می‌دهند و به همین دلیل است که حملات بارگیری اعتبارنامه (Credential Stuffing) محبوب هستند و نرخ موفقیت بالایی دارند.

ساده‌ترین راه پیشگیری از آن، استفاده از مدیریت‌کننده رمز عبور است. انجام این کار می‌تواند سطح امنیت شما را ارتقا دهد، چون می‌توانید نام‌های کاربری تصادفی و منحصر به فردی برای حساب‌هایی داشته باشید که اصرار به ثبت آدرس ایمیل شما را ندارند. اگر حسابی درخواست ثبت آدرس ایمیل را داشت می‌توانید یک حساب جیمیل منحصر به فرد ایجاد کنید. کاربران آیفون می‌توانند از ویژگی Hide My Email استفاده کنند، چون ایمیل‌های تصادفی و منحصر به فرد برای ورود به سیستم ایجاد می‌کند که به ایمیل واقعی شما هدایت می‌شوند.

آیا پی‌پال واقعاً مقصر بوده است؟

اگرچه از نظر فنی این حادثه یک نقض داده نبوده، اما یک نقض امنیتی بوده است، چون امکان دسترسی به تعداد زیادی از حساب‌ها فراهم شده است. پی‌پال باید تدابیری برای مقابله با چنین حمله‌ها قبل از این که موفقیت‌آمیز شوند در نظر بگیرد. با این که تاکنون پی‌پال جزئیات زیادی در رابطه با زمان و اقدامات فنی به کار گرفته شده ارائه نداده است، اما باید گفت که از لحاظ امنیتی از آن چه دیگران انتظار داشته‌اند در سطحی پایین‌تر قرار دارد.
یکی از راه‌های خیلی ساده برای جلوگیری از موفقیت‌آمیز بودن حملات بارگیری اعتبارنامه (Credential Stuffing)، استفاده از احراز هویت چند عاملی (MFA) است. جالب اینجاست که پی‌پال این ویژگی را دارد، اما این بسته به مشتری است که آن را فعال کند. سؤال مهمی که باید پرسیده شود این است که چرا امکان مسدودسازی و متوقف کردن چنین حمله‌ای در مقیاس بزرگ که در صورت موفقیت‌آمیز بودن نفوذ به ۳۵ هزار حساب، تعداد بسیاری زیادی از حساب‌های دیگر می‌توانستند به خطر بیفتند، از همان ابتدا وجود نداشت؟ این که حمله تا سه روز ادامه داشته است نشان می‌دهد که باید بررسی و بازرسی‌هایی دقیق در اقدامات مربوط به شناسایی و واکنش مناسب به حوادث صورت بگیرد.


منبع:
این مقاله به قلم دیوی ویندر (Davey Winder) در وب‌سایت www.itpro.com منتشر شده است.