چگونه هکرها به حساب‌های متعدد فیس‌بوک نفوذ می‌کنند؟

آیا تا به حال این سوال را از خود پرسیده‌اید که حساب‌های کاربری متعلق به فیس‌بوک چگونه هک می‌شوند؟ این کار به شیوه‌های مختلفی انجام می‌شود، اما به تازگی یک کارشناس دنیای امنیت راهکار ساده‌ای را به خدمت گرفته و با استفاده از آن موفق به هک کردن چند حساب کاربری فیس‌بوک شده است. حساب‌های کاربری در شبکه‌های اجتماعی به ویژه فیس بوک همواره در معرض خطر قرار دارند. مهم نیست شما تا چه اندازه از گذرواژه‌های قدرتمند استفاده می‌کنید یا تنظیمات امنیتی را با بالاترین درجه حفاظتی مورد استفاده قرار می‌دهد. خطر همواره در یک قدمی شما قرار دارد.

بر همین اساس، یک کارشناس امنیتی به نام گورکیرات سینگ موفق به شناسایی یک آسیب‌پذیری در مکانیزم تنظیم مجدد گذرواژه‌ها شده است. این آسیب‌پذیری به هکرها اجازه می‌دهد به حساب کاربری افراد دست پیدا کرده، پیام‌ها و جزییات مربوط به حساب آن‌ها را بررسی کرده و هرگونه فعالیتی که از سوی مالک حساب انجام می‌شود را مشاهده کنند. در حالی که فرضیه به کار گرفته شده در این حمله کاملا ساده است، اما در مقابل اجرای آن کار بس دشواری به شمار می‌رود. گورگیرات در این ارتباط گفته است: «ایراد بزرگ در مکانیزمی قرار دارد که از سوی فیس‌بوک طراحی شده و به کاربران اجازه می‌دهد، گذرواژه خود را ریست کنند.» فیس‌بوک از الگوریتمی استفاده می‌کند که یک کد عبور شش رقمی ایجاد می‌کند. این الگوریتم قادر است ١٠ به توان ۶ ترکیب که معادل یک میلیون ترکیب مختلف است را تولید کند. اما این کدها تا زمانی که مورد استفاده قرار نگیرند، بدون تغییر باقی خواهند ماند. البته به شرطی که درخواست دریافت کد برای نشانی mbasic.faceboook.com ارسال شده باشد. گورکیرات در این ارتباط گفته است: «اگر فرض کنیم یک میلیون نفر کاربر این شبکه در یک بازه زمانی کوتاه درخواست گذرواژه جدیدی را ارسال کنند و هیچ‌ کدام از این افراد در این مدت گذرواژه خود را تغییر ندهد، آن‌گاه نفر بعدی (یک میلیون + یک) که درخواست ریست گذرواژه خود را ارائه کند از کد رمزی استفاده خواهد کرد که یکی از این یک میلیون کاربر آن کد را در اختیار داشته است.»

 

نفوذ به حساب‌های کاربری متعدد امکان پذیر است؟

گورکیرات مکانیزم خود را این‌گونه توصیف کرده است: «از آنجایی که شناسه‌های کاربری (ID) فیس‌بوک به‌طور کلی ١۵ رقمی هستند و به طور معمول در قالب www.facebook.com/[ID] و همراه با یک شماره شناسایی معتبر در بخش [ID] مورد استفاده قرار می‌گیرند، در ابتدا شناسه‌های معتبر فیس‌بوک را با ارسال محاوره‌هایی به Graph API فیس‌بوک که با ١٠٠,٠٠٠,٠٠٠,٠٠٠,٠٠٠ شروع می‌شوند، جمع‌آوری کردم و در ادامه موفق شدم شناسه‌های معتبر را به دست آورم.» زمانی که او این شناسه‌ها را وارد می‌کرد، مشاهده کرد که آدرس‌های اینترنتی به‌طور خودکار تغییر مسیر پیدا می‌کنند. به‌طوری که این شناسه‌های فیس‌بوک به نام کاربری اعضاء این شبکه تغییر وضعیت پیدا می‌کنند.  با این راهکار او موفق شد، فهرستی مشتمل بر ٢ میلیون حساب کاربری فیس‌بوک را به دست آورد. او در نمونه مفهومی خود یک کد شش رقمی را به صورت تصادفی انتخاب کرد و در ادامه فرآیند ریست کردن گذرواژه را بر مبنای یک اسکرپیت جستجوی فراگیر به مرحله اجرا در آورد. این اسکرپیت تمامی دو میلیون حساب کاربری ایندکس شده توسط گیرکیرات را جستجو می‌کرد و در ادامه تطابقی میان گذرواژه و نام کاربری به دست می‌آورد. به این شکل او قادر بود هرگونه حساب کاربری را به صورت تصادفی پیدا کرده و کنترل کاملی روی آن داشته باشد.

گورکیرات در ارتباط با این آسیب‌پذیری گفته است: «اولین بار این آسیب‌پذیری را در تاریخ ٣ می ٢٠١۶ به فیس‌بوک اطلاع دادم، اما آن‌ها بر این باور بودند که امکان تحقق حمله‌ای در این مقیاس وجود ندارد. کاملا مشخص بود که آن‌ها به یک نمونه مفهومی در این زمینه نیاز دارند. در نتیجه من یک ماه از وقت خود را صرف کردم تا زیرساختی را در ارتباط با دو میلیون حساب کاربری فیس‌بوک آماده کنم. بعد از آن یک‌بار دیگر درباره این آسیب‌پذیری به آن‌ها گزارش دادم و آن‌ها وجود این آسیب‌پذیری را تایید کردند.» فیس‌بوک ضمن آن‌که وصله‌ای را برای این آسیب‌پذیری ارائه کرده، یک لایه امنیتی مضاعف را هم تدارک دیده است که قادر است از حساب‌های کاربری در برابر این چنین حملاتی محافظت به عمل آورد. فعال کردن تایید ورود به حساب کاربری، فعال‌سازی هشدار ورود و استفاده از مدیریت گذرواژه از جمله این راهکارهای دفاعی به شمار می‌رود.







4
لطفا نظر خود را با ما در میان بگذارید

avatar
جدیدترین قدیمی ترین بیشترین لایک
محمد حسین
مهمان

ولی من چیزی نفهمیدم

Amin
مهمان
Amin

دوست من تو بخش url آیدی های اتفاقی میزد فیسبوک تبدیلش میکرد به نام کاربری صاحب آیدی بعد ارسال کد های فیسبوک ۱۰ به توان ۶ هستش یعنی یه میلیون اگه در یه میلیون با هم درخواست ریست پسورد بدن و استفاده نکنن اون عدد باقی میمونه و نفر یک میلیون و یکم یه عدد تکراری دریافت میکنه. این آقا ۲ میلیون یوزر نیم از طریق وارد کردن آیدی بدست آورده و با نرم افزار کد های ۶ رقمی رو اتفاقی تست کرده اونقد که یوزر نیم و کد مطابقت داشتن و وارد حساب کاربری شخص شده. همین!

Amin
مهمان
Amin

با عرض سلام
مرسی از زحماتتون این آموزشا ایده خوبی برا تحقیق میدن 🙂

محمد حسین
مهمان

خوبه ….