به حملاتی که در آن مهاجمان از نام کاربری و گذرواژههای سرقت شده از یک نقض داده، برای دسترسی به حسابهای کاربری در سازمان دیگر استفاده میکنند، حملات پرکردن اعتبارنامه گفته میشود.
«پایگاه رسانهای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزههای مختلف فناوری اقدام میکند. انتشار مطالب به معنای تایید محتوای آن نیست».
به گزارش گرداب، در دسامبر ۲۰۲۲، پیپال با نقض اطلاعات مواجه نشد، اما حسابهای حدود ۳۵۰۰۰ مشتری آن در دسترس یک شخص غیرمجاز به مدت سه روز قرار گرفت. چرا این حادثه به عنوان نقض دادههای پیپال شناخته نمیشود؟
حقیقتاً توضیح دادن آن کمی سخت است، اما این دسترسی به حسابها در نتیجه به خطر افتادن سیستمهای امنیتی پیپال رخ نداده است. در عوض، یک حادثه بارگیری اعتبارنامه (Credential Stuffing) در سطح گسترده رخ داد که یک مهاجم شخص ثالث توانست با استفاده از نام کاربری و رمز عبور صحیح مشتریان واقعی، به حسابهای آنها دسترسی پیدا کند؛ بنابراین باید گفت این حادثه، نقض ۳۴۹۴۲ حساب شخصی پیپال بوده و نه نقض سیستم خود پیپال. همین امر موجب شد که مردم نسبت به این نوع حملات آگاهی پیدا کنند و نحوه صحیح محافظت از اطلاعات خود را یاد بگیرند.
چه اتفاقی برای مشتریان پیپال افتاد؟
پیپال در ۲۰ دسامبر ۲۰۲۲ تأیید کرد که یک حمله بارگیری اعتبارنامه (Credential Stuffing) بین ششم و هشتم دسامبر، زمانی که دسترسی افراد غیرمجاز ممنوع شد، رخ داده است. این اطلاعات بر اساس اخطاریه امنیتیای است که در ژانویه ۲۰۲۳ به صاحبان حسابهای مورد نظر ارسال شده است.
پیپال نوشت که هیچ تراکنش غیرمجازی انجام نشده و از اطلاعات شخصی سوءاستفاده نگردیده است. مهمتر از همه این که مهاجمان نتوانستند از سیستمهای پیپال اطلاعات ورود (لاگین) را به دست آورند. این نشان میدهد که حمله سطحی و به راحتی قابل پیشگیری بوده است.
بارگیری اعتبارنامه (Credential Stuffing) چگونه عمل میکند؟
این نوع حمله سایبری، تلاش برای دسترسی به چندین حساب مهم با استفاده از اطلاعات ورود به سیستم یک سرویس دیگر است؛ یک سرویسی که قبلاً مورد حمله و نفوذ قرار گرفته، اطلاعات موجود در آن به سرقت رفته و در سرورهای مهاجمان توزیع شده است. این فرآیند غالباً خودکار و با وارد کردن اطلاعات یکی پس از دیگری انجام میشود. بعضی از این حملات مبتنی بر ربات بسیار پیچیده هستند و از IP چرخشی و تلاشهای همزمان برای ورود به سیستم و دور زدن موانع حفاظتی مسدودکننده استفاده میکنند. این نوع حملات را میتوان به عنوان یک نوع حمله بروت فورس، ولی با شدتی بیشتر دید، چون در حملات بروت فورس هیچ اطلاعات اعتباری شناخته شدهای در دسترس نیستند و از نامهای تصادفی و رمز عبورهای متدوال استفاده میشود. در حالی که در حملات بارگیری اعتبارنامه (Credential Stuffing)، اطلاعات واقعی و صحیح در دسترس هستند. تفاوت اساسی، حداقل از دیدگاه مشتری، این است که حملات بارگیری اعتبارنامه (Credential Stuffing) بسیار موفقتر از حملات بروت فورس عمل میکنند.
نحوه پیشگیری از وقوع حملات بارگیری اعتبارنامه (Credential Stuffing)
انتظار میرود که یک کاربر معمولی از مدیریتکننده رمز عبور استفاده کند و از یک نوع اطلاعات ورودی برای چندین سیستم و حسابهای مختلف استفاده نکند. اما معمولاً این چنین نیست. یک شخص که از مدیریتکننده رمز عبور استفاده میکنند شاید ۳۰۰ رمز عبور تصادفی و منحصر به فرد در آن ذخیره داشته باشد. هیچ کس نمیتواند این تعداد رمز عبور را به خاطر بسپارد حتی اگر یک نفر الگویی هوشمندانه برای ساخت رمز عبور داشته باشد.
هر نوع تکرار و استفاده مجدد از رمز عبور مانند استفاده از نام سرویس در رشته رمز عبور، اشتباه است. افرادی که از مدیریتکنندههای رمز عبور استفاده میکنند کافیست که فقط رمز عبور اصلی مدیریتکننده را به خاطر بسپارند. آن هم در واقع رمز عبور نیست، بلکه یک عبارت عبور طولانی است و افراد فقط با به خاطر سپردن دو کلمه اول میتوانند به راحتی کل آن را به خاطر بیاورند.
افرادی که سن و سالی از آنها گذشته است و میترسند عبارت عبور را فراموش کنند میتوانند از یک کیت اضطراری حاوی عبارت عبور که هیچ کس به راحتی نمیتواند به آن دسترسی پیدا کند استفاده کنند. نوشتن آنها در جایی به صورت مکتوب آنقدرها هم که تصور میکنید یک اقدام امنیتی ضعیف نیست، چون احتمال این که کسی وارد خانه شما شود و آن را پیدا کند بعید است. در حالی که این احتمال برای حسابهایی که از اطلاعات ورود مشترک استفاده میکنند بالاست. متأسفانه این دقیقاً همان کاری است که بسیاری از مردم انجام میدهند و به همین دلیل است که حملات بارگیری اعتبارنامه (Credential Stuffing) محبوب هستند و نرخ موفقیت بالایی دارند.
سادهترین راه پیشگیری از آن، استفاده از مدیریتکننده رمز عبور است. انجام این کار میتواند سطح امنیت شما را ارتقا دهد، چون میتوانید نامهای کاربری تصادفی و منحصر به فردی برای حسابهایی داشته باشید که اصرار به ثبت آدرس ایمیل شما را ندارند. اگر حسابی درخواست ثبت آدرس ایمیل را داشت میتوانید یک حساب جیمیل منحصر به فرد ایجاد کنید. کاربران آیفون میتوانند از ویژگی Hide My Email استفاده کنند، چون ایمیلهای تصادفی و منحصر به فرد برای ورود به سیستم ایجاد میکند که به ایمیل واقعی شما هدایت میشوند.
آیا پیپال واقعاً مقصر بوده است؟
اگرچه از نظر فنی این حادثه یک نقض داده نبوده، اما یک نقض امنیتی بوده است، چون امکان دسترسی به تعداد زیادی از حسابها فراهم شده است. پیپال باید تدابیری برای مقابله با چنین حملهها قبل از این که موفقیتآمیز شوند در نظر بگیرد. با این که تاکنون پیپال جزئیات زیادی در رابطه با زمان و اقدامات فنی به کار گرفته شده ارائه نداده است، اما باید گفت که از لحاظ امنیتی از آن چه دیگران انتظار داشتهاند در سطحی پایینتر قرار دارد.
یکی از راههای خیلی ساده برای جلوگیری از موفقیتآمیز بودن حملات بارگیری اعتبارنامه (Credential Stuffing)، استفاده از احراز هویت چند عاملی (MFA) است. جالب اینجاست که پیپال این ویژگی را دارد، اما این بسته به مشتری است که آن را فعال کند. سؤال مهمی که باید پرسیده شود این است که چرا امکان مسدودسازی و متوقف کردن چنین حملهای در مقیاس بزرگ که در صورت موفقیتآمیز بودن نفوذ به ۳۵ هزار حساب، تعداد بسیاری زیادی از حسابهای دیگر میتوانستند به خطر بیفتند، از همان ابتدا وجود نداشت؟ این که حمله تا سه روز ادامه داشته است نشان میدهد که باید بررسی و بازرسیهایی دقیق در اقدامات مربوط به شناسایی و واکنش مناسب به حوادث صورت بگیرد.
منبع:
این مقاله به قلم دیوی ویندر (Davey Winder) در وبسایت www.itpro.com منتشر شده است.