به گزارش کارگروه بینالملل سایبربان؛ از زمانی که محقق پشت این هک، یک تبعه سوئیسی که با اسم مایا آرسون کرایمیو (maia arson crimew) کار میکند، پستی در وبلاگ خود منتشر کرده و توضیح داده است که این اطلاعات در یک سرور ناامن در کنار سایر دادههای حساس از کامیوت ایر، یک شرکت هواپیمایی منطقهای تحت نظر یونایتد ایرلاینز، افشا شده است، زنگ خطری نیز به صدا در آمده است.
روز شنبه، نماینده دن بیشاپ، خشم خود را از این وضعیت ابراز کرده است.
او میگوید:
کل لیست پروازممنوع ایالاتمتحده - با بیش از 1.5 میلیون ورودی - توسط یک هکر سوئیسی در یک سرور ناامن پیدا شده است. علاوه بر این واقعیت که این فهرست یک کابوس آزادی مدنی است، چگونه این اطلاعات بهراحتی قابل دسترس بوده است؟ ما برای یافتن پاسخ قدم در پیش خواهیم گذاشت.
به گفته کرایمیو، این لیست در سرور جنکینز در معرض دید قرار گرفته است؛ سروری که شرکتها از آن برای ساخت و آزمایش نرمافزار استفاده میکنند. این سرور با استفاده از ابزار تحقیق شودن (Shodan) پیدا شده است.
کرایمیو در مصاحبهای با خبرگزاری ریکورد در سیگنال میگوید:
با توجه به دسترسی به خدمات خطوط هوایی تولیدی و آنچه میتوانم حدس بزنم با رابطهای برنامهنویسی کاربردی (API ها) که اعتبارنامه آنها را داشتم، امکانپذیر بود، تصور میکنم لغو یا به تأخیر انداختن پروازها یا حتی ویرایش اعضای خدمه امکانپذیر بوده و میشد که خدمه پرواز را تغییر داد. مفاهیم اینچنینی احتمالاً نیازی به توضیح ندارد؛ اما من تقریباً به تمام زیرساختهای آنها بهنوعی دسترسی داشتم.
این یافتهها که برای اولین بار توسط دیلی دات (The Daily Dot) منتشر میشود، خشم عدهای را برانگیخت، هم از این ایده که نسخهای از فهرست اکنون عمومی است و هم پیامدهای حقوق بشری آن تا مدت طولانی ادامه داشته باشد.
این فهرست که توسط کرایمیو در اختیار ریکورد قرار گرفته است، حاوی بیش از 1.5 میلیون نام و نام خانوادگی و همچنین تاریخ تولد است.
کرایمیو میگوید که آنها فکر نمیکنند این فهرست باید عمومی شود، اما احساس میکنند که برای محققان مهم است که وسعت تأثیر آن را بررسی و ارزیابی کنند تا متوجه شوند که تا چه حد همهچیز کاملاً بیمعنی است.
یونایتد ایرلاینز از اظهارنظر در مورد هک خودداری کرده و ریکورد را به صحبت با سخنگوی کامیوت ایر دعوت میکند که او نیز تأیید میکند که یک محقق به آنها از پیکربندی اشتباه سرور توسعه اطلاع داده است.
این شرکت هواپیمایی میگوید که محقق میتواند به فایلهایی دسترسی پیدا کند که نسخهای «منسوخ» از فهرست پروازممنوع فدرال را شامل میشود.
سخنگوی کامیوت ایر میگوید:
علاوه بر این، از طریق اطلاعات یافت شده در سرور، محقق دسترسی به یک پایگاه داده حاوی اطلاعات قابلشناسایی شخصی کارکنان کامیوت ایر را کشف خواهد کرد. بر اساس تحقیقات اولیه ما، هیچ اطلاعات مشتری در معرض دید قرار نگرفته است.
کامیوت ایر بلافاصله سرور آسیبدیده را آفلاین کرده و تحقیقاتی را برای تعیین میزان دسترسی به دادهها آغاز کرده است. این شرکت میگوید که قرار گرفتن خود در معرض خطر را به آژانس امنیت سایبری و امنیت زیرساخت گزارش کرده است.
هنگامیکه برای اظهارنظر با آژانس امنیت سایبری و امنیت زیرساخت (CISA) تماس گرفته شد، تمام پاسخها را به اداره امنیت حملونقل ارجاع داد.
سخنگوی این آژانس نیز به ریکورد میگوید:
اداره امنیت حملونقل (TSA) از یک حادثه بالقوه امنیت سایبری آگاه است و ما در هماهنگی با شرکای فدرال خود در حال تحقیق هستیم.
این شکست تنها چند هفته پسازآن رخ میدهد که هزاران پرواز به دلیل یک مشکل فنی در سیستم اطلاعیه سازمان هوانوردی فدرال (NOTAM) به تعویق افتاد یا لغو شد.
این وضعیت کنگره را بر آن داشت تا خواستار بررسی آسیبپذیریهای بالقوه امنیت سایبری پیش روی سیستمهای هوانوردی ایالاتمتحده شود؛ صنعتی که کاخ سفید به دنبال آن است تا ضمن انجام اقدامات لازم، برای محافظت بهتر از آن در برابر حملات سایبری تلاش کند.
چندین کارشناس امنیت سایبری میگویند که آنچه کرایمیو کشف کرده است متأسفانه در بین سازمانها از مراقبتهای بهداشتی گرفته تا شرکتها و حتی مشاغل آموزش مجریان عروسی رایج است. کسبوکارها معمولاً این نوع اطلاعات را در سرورهای ناامن میگذارند؛ سرورهایی که به هرکسی اجازه میدهد در صورت یافتن اطلاعات، به آنها دسترسی پیدا کند.
سامی میگس، دانشمند اصلی در گروه یکپارچگی نرمافزار سینوپسیس، میگوید که سرورهای عمومی ناامن، نان مهاجمان و کابوس یک سازمان هستند.
میگس در ادامه میافزاید:
این بهویژه زمانی صادق خواهد بود که سرور بهاندازه کافی ناامن باشد تا در موتورهای جستجوی دستگاه متصل مانند شودان و زوم آی (ZoomEye) ظاهر شود.
بسیاری از سازمانها از فضای ذخیرهسازی ابری استفاده میکنند بدون اینکه واقعاً بدانند قفلکردن درب ورودی و ایمن نگهداشتن دادههایمان به چه معناست. اگر فضای ذخیرهسازی ابری بهقدری اشتباه پیکربندیشده باشد که معادل باز گذاشتن درب ورودی قلمداد شود، برای دریافت دادهها نیاز به مهارت هکری بسیار ناچیزی نیاز خواهد بود یا اصلاً بدون هک، دسترسی به دادهها فراهم خواهد شد.
اندرو هی، مدیر ارشد اجرایی در شرکت مشاوره لارس (LARES)، توضیح میدهد که سازمانها باید بهطور صریح دسترسی به این نوع باکت ها را به دلیل اطلاعات حساسی که اغلب در داخل آنها نگهداری میشوند، پیکربندی کنند. منظور از باکت، واحدی از داده است که میتواند از ذخیرهسازی ثانویه در یک عملیات واحد منتقل شود.
او خاطرنشان میکند که ارائهدهندگان فضای ابری اکنون کار بهتری برای محافظت از باکت های ذخیرهسازی تازه ایجادشده و محدود کردن دسترسی عمومی انجام میدهند، بهطوریکه مدیران اکنون مجبورند برای اجازه دسترسی از مسیر خود خارج شوند.
اما او در ادامه میافزود که کامیوت ایر نباید از دادههای واقعی در یک سیستم توسعه استفاده میکرده است.
هی میگوید:
بااینحال، گاهی اوقات، سازمانها امنیت را فدای مصلحت و آزمایش با دادههای مستقیم مشتری میکنند. ایجاد مجموعه دادههای ناشناس زمان میبرد و استدلال رایج این است که دادههای واقعی را بهدقت منعکس نمیکند.
جان بامبنک از نتنریچ (Netenrich) میگوید که آزمایش سیستمها با دادههای واقعی، امری معمول است زیرا ایجاد دادههای آزمایشی معتبر و در مقیاس مشابه، اغلب موضوعی پیچیده است. شما میخواهید آزمایشهایتان تا حد امکان دنیای واقعی را نشان دهد، بنابراین این موضوع یک وسوسه بسیار طبیعی است.
اریک کرون از نو بی فور (KnowBe4) نیز میگوید که این موضوع بسیار فراتر از صنعت هوانوردی است.
او در تجربه خود شاهد بوده است که این اتفاق نهتنها در مورد سازمانهای اولیه بلکه در مورد پیمانکاران و شرکا نیز رخ خواهد داد.
ابزارهایی مانند شودان نیز اسکن دائمی اینترنت را برای سرورهای در معرض خطر بسیار آسانتر کرده است. کرون در ادامه میافزاید که پایگاههای دادهای وجود دارند که توسط سازمانهایی که آنها را ایجاد کردهاند یا از آنها استفاده میکنند فراموش شدهاند. البته این بدان معنا نیست که در نمونههای مقدماتی میتوانند امنیت را سادهتر نگاه کنند، فقط به یک فایروال با پیکربندی نادرست نیاز است تا ترافیک وارد شود، اما هنگام ذخیره دادهها در فضای ابری، سازمانها باید بسیار کوشا باشند.
