حتماً تاکنون با وبسایتهایی روبرو شدهاید که برای استفاده از خدمات یا امتیازات آن سایت یا حداقل گذاشتن نظر و شرکت در گفتگوهای فنی یا عمومی میبایست در آن عضویت داشته باشید یا با مشخصات سرویس جیمیل، فیسبوک و ... وارد وبسایت شوید (نظیر وبسایت اشتراک گذاری فایل 4shared.com). با خواندن این مطلب متوجه میشوید که چگونه این موارد میتواند منجر به هک شدن اکانت شما شود. یک محقق امنیتی، نقصی مهم در فیسبوک یافته است که به هکرها اجازه میدهد براحتی با استفاده از این ابزار ورود به وبسایتها، حساب کاربری فیسبوک کاربران را هک نمایند.
این آسیب پذیری اگرچه این اجازه را به هکرها نمیدهد تا مستقیماً به کلمه عبور فیسبوک کاربران دسترسی داشته باشند، ولی هکرها میتوانند به اکانت یا حساب کاربری فیسبوک شما از طریق سیستم ورود وبسایتهایی نظیر bit.ly، Mashable، Vimeo، About.me، Stumbleupon، Angel.co، و شاید وبسایتهایی دیگر دسترسی پیدا کنند.
حدوداً یکسال پیش، یک محقق امنیتی از شرکت بررسی آسیب پذیری Sakurity، این شبکه اجتماعی بزرگ یعنی فیسبوک را از وجود این باگ امنیتی مطلع ساخت اما فیسبوک این گزارش را نادیده گرفت چراکه اصلاح این مورد ممکن بود سازگاری فیسبوک با تعداد قابل توجهی وبسایت را تحت تأثیر قرار دهد.
این باگ امنیتی از عدم وجود سیستم محافظت در مقابل درخواست یا دسترسی جعلی درون سایتی یا Cross-Site Request Forgery (CSRF) در سه فرآیند زیر سوءاستفاده مینماید:
- Login یا ورود به فیسبوک
- Logout یا خروج از فیسبوک
- ارتباط از طریق سایتهای دیگر
دو مورد اول به گفته Homakov «از سوی فیسبوک قابل اصلاح میباشد» ولی هنوز اقدامی در این خصوص صورت نگرفته است. اما مورد سوم میبایست از طریق وبسایتهایی که قابلیت ورود با حساب کاربری فیسبوک (Login with Facebook) را در اختیار کاربران خود قرار میدهند مورد بررسی و اصلاح قرار گیرد.
Reconnect، ابزاری برای هک فیسبوک!
این محقق که فیسبوک را به دلیل عدم اصلاح این آسیب پذیری مورد سرزنش قرار داده بود، اخیراً ابزاری را برای عموم منتشر نمود که RECONNECT نام دارد و که با استفاده از این باگ امنیتی به هکرها اجازه ایجاد URL یا آدرسهایی را میدهد که میتوان از آنها بمنظور دسترسی و تحت کنترل داشتن حسابهای فیسبوکی که از طریق Login with Facebook وارد وبسایتهای دیگر شده اند.
Homakov همچنین در توئیتر خود با گذاشتن پیغامی هکرها و مجرمین امنیتی را ترغیب به سودجویی از طریق این ابزار آماده نمود. وی در وبلاگ خود نیز راهنمای کامل استفاده از این ابزار را برای هکرها منتشر نموده و در انتهای آموزش نوشته «اکنون حساب کاربری فیسبوک روی سیستم ما به حساب کاربری هک شده تغییر می یابد و میتوانیم بصورت مستقیم اقدام به تغییر ایمیل کاربری و کلمه عبور، خواندن پیغامهای خصوصی و هر اقدام دیگری روی آن حساب کاربری نماید»
چه باید کرد؟!
براحتی میتوان تصور نمود که با این ابزار ساده و آماده یا در کل آسیب پذیری مربوطه در فیسبوک چطور اطلاعات کاربری و همچنین اطلاعات شخصی هر کاربری میتواند در دسترس دیگران بویژه افراد سودجو قرار گیرد. تنها کافی است در ذهن خود شمار وبسایتهایی که با آیکون معروف فیسبوک یعنی همان f آبی رنگ از شما دعوت به ورود به آن سایت مینمایند را مرور نمایید تا ببینید چه تعداد کاربر ممکن است در دام افراد سودجو بیافتند.
لذا، برای جلوگیری از اینکه حساب کاربری فیسبوک شما نیز قربانی این آسیب پذیری نشود، روی هیچ آدرس مشکوکی که ممکن است از راههای مختلفی نظیر پیغامرسانها، ایمیلها، یا حسابهای کاربری شبکههای اجتماعی برای شما ارسال گردد، کلیک ننموده و همیشه تمامی جوانب احتیاط را در محیطهای آنلاین رعایت نمایید.
کسپرسکی آنلاین، نماینده توزیع و فروش آنلاین محصولات کسپرسکی* در خاورمیانه، از تمامی کاربران این شبکه اجتماعی و در کل کاربران شبکه جهانی اینترنت دعوت مینماید مطلب آموزشی زیر را نیز بمنظور رعایت جوانب احتیاط مطالعه نمایند:
هفت ترفند برای افزایش امنیت اینترنت!
منبع: کسپرسکی آنلاین
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.