به گزارش کارگروه امنیت سایبربان به لطف چند ویژگی که به خوبی به آن توجه نشده بود، مجرمان سایبری میتوانند بدون اینکه رمز عبور را بدانند، به حسابهای آنلاین در برخی از بزرگترین پلتفرمها نفوذ کنند. به گفته محققانی که این موضوع را بررسی میکنند، تنها چیزی که هکرها لازم دارند، آدرس ایمیل قربانی است.
چند روش برای انجام موفقیت آمیز این نوع هک وجود دارد، اما به زبان ساده باید گفت که اگر مهاجم آدرس ایمیل قربانی را بداند و بداند که حساب کاربری برای آن در یک سرویس ثبت نشده است، میتواند آن را ایجاد کند.
البته برای سرویسهایی که نیاز به تأیید کاربر از طریق ایمیل دارند، یک مشکل وجود دارد که برای هکرها دور زدن آن خیلی سخت نیست. مهاجمان میتوانند یک حساب کاربری با آدرس ایمیل دیگری ایجاد کنند و سپس بعداً به آدرس قربانی تغییر مکان دهند.
برخی از پلتفرمها امکان ادغام حسابها را فراهم میکنند. اگر سرویس ببیند که قربانی میخواهد یک حساب کاربری را با ایمیلی که قبلاً ثبت شده است ثبت کند، ممکن است یک ویژگی ورود به سیستم را ارائه دهد، بدون اینکه هرگز از قربانی رمز عبور بخواهد.
همچنین مهاجم میتواند یک اسکریپت خودکار ایجاد کند تا نشست را تا زمانی که لازم است فعال نگه دارد.
محققان هشدار میدهند که احتمالاً سایتهای زیادی دارای این حفره هستند و باید این حفرهها را برطرف کنند. در نهایت به کاربران توصیه میشود کلیدهای امنیتی و سایر اشکال احراز هویت چند مرحلهای را هرجا ممکن است، تنظیم کنند.
