بیا یه داستان عجیب و غریب برات تعریف کنم که چطور یه پسورد خیلی ساده، باعث شد اطلاعات میلیونها نفر که واسه کار توی مکدونالدز اقدام کرده بودن، بریزه روی دایره! موضوع مربوط به یه شرکت به اسم Paradox.ai میشه که یه سری چتبات هوشمند برای استخدام شرکتهای بزرگ (مثلاً همون AI Hiring Bot که خودش میتونه با متقاضیها گپ بزنه و استخدامشون کنه) میسازه.
ماجرا از اونجایی شروع میشه که دو تا محقق امنیت سایبری به اسمهای Ian Carroll و Sam Curry تو سایت McHire.com (همون جایی که مکدونالدز باهاش آدم استخدام میکنه) تونستن راحت با پسورد “123456” وارد حساب کاربری مکدونالدز توی پلتفرم Paradox بشن! (خودت قضاوت کن، ۱۲۳۴۵۶؟!)
وقتی رفتن توی سیستم، فهمیدن هزاران هزار اطلاعات کاربری مردم – مثل اسم، ایمیل و شماره تلفن – اونجا ذخیره شده و حسابی بیدفاعه. طی تحقیقات نشون داد که حدود ۶۴ میلیون رکورد اونجا ولو بوده! البته هیچ اطلاعات خیلی حساسی مثل شماره تأمین اجتماعی (Social Security Number – مثل کد ملی خودمون) لو نرفته، ولی خب همینم خیلیه.
Paradox.ai اومد یه پست وبلاگی داد و گفت: «آقا این یه مشکل تکموردی بوده و هیچ دیتای دیگهای لو نرفته، اون اکانت هم در اصل از ۲۰۱۹ وارد نشده بوده و باید تعطیلش میکردیم. فقط محققها تونستن ۵ تا چت حاوی اطلاعات محدود رو ببینن و بس. هیچ چیزی آنلاین منتشر نشده.»
اما وقتی بیشتر کنکاش میکنی داستان جذابتر میشه! چون چند وقت قبلش هم اطلاعات لاگین (یعنی همون یوزرنیم و پسورد) یکی از مدیرای ویتنامی Paradox.ai به خاطر آلوده شدن سیستمش به بدافزار Nexus Stealer لو رفت. Nexus Stealer نوعی بدافزار سرقتکننده است که میاد پسوردها و حتی کوکیهای احراز هویت (Cookies – اطلاعاتی که مرورگر ذخیره میکنه تا کاربر هر دفعه لاگین نکنه) رو از سیستم قربانی میقاپه و بعضی وقتها باعث میشه حتی بدون وارد کردن پسورد دوباره، هکرها وارد حسابها بشن.
متأسفانه اون مدیر ویتنامی Paradox مثل اینکه زیاد حوصله پسوردسازی نداشته و برا چندتا از حسابهای مهم مشتریهای بزرگ Paradox (مثلاً Aramark و Lockheed Martin و Lowes و Pepsi) یه پسورد خیلی ساده عددی با ۷ رقم تکراری رو گذاشته بوده و فقط تهش عددشو کمی عوض میکرده! اگه نمیدونی، پسوردهای ۷ رقمی صرفاً عددی واقعاً تو یه ثانیه میتونن هک بشن! چون الگوریتمهای پسورد شکستن جدید مثل Brute-force (یعنی تست کردن همه حالتهای ممکن) فوراً اونو پیدا میکنن. طبق یه راهنمای خیلی معروف از یه شرکت به اسم Hive Systems، پسورد عددی ۷ رقمی واقعاً درجا توسط نرمافزارها شکسته میشه، مخصوصاً اگه ترکیب حروف و علائم نداره.
در ادامه تحقیقات لو رفت که حتی چند تا از پسوردهای افشا شده مربوط به سرویس SSO (Single Sign-On – یعنی لاگین کردن با یه حساب به همه جا دسترسی پیدا کردن) و پلتفرم Okta شرکت پارادوکس بوده. حتی کوکی (اطلاعات ورود) اون اکانت طوری بوده که تا دسامبر ۲۰۲۵ اعتبار داشته! این یعنی اگه کسی اونو میقاپیده، مدتها میتونسته بدون پسورد وارد همه جا بشه. تازه اطلاعات حساب Atlassian هم لو رفته بوده (Atlassian یه سرویس مدیریت پروژه و کد نویسی برای شرکتهاست).
خلاصه، کل کیسه پسوردهای این آدم چون قبلاً محتویات password manager ـش رو از یه کامپیوتر دیگه منتقل کرده بوده، روی سیستم شخصیش ریخته بوده. Paradox.ai البته گفت که از ۲۰۲۰ به بعد برای همه همکارهاش ورود چندمرحلهای (Multi-factor authentication – یعنی مثلاً علاوه بر پسورد باید یه کد هم بزنی تا وارد شی) و استانداردهای سختگیرانه گذاشته. اما همونطور که گفتم، باز هم اطلاعات مربوط به همون مدیر ویتنامی تو سیستمها پیدا شده!
یه نکته جالب دیگه اینه که علت آلوده شدن سیستم هایتون چی بوده؟ بررسیها نشون میده این کارمندها شدیداً اهل دانلود فیلم و سریال کرکی بودن! (Pirated movies – نسخه غیرقانونی فیلم که توش به بهانه نیاز به کدک تصویری، بدافزار هم قایم میکنن). بساط دانلود و نصب این فایلها عاقبت باعث شد بدافزار راحت پسوردها رو جمع کنه و حتی راه دور کنترل سیستم رو به هکرها بده! تو بعضی سایتها حتی دسترسی به سیستم آلوده برای فروش گذاشته شده بوده! عجیبتر اینکه حتی یک نفر دیگه از کارمندای ویتنامی Paradox سال ۲۰۲۴ با همین آفت، دیتای GitHub ـش (سایت محبوب برنامهنویسها) رو هم از دست داد.
جالبه بدونی این شرکت یه زمانی تو ۲۰۱۹ گفته بود موفق شده گواهی امنیتی ISO 27001 و SOC 2 Type II رو (اینا استانداردهای بینالمللی امنیت هستن و نشون میدن شرکتها یه سری چک امنیتی حسابی رو پاس کردن) بگیره. ولی الان معلوم شد اون اکانت قدیمی با پسورد آبکی اصلاً در تستهای امنیتی سالانه دیده نشده بوده! وقتی خبرنگارا میپرسن چطور با این همه باگ دیگه اون سرتیفیکیت امنیتی رو گرفتی، پارادوکس جواب داده: اون زمان پیمانکارها رو مثل کارمندای داخلی جدی کنترل نمیکردیم، الان اوضاع خیلی بهتر شده و چندبار سیاستها رو عوض کردیم.
خلاصهاش اینکه حتی شرکتهای بزرگ فناوری با ادعای امنیت بالا هم ممکنه با سادهترین چیزها (مثل یه پسورد خیلی ضعیف) کل سیستمشون زیر سوال بره! این داستان بهوضوح بهمون نشون میده که استفاده از مدیر پسورد، پسورد قوی (ترجیحاً ترکیبی از حروف، اعداد و علائم طولانی) و رعایت قواعد امنیتی چهقدر مهمه، چون یه اشتباه خیلی کوچیک گاهی میتونه میلیونها نفر رو گرفتار کنه!
منبع: +
