بذار یه داستان جالب برات تعریف کنم که این روزها توی دنیای تکنولوژی سروصدای زیادی کرده. یه سری هکر باهوش از یه ضعف امنیتی عجیب توی پلتفرمی به اسم Zendesk سوءاستفاده کردن و باعث شدن کلی آدم در عرض چند دقیقه هزاران ایمیل عجیب و تهدیدآمیز دریافت کنن!
حالا اگه برات سواله Zendesk چیه؟ این یه سرویس پشتیبانی خودکاره که شرکتها ازش استفاده میکنن تا مشتریها راحتتر بتونن باهاشون تماس بگیرن و مشکلاتشون رو بگن. کلی شرکت معروف مثل CapCom، CompTIA، Discord، GMAC، NordVPN، Washington Post و حتی Tinder هم ازش استفاده میکنن.
ماجرا از اینجا شروع شد که یکی از نویسندههای معروف خبرگزاری KrebsOnSecurity یهو دید inboxش داره با هزاران ایمیل بمبارون میشه. این ایمیلها هم از طرف شرکتهای مختلف بودن و هر کدوم یه پیغام متفاوت داشتن— بعضیاش بهش هشدار میدادن که قراره علیهاش پلیس اقدامی کنه، بعضیا هم فحش و حرفهای توهینآمیز!
جالب اینجاست که این ایمیلها واقعاً از طرف همون شرکتها میومدن، نه از آدرس Zendesk. مثلاً اگه به ایمیل spam جواب میدادی، به ایمیل رسمی مثلاً help@washpost.com (امور پشتیبانی روزنامه واشنگتنپست) ارسال میشد.
اما سؤال اصلی اینه که چطور همچین اتفاقی میافته؟ اکثر اکانتهای Zendesk تنظیم شدن که هر کسی از هر جایی بتونه درخواست پشتیبانی ثبت کنه—بدون هیچ تأیید قبلی (یعنی نیاز به «احراز هویت» ندارن. احراز هویت همون فرایندی هست که مطمئن میشن شما واقعاً همونی هستید که ادعا میکنید). این موضوع باعث شده هکرها بتونن خیلی راحت هر ایمیلی رو خودشون بسازن و باهاش هزاران درخواست اسپم بزنن، بعدش هم چون هر درخواست یه ایمیل خودکار به اون آدرس میفرسته، mailbox قربانی تو یکی دو ساعت غرق ایمیل میشه!
کارولین کاموئنس که مسئول روابط عمومی Zendesk هست گفته: “ما همیشه توصیه میکنیم مشتریها فقط اجازه بدن کاربرای واقعی و تأییدشده ticket درست کنن، اما بعضی شرکتها خودشون ترجیح میدن این امکان رو ناشناس بذارن—شاید به خاطر راحتی مشتریاشون.”
مشکل اینجاست که این حالت ناشناس باعث میشه هکرها بتونن به اسم هر کسی درخواست بدن (و هر ایمیلی رو بذارن) و اگه بخش جواب خودکار روشن باشه، شروع کنن بمبارون کردن inbox آدمای بیگناه!
خود Zendesk ادعا کرده که یه سری محدودیت سرعت (Rate limit) هم گذاشته که کسی نتونه به سرعت تعداد زیادی درخواست بفرسته. ولی خب، ظاهراً این محدودیتها کافی نبودن چون خود نویسندهی خبر گفت تو چند ساعت هزاران ایمیل دریافت کرده!
در جواب اعتراضها، مسئولهای Zendesk گفتن: “میدونیم که سیستم ما علیه شما به صورت پخششده و گسترده استفاده شد. داریم دنبال راهحلهای جدیدتری میگردیم و به همه مشتریان هم گفتیم تنظیمات امنیتیشون رو محکمتر کنن و احراز هویت رو اجباری کنن.”
آخر ماجرا اینکه، اگه شرکتها همون اول یه مرحله تأیید ایمیل بذارن، این مشکل اتفاق نمیفته. ولی چون میخوان کار برای مشتری سادهتر باشه، گاهی این احراز هویت رو خاموش میذارن و دردسر برای همه درست میشه: هکرها از طریق اسپم ایمیل، آبرو و برند شرکت رو هم خدشهدار میکنن و هم باعث اذیت مردم میشن.
خلاصه، اگه شرکت یا استارتاپی داری و داری از Zendesk یا سرویسهای مشابه استفاده میکنی، حتماً احراز هویت رو فعال کن و به توصیههای امنیتی این پلتفرمها گوش بده تا هم برندت سالم بمونه و هم مشتریهات اذیت نشن.
منبع: +
