انتشار شده در تاریخ 1395/02/19 - 17:18

افشاء اطلاعات میلیون‌ها گواهی‎نامه با PwnedList

به گزارش واحد امنیت سایبربان؛ این سرویس اطلاعات مربوط به گواهی‎نامه‎های حساب کاربری افراد را جمع‌آوری می‎کند.

شرکت PwnedList در سال ۲۰۱۱ باهدف این‎که به کاربران اجازه دهد تا بدانند که آیا حساب‌های آن‎ها در معرض خطر قرار دارد یا خیر، راه‌اندازی شد. در سال ۲۰۱۳ شرکت InfoArmor خدمات PwnedList را خریداری کرد و چند ماه بعدازآن استفاده کرد تا یک‌راه حل جدید «بررسی امنیتی شرکت‌ها» را ارائه کند که به سازمان‌ها درصورتی‌که یکی از فروشندگان ثالث آن‎ها دارای یک نقص امنیتی باشد، هشدار دهد.

باب هاجز (Bob Hodges) یک محقق امنیتی که تلاش می‎کرد تا دامنه‌های.edu‌ و.com را به‌حساب کاربری PwnedList اضافه کند، پس از ورود به فهرست پیگیری‌های سرویس PwnedList، متوجه شد که یک نقص خطرناک به او اجازه می‌دهد تا بر هر دامنه‌ای نظارت کند.

کاربران درصورتی‌که بخواهند دامنه و یا نشانی رایانامه خود را به‌حساب کاربری PwnedList خود اضافه کنند باید یک‌روند تأییدیه‌ را در فرایند ثبت‌نام در فهرست پیگیری‌ها طی کنند. بااین‌حال، یک آسیب‌پذیری دست‌کاری در پارامترها به هاجز اجازه داد تا هر نام دامنه‌ای را که می‌خواهد به این فهرست اضافه کند.

مشکل اینجاست که در فرایند دومرحله‌ای اضافه کردن یک عنصر جدید به این فهرست، مرحله دوم، اطلاعات مرحله اول را در نظر نمی‌گیرد و به مهاجمان اجازه می‌دهد تا با دست‌کاری درخواست‌ها، هر نوع اطلاعات دلخواهی را که لازم دارند اضافه کنند.

هاجز به وبلاگ نویس امنیتی برایان کربس (Brian Krebs) اطلاع داد و او نیز این مشکل را با اضافه کردن دامنه Apple.com به این فهرست آزمایش کرد. در کمتر از ۱۲ ساعت، کربس یک گزارش قابل بارگیری دریافت کرد که شامل ۱۰۰ هزار نام کاربری و گذرواژه بود که به حساب‌های apple.com مرتبط بودند.

یک مهاجم با داشتن یک حساب کاربری فعال PwnedList می‌تواند از این آسیب‌پذیری استفاده کرده و دامنه هرکدام از شرکت‌های بزرگ نظیر gmail.com را اضافه کند و بتواند فهرستی از همه‌ی حساب‌های در معرض خطر Gmail.com را به دست آورد. به گفته وب‌گاه PwnedList این سرویس شامل ۸۵۶ میلیون گواهی‎نامه کاربری که ۱۰۱ هزار مورد آن دارای نشت اطلاعاتی هستند، است.

کربس هنگامی‌که آزمایش خود را انجام داد، با شرکت InfoArmor در ارتباط بوده است. این شرکت ابتدا در مورد یافته‌های هاجز تردید کرد، اما به‌محض اینکه این مشکل تأیید شد، وب‌گاه PwnedList از حالت برخط خارج شد و این آسیب‎پذیری وصله شد.

شرکت InfoArmor به Security Week گفته است: «در ارتباط با ابزار گواهی‎نامه‎های PwnedList داده‌های در معرض خطر، شامل هیچ نوع اطلاعات شخصی و حساسی نبودند. وب‌گاه PwnedList یک وب‌گاه قدیمی است که در سال ۲۰۱۳ خریداری‌شده است. از سال گذشته خدمات رایگان نظارت بر مشتریان برنامه‌ریزی‌شده بود که در ۱۵ ماه می سال ۲۰۱۶ برچیده شد. داده‌هایی که درخطر قرارگرفته بودند اکنون نیز در همان وضعیت قرار دارند؛ اما هیچ‌گونه داده‌های شخصی و حساس در آن‌ها ثبت‌نشده است».

این شرکت در اظهاری‌های اعلام کرد: «شرکت InfoArmor برای مشترکین شخصی PwnedList ارزش قائل است و به آن‌ها فرصتی را ارائه می‌کند تا ارتباط خود را با این شرکت با ثبت‌نام در محصول نظارت جامع هویتی PrivacyArmor ادامه دهند».