سرقت اطلاعات 45 میلیون کاربر

به گزارش واحد هک و نفوذ سایبربان؛ روزی دیگر و گزارشی دیگر از میلیون‌ها اعتبار کاربرانی که مورد رخنه واقع‌شده‌اند. این بار گویا قربانی شرکتی است به نام VerticalScope که شرکتی کانادایی بوده و تعداد بسیار زیادی از وب‌گاه‌ها و بازارها را راه‌اندازی می‌کند؛ ازجمله آن‌ها می‌توان وب‌گاه‌هایی که در مورد فناوری و ورزش هستند را نام برد مانند Motorcycle.com،autoguide.com،techsupportforum.com. 

طبق گزارش Leaked source، پایگاه داده‌ای  VerticalScope، فوریه امسال مورد رخنه واقع شد و باعث شد که اطلاعات ۴۵ میلیون کاربر در ۱۰۰ وب‌گاه در معرض خطر قرار گیرد. این اطلاعات حاوی آدرس‌های رایانامه‌ها، نام‌های کاربری، آدرس‌های IP و کلمات عبور می‌باشند که طبق گفته‌ی Leaked Source بسیاری از کلمات عبور با الگوریتم MD5 استخراج‌شده‌اند که اکنون در ابعاد گسترده‌تر ناکافی و نامناسب به نظر می‌رسد. تنها تعداد انگشت‌شماری از رمزنگاری‌ها به‌سختی رمزگشایی می‌شوند.

Leakedsource افزود: «با توجه به ابعاد گسترده این رخنه، احتمال این هست که VerticalScope همه اطلاعاتش را روی کارگزارهای به‌هم‌پیوسته و حتی روی کارگزارهای مشابه ذخیره کرده باشد چراکه هیچ راه دیگری برای توضیح چنین سرقت اطلاعاتی عظیمی وجود ندارد».

ZDNet گزارش داد که بسیاری از این وب‌گاه‌های آلوده از برنامه‌ی تجاری vBulletin استفاده می‌کنند که در سال ۲۰۰۷ تولیدشده و حاوی آسیب‌پذیری‌های شناخته‌شده‌ای است که به‌آسانی می‌توان از آن‌ها سوءاستفاده کرد. شرکت VerticalScope در رایانامه‌ای که به ZDNet فرستاد گفت که در حال بررسی این گزارش است، اما به‌طور مستقیم نمی‌گوید که رخنه‌ای اتفاق افتاده‌ است. جری اوربان معاون این شرکت گفت: «ما از خطای احتمالی آگاه هستیم و تیم امنیتی بین‌المللی ما در حال بررسی این موضوع است و به‌زودی اطلاعاتی به دست آورده و به سازمان‌های قانونی ذی‌ربط اطلاع خواهیم داد». وی افزود که این شرکت در حال بررسی روش‌های امنیتی است.

فرشاد قاضی، مدیر تولید جهانی امنیت HPE امنیت اطلاعات، گفت که روش‌های امنیتی پایه به شرکت‌ها کمک می‌کند که از اطلاعات مشتریانشان محافظت کنند. فرشاد قاضی گفت: «رمزنگاری انتها به انتها، نوعی فناوری امنیتی داده محور کلیدی است که از اطلاعات در حالت استراحت، هنگام استفاده و در حال انتقال محافظت می‌کند؛ بنابراین خطر هرگونه بهره‌برداری واضح از اطلاعات را کاهش داده و این اطمینان را می‌‌دهد که اگر مهاجمان به سامانه نفوذ کردند چیزی دستگیرشان نخواهد شد. رمزنگاری داده محور با توانایی تبدیل اطلاعات به سرقت رفته یا مفقودشده به اطلاعات بلااستفاده، فناوری کارآمدی است که این اطمینان را می‌دهد که اطلاعات در امنیت کامل هستند».

وی افزود: «همان‌طور که این جمله نشان می‌دهد، نیازی اساسی به محافظت از اطلاعات شخصی مانند نام، آدرس کامل، شماره تلفن و آدرس رایانامه احساس می‌شود به‌طوری‌که مجرمان نتوانند از این اطلاعات برای باز کردن حساب‌های جعلی استفاده کنند یا اینکه آن‌ها را برای حملات فیشینگ در ابعاد بزرگ‌تر بفروشند، یا حتی بتوانند اطلاعات شناسایی افراد را به سرقت ببرند».