Telegram Sapp Instagram Aparat tvhoshdar

مدیر کافه بازار: نگرانی‌ درباره نشت اطلاعات وجود ندارد!!

مدیر کافه بازار: نگرانی‌ درباره نشت اطلاعات وجود ندارد!!
تاريخ:چهاردهم ارديبهشت 1398 ساعت 15:47   |   کد : 30232
مدیر محصول کافه بازار با تشریح جزییات آسیب پذیری امنیتی اخیر و اقدامات فنی مقابله با آن، اطمینان داد که این موضوع پایان یافته و نگرانی دیگری در این باره وجود ندارد.
به گزارش ایران هشدار، تایید خبر دسترسی غیرمجاز به سورس‌کد یکی از زیرسیستم‌های وب‌سایت کافه‌بازار درست چندروز پس از نفوذ به بخشی از اطلاعات تاکسی اینترنتی تپ‌سی، بازتاب گسترده‌ای داشت. اپلیکیشن بازار آمار بیش از ۴۰میلیون نصب را دارد.
 
علی وحدانی، مدیر‌محصول کافه‌بازار، نشت اطلاعات از این سایت را رد کرد و اظهار داشت: در اطلاعیه رسمی به صراحت نوشتیم که بخش‌هایی از سورس‌کد، دست یک‌سری افراد افتاده و این را تأیید کرده‌ایم؛ اما افرادی بودند که ادعا می‌کردند نفوذ کرده و به اطلاعات کاربران دسترسی یافته‌اند. برای بررسی این ادعا مسیری که از طریق آن توانسته‌بودند به سورس‌کد دسترسی پیدا کنند یافتیم و بستیم؛ سپس بررسی کردیم که آیا از این طریق توانسته‌اند نفوذ دیگری انجام دهند یا خیر که درنتیجه بررسی مطمئن شدیم تمام ادعاهای دیگر کاملاً غلط است و آنها اگر یک رکورد دیتا داشتند تاکنون منتشر کرده‌بودند و مطمئن شدیم که دیتایی نداشته‌اند.
 
وی توضیح داد:‌ تمام ردپاهای آنها را جست‌وجو کردیم و مشخص شد آنچه به‌دست آورده‌اند دیتای کاربران نبوده؛ بلکه از روی وب‌سرور توانسته بودند یک آسیب‌پذیری بیابند و سورس‌کد را دانلود کنند. آنها وارد سرور نشدند که بتوانند به دیتایی دسترسی داشته‌باشند. از این‌رو در بیانیه به‌صراحت اعلام کرده‌ایم که توانسته‌اند به سورس‌کدی دسترسی پیدا کنند، اما هیچ دسترسی دیگری نداشتند و همه راه‌ها را بسته‌ و چک کرده‌ایم که مطمئن شویم هیچ دیتایی نشت نکرده‌است.
 
مدیر محصول کافه‌بازار ادامه داد: نفوذگران توانستند به سورس‌کد وب‌سایت دسترسی داشته‌باشند و به سورس‌کد اپلیکیشن و سرورها دسترسی نداشته‌اند؛ تنها یک عدد از سرور‌های غیراصلی وب سایت مورد دسترسی قرار گرفته که سورس کد وب سایت را نگه می‌دارد و حتی نتوانستند سورس کد سیستم‌های اصلی را بدزدند. بخش زیادی از سرورهای ما در حال سرویس‌دهی به ۴۰ میلیون کاربر کافه بازار هستند که به آنها دسترسی نیافته‌اند.
 
وی ادامه داد: این سورس‌کد چیزی نیست غیر از سایت کافه‌بازار که با وارد کردن آدرس سایت یک‌سری اپلیکیشن نمایش داده‌می‌شود. تمام آنچه که به‌عنوان مصداق نفوذ گذاشته شده‌بود کد و تنظیمات این سایت بود و هیچ‌چیز دیگری نبود که دیتای کاربر یا دیتای اپلیکیشن باشد. با دنبال کردن ردپای جایی که توانسته سورس‌کد را از آنجا بگیرد، لاگ تمام فایل‌هایی که موفق‌شده بود، دانلود کند را از سرور نگاه کردیم و اکنون دقیقاً می‌دانیم که چه چیزی به دست آورده و چه چیزی به‌دست نیاورده‌است؛ دیتایی که به‌دست آورده را تحلیل و تمام ادعاهای مطرح شده در توئیت‌ها و مطالب کانال‌ها را مانیتور کرده‌ایم و با قطعیت می‌گوییم که صحت نداشته‌اند. برای مثال یکی ادعا کرده‌بود که دیتابیس از کافه بازار دارد و نمونه ارائه کرده‌بود که فایل ارائه‌شده خنده‌‌دار بود؛ همان سورس‌کدها را داخل یک فایل ریخته‌بود و گفته بود دیتابیس است. اصلاً چنین چیزی نبوده و هیچ دیتایی ندارند که بخواهند منتشر کنند که اگر یک رکورد داشتند منتشر می‌کردند.
 
وحدانی گفت: اگرچه تمام تلاش‌مان را می‌کنیم، اما می‌دانیم مسیرهایی ممکن است باز باشد؛ تمام شرکت‌ها برای شناسایی باگ و راه نفوذ مشوق می‌گذارند و هکرهایی در این شغل وجود دارند که باگ‌ها را به آنها گزارش می‌کنند؛ ما نیز این کار را کرده‌ایم و به هکری که ادعا کرده‌بود اعلام کردیم که جایزه گزارش باگ داریم؛ گزارش کن و جایزه بگیر. اولین‌باری که خبر منتشر شد در اطلاعیه اول به این موضوع اشاره کردیم که اگر آنها تاکنون نمی‌دانستند که چنین امکانی داریم مطلع شوند؛ اما مسئله آنها تنها ضربه‌‌زدن بود. اگر قصد گزارش و جایزه گرفتن داشتند موافق بودیم.
 
مدیر محصول کافه‌بازار اضافه کرد:‌ فارغ از مسئولیتم در کافه‌بازار حتی از شرکت‌های بزرگ در اندازه جهانی نیز انتظار نفوذ و حتی نشت اطلاعات می‌رود. در این زمینه نه فقط از استاندارد جهانی خیلی دور نیستیم بلکه شرایط خوبی در ایران داریم. در ایران اطلاعات ۲۰ میلیون مشترک یکی از اپراتورهای تلفن همراه نشت کرد؛ چه اتفاقی افتاد؟! درنتیجه اصلا خود را با شرایط داخل مقایسه نمی‌کنیم اما در استاندارد جهانی نیز اتفاق اخیر یک حمله در حد نفوذ به سورس‌کد یکی از زیرسیستم‌ها بود که با سورس کد استخراجی نمی‌توانستند کاری کنند.
 
وی تاکید کرد: جزییات فنی آسیب‌پذیری را در بلاگ فنی توضیح می‌دهیم و تلاش می‌کنیم در اختیار سایر شرکت‌ها بگذاریم تا تجربه ما به اشتراک گذاشته‌شود.
 
وحدانی در ادامه گفت: تنها نگرانی از خروج این سورس‌کد که می‌توانست وجود داشته‌باشد و روی آن تمرکز کردیم این احتمال بود که آنها از طریق این سورس‌کد بتوانند دیتایی پیدا کنند و سپس از طریق آن بتوانند به سرورهای دیگر حمله کنند تا دیتای کاربران را بدزدند که در همان زمان دو کار را برای مقابله انجام دادیم؛ نخست اینکه تمام مسیرهای احتمالی نفوذ را بررسی کردیم و ردپاهایی را گشتیم که حدس زدیم شاید با این دیتا، دیتایی دیگری را به‌دست آورند؛ دوم اینکه تمام کلیدها و پسوردهای لازم و تنظیمات را از ابتدا انجام دادیم انگار که این تنظیمات لو رفته تا مطمئن شویم خطر امنیتی جدیدی ما را تهدید نمی‌کند. بنابراین تنها کارکرد این سورس‌کد این احتمال بود که از این دیتا قصد حمله دیگری را داشته که جلوی آن را گرفته‌ایم.
 
وحدانی درباره بیانیه‌هایی که ان شرکت منتشر کرد، گفت: در بیانیه اول هنوز با قطعیت نمی‌دانستیم که چه اتفاقی افتاده است؛ فقط اعلام کردیم که متوجه موضوع هستیم و موضوع در حال بررسی است و در آخر بیانیه اعلام کرده بودیم که اگر کسی دیتایی دارد و به دنبال جایزه است پول را پرداخت می‌کنیم و آسیب‌پذیری را اعلام کند؛ البته کار به اینجا نکشید و مشاور امنیتی گرفتیم و همکاران امنیتی مجموعه تحلیل کردند و متوجه شدیم. وقتی شخصی عکس از سورس‌کد می‌گذارد حتی ممکن است این عکس از صفحه برنامه‌نویسی در حال انجام گرفته‌باشد. در بیانیه اول مسائل از صفر (بهترین حالت) تا ۱۰۰ (بدترین حالت) پیش رویمان بود؛ از اینکه فقط یک عکس است یا اینکه همه چیز لو رفته‌است؛ در نهایت تصور می‌کنم روال معقولی را طی کرده‌ایم.
 
مدیر محصول کافه‌بازار درباره چارچوب و الزامات ملاحظات امنیتی در کسب‌وکارهای اینترنتی  گفت: شرکت خصوصی به‌دلیل ذات تجارت و درآمد به هر آنچه که به کسب‌وکار لطمه وارد کند حساس‌ است، حتی حسا‌س‌تر از بخشی غیر خصوصی که ملاحظات امنیتی‌ بیشتری را پشت سر گذاشته‌اند. همچنان که در چند روز گذشته درنتیجه نفوذ به سایتی دولتی حداقل تا ۲۴ ساعت پس از انتشار خبر اطلاعات همه کاربران قابل دسترس بود. شرکت‌های کوچک‌تر اطلاعات کمتری دارند و به همین میزان درصد ریسک در آنها در مقایسه با شرکت‌‌هایی با چند میلیون کاربر کمتر است؛ مرکز ماهر (در زیرمجموعه وزارت ارتباطات و فناوری اطلاعات) در برخی موضوعات مانند اپلیکیشن‌ها دستورالعمل‌های ابلاغ کرده که عمل کرده‌ایم، اما در حالت کلی اگر دستورالعمل یا گواهی امنیتی برای این موضوع وجود دارد بحث حقوقی است و اطلاع ندارم.
 
وحدانی در این مورد که آیا در این رخداد به کمک مرکز ماهر نیاز پیدا کردند یا خیر، گفت:‌ در این مورد و در موقع بحران نیاز به کمک نبود، اما در حال مذاکراتی هستیم که بتوانیم از مشاوران امنیتی آنها کمک بگیریم. البته در حال حاضر با برخی مراکز امنیتی زیرمجموعه ماهر ازجمله مرکز آپا شریف همکاری داریم و با مرکز آپای امیرکبیر نیز به‌زودی همکاری خواهیم داشت.
 
پایگاه خبری امنیت فناوری اطلاعات

Share

آدرس ايميل شما:  
آدرس ايميل دريافت کنندگان  
 


 

دسترسی ها
  info@iranhoshdar.ir

   کلیه حقوق این سایت متعلق به وبسایت iranhoshdar.ir می باشد و استفاده از مطالب آن با ذکر منبع بلامانع است.