خب بیا یه داستان خفن و خندهدار از پشت پرده امنیت مکدونالد رو برات تعریف کنم. یه محقق حوزه امنیت، که خودش رو “BobDaHacker” معرفی میکنه (آره اسمش خیلی هکریه!)، کل ماجرا رو با یه هدف ساده شروع کرد: میخواست با اپلیکیشن مکدونالد، از اون جایزههای ناگت مجانی بگیره! اما دَر همین کار ساده، به یه سری ایرادات خیلی عمیق و جدی رسید که باورش برای همه سخته.
BobDaHacker موقع استفاده از اپ، متوجه شد اگه URL (آدرس اون بالا تو مرورگر) رو که آخرش نوشته “login” به “register” عوض کنه، میتونه بدون هیچ دردسری واسه خودش اکانت بسازه و به بخشهایی دسترسی پیدا کنه که باید فقط کارمندها و آژانسهای تبلیغاتی مکدونالد در ۱۲۰ کشور جهان داشته باشن! یعنی به چیزی به اسم “Feel-Good Design Hub” دسترسی پیدا کرد که یه جور مرکز منابع برندینگ و تبلیغات مکدونالده.
حالا اینجا یه توضیح کوچیک بدم: URL یعنی همون آدرس سایت که بالا توی مرورگر مینویسیم و با تغییر دادن یه تیکهاش، در واقع مسیر ورود یا ثبتنام رو عوض کرد. جالبه، نه؟ معمولاً نباید سیستم اینقدر راحت گول بخوره!
جالبتر ماجرا اینکه مکدونالد اصلاً راه درستوحسابیای برای گزارش ایرادات امنیتی نداره! قبلاً مثل خیلی از شرکتهای بزرگ، یه فایل “security.txt” داشتن که اطلاعات تماس برای گزارش ضعفهای امنیتی رو توش میذاشتن، ولی بعد چند ماه کلاً ورداشته بودنش. خلاصه BobDaHacker مجبور شد بشینه توی لینکدین (که یه شبکه اجتماعی کاریه!) دنبال کارمندا بگرده و به دفتر مرکزی هزار بار زنگ بزنه تا بالاخره یکی جوابش رو بده. حساب کن چقدر کند و اعصابخوردکن!
با همه این تفاسیر، حتی وقتی مکدونالد سیستم رمز عبورش رو عوض کرد و به مدل ورود با اکانت برد، باز هم یه اشتباه عجیب موند: مثلاً وقتی Bob میخواست اکانت جدید بسازه، سیستم بدون اینکه فکر کنه، پسورد انتخاب شده رو به صورت “متن ساده” با ایمیل براش میفرستاد! متن ساده یا همون plain-text یعنی رمز رو بدون هیچ رمزنگاریای میفرستن که خیلی راحت میشه خوندش — تقریباً همه متخصصای امنیت میگن این کار رو باید دههها پیش ول میکردن! خطر دزدی هویت یا سوءاستفاده از ایمیل و رمز آدمها با این سیستم فوقالعاده زیاده.
حالا این فقط یک مورد هم نبود! ماه قبلش هم لو رفته بود که توی یکی از پلتفرمهاشون اطلاعات حساس با پسورد خوشگل “123456” محافظت میشده، که همه میدونن این یکی برای شوخی هم زیادی آسونه!
این خرابکاریهای ساده باعث میشه آدم به خودش بگه: خب پس این همه دیوار آتشی (firewall)، نرمافزار امنیتی حرفهای و کنترلهای داخلی چی شدن؟ دیوار آتش (یا همون firewall) یعنی یه برنامه یا سیستم که اجازه نمیده هر کسی از بیرون به اطلاعات شرکت دسترسی پیدا کنه.
جرقه اصلی این داستان هم نشون میده اگه یه هکر یا حتی یه کاربر معمولی حوصله کنه، میتونه خیلی راحت به بخشهایی که فکرش رو نمیکنی دسترسی پیدا کنه. این ماجرا فقط واسه فایلهای تبلیغاتی نیست؛ وقتی چنین گافهایی توی سیستم شرکت بزرگی مثل مکدونالد باشه، امنیت اطلاعات کارکنان و مشتریها هم ممکنه به خطر بیافته.
تا جایی که معلومه، مکدونالد بیشتر ایرادهایی که Bob گزارش داده بود رو رفع کرده، ولی هنوز یه مسیر رسمی برای گزارش اینجور باگها یا مشکلات امنیتی محکم و درست راه ننداختن. یعنی اگه یه کسی مثل Bob دفعه بعد چیزی پیدا کنه، باز باید این مسیر پر دردسر رو بره شاید اصلاً منصرف بشه.
جمعبندی ماجرا؟ همونقدر که یه جایزه ساده میتونه هکری رو خوشحال کنه، یه باگ ساده هم میتونه خیلی چیزای مهم رو لو بده! خلاصه اینه که حتی شرکتهای بزرگ و معروف هم ممکنه توی امنیت سوتیهای عجیب بدن و این وسط فقط هوشیاری کاربرا و محققهاست که میتونه به داد همه برسه.
راستی اگه دنبال راههای امنیتی مثلاً VPN (یه سرویس که هویت توی اینترنت رو مخفی میکنه و جلوی دزدی اطلاعات رو میگیره) یا آنتیویروسهای خوب هستی، حتماً یه سر به مقالات جدید بزن؛ چون هکرها منتظر غفلت بعدی شرکتا نمیمونن!
منبع: +
