مدیر محصول کافهبازار با تشریح جزییات آسیبپذیری امنیتی اخیر و اقدامات فنی مقابله با آن، اطمینان داد که این موضوع پایان یافته و نگرانی دیگری در این باره وجود ندارد.
منبع : خبرگزاری فارس
مدیر محصول کافهبازار با تشریح جزییات آسیبپذیری امنیتی اخیر و اقدامات فنی مقابله با آن، اطمینان داد که این موضوع پایان یافته و نگرانی دیگری در این باره وجود ندارد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تایید خبر دسترسی غیرمجاز به سورسکد یکی از زیرسیستمهای وبسایت کافهبازار درست چندروز پس از نفوذ به بخشی از اطلاعات تاکسی اینترنتی تپسی، بازتاب گستردهای داشت. اپلیکیشن بازار آمار بیش از ۴۰میلیون نصب را دارد.
علی وحدانی، مدیرمحصول کافهبازار، نشت اطلاعات از این سایت را رد کرد و اظهار داشت: در اطلاعیه رسمی به صراحت نوشتیم که بخشهایی از سورسکد، دست یکسری افراد افتاده و این را تأیید کردهایم؛ اما افرادی بودند که ادعا میکردند نفوذ کرده و به اطلاعات کاربران دسترسی یافتهاند. برای بررسی این ادعا مسیری که از طریق آن توانستهبودند به سورسکد دسترسی پیدا کنند یافتیم و بستیم؛ سپس بررسی کردیم که آیا از این طریق توانستهاند نفوذ دیگری انجام دهند یا خیر که درنتیجه بررسی مطمئن شدیم تمام ادعاهای دیگر کاملاً غلط است و آنها اگر یک رکورد دیتا داشتند تاکنون منتشر کردهبودند و مطمئن شدیم که دیتایی نداشتهاند.
وی توضیح داد: تمام ردپاهای آنها را جستوجو کردیم و مشخص شد آنچه بهدست آوردهاند دیتای کاربران نبوده؛ بلکه از روی وبسرور توانسته بودند یک آسیبپذیری بیابند و سورسکد را دانلود کنند. آنها وارد سرور نشدند که بتوانند به دیتایی دسترسی داشتهباشند. از اینرو در بیانیه بهصراحت اعلام کردهایم که توانستهاند به سورسکدی دسترسی پیدا کنند، اما هیچ دسترسی دیگری نداشتند و همه راهها را بسته و چک کردهایم که مطمئن شویم هیچ دیتایی نشت نکردهاست.
مدیر محصول کافهبازار ادامه داد: نفوذگران توانستند به سورسکد وبسایت دسترسی داشتهباشند و به سورسکد اپلیکیشن و سرورها دسترسی نداشتهاند؛ تنها یک عدد از سرورهای غیراصلی وب سایت مورد دسترسی قرار گرفته که سورس کد وب سایت را نگه میدارد و حتی نتوانستند سورس کد سیستمهای اصلی را بدزدند. بخش زیادی از سرورهای ما در حال سرویسدهی به ۴۰ میلیون کاربر کافه بازار هستند که به آنها دسترسی نیافتهاند.
وی ادامه داد: این سورسکد چیزی نیست غیر از سایت کافهبازار که با وارد کردن آدرس سایت یکسری اپلیکیشن نمایش دادهمیشود. تمام آنچه که بهعنوان مصداق نفوذ گذاشته شدهبود کد و تنظیمات این سایت بود و هیچچیز دیگری نبود که دیتای کاربر یا دیتای اپلیکیشن باشد. با دنبال کردن ردپای جایی که توانسته سورسکد را از آنجا بگیرد، لاگ تمام فایلهایی که موفقشده بود، دانلود کند را از سرور نگاه کردیم و اکنون دقیقاً میدانیم که چه چیزی به دست آورده و چه چیزی بهدست نیاوردهاست؛ دیتایی که بهدست آورده را تحلیل و تمام ادعاهای مطرح شده در توئیتها و مطالب کانالها را مانیتور کردهایم و با قطعیت میگوییم که صحت نداشتهاند. برای مثال یکی ادعا کردهبود که دیتابیس از کافه بازار دارد و نمونه ارائه کردهبود که فایل ارائهشده خندهدار بود؛ همان سورسکدها را داخل یک فایل ریختهبود و گفته بود دیتابیس است. اصلاً چنین چیزی نبوده و هیچ دیتایی ندارند که بخواهند منتشر کنند که اگر یک رکورد داشتند منتشر میکردند.
وحدانی گفت: اگرچه تمام تلاشمان را میکنیم، اما میدانیم مسیرهایی ممکن است باز باشد؛ تمام شرکتها برای شناسایی باگ و راه نفوذ مشوق میگذارند و هکرهایی در این شغل وجود دارند که باگها را به آنها گزارش میکنند؛ ما نیز این کار را کردهایم و به هکری که ادعا کردهبود اعلام کردیم که جایزه گزارش باگ داریم؛ گزارش کن و جایزه بگیر. اولینباری که خبر منتشر شد در اطلاعیه اول به این موضوع اشاره کردیم که اگر آنها تاکنون نمیدانستند که چنین امکانی داریم مطلع شوند؛ اما مسئله آنها تنها ضربهزدن بود. اگر قصد گزارش و جایزه گرفتن داشتند موافق بودیم.
مدیر محصول کافهبازار اضافه کرد: فارغ از مسئولیتم در کافهبازار حتی از شرکتهای بزرگ در اندازه جهانی نیز انتظار نفوذ و حتی نشت اطلاعات میرود. در این زمینه نه فقط از استاندارد جهانی خیلی دور نیستیم بلکه شرایط خوبی در ایران داریم. در ایران اطلاعات ۲۰ میلیون مشترک یکی از اپراتورهای تلفن همراه نشت کرد؛ چه اتفاقی افتاد؟! درنتیجه اصلا خود را با شرایط داخل مقایسه نمیکنیم اما در استاندارد جهانی نیز اتفاق اخیر یک حمله در حد نفوذ به سورسکد یکی از زیرسیستمها بود که با سورس کد استخراجی نمیتوانستند کاری کنند.
وی تاکید کرد: جزییات فنی آسیبپذیری را در بلاگ فنی توضیح میدهیم و تلاش میکنیم در اختیار سایر شرکتها بگذاریم تا تجربه ما به اشتراک گذاشتهشود.
وحدانی در ادامه گفت: تنها نگرانی از خروج این سورسکد که میتوانست وجود داشتهباشد و روی آن تمرکز کردیم این احتمال بود که آنها از طریق این سورسکد بتوانند دیتایی پیدا کنند و سپس از طریق آن بتوانند به سرورهای دیگر حمله کنند تا دیتای کاربران را بدزدند که در همان زمان دو کار را برای مقابله انجام دادیم؛ نخست اینکه تمام مسیرهای احتمالی نفوذ را بررسی کردیم و ردپاهایی را گشتیم که حدس زدیم شاید با این دیتا، دیتایی دیگری را بهدست آورند؛ دوم اینکه تمام کلیدها و پسوردهای لازم و تنظیمات را از ابتدا انجام دادیم انگار که این تنظیمات لو رفته تا مطمئن شویم خطر امنیتی جدیدی ما را تهدید نمیکند. بنابراین تنها کارکرد این سورسکد این احتمال بود که از این دیتا قصد حمله دیگری را داشته که جلوی آن را گرفتهایم.
وحدانی درباره بیانیههایی که ان شرکت منتشر کرد، گفت: در بیانیه اول هنوز با قطعیت نمیدانستیم که چه اتفاقی افتاده است؛ فقط اعلام کردیم که متوجه موضوع هستیم و موضوع در حال بررسی است و در آخر بیانیه اعلام کرده بودیم که اگر کسی دیتایی دارد و به دنبال جایزه است پول را پرداخت میکنیم و آسیبپذیری را اعلام کند؛ البته کار به اینجا نکشید و مشاور امنیتی گرفتیم و همکاران امنیتی مجموعه تحلیل کردند و متوجه شدیم. وقتی شخصی عکس از سورسکد میگذارد حتی ممکن است این عکس از صفحه برنامهنویسی در حال انجام گرفتهباشد. در بیانیه اول مسائل از صفر (بهترین حالت) تا ۱۰۰ (بدترین حالت) پیش رویمان بود؛ از اینکه فقط یک عکس است یا اینکه همه چیز لو رفتهاست؛ در نهایت تصور میکنم روال معقولی را طی کردهایم.
مدیر محصول کافهبازار درباره چارچوب و الزامات ملاحظات امنیتی در کسبوکارهای اینترنتی گفت: شرکت خصوصی بهدلیل ذات تجارت و درآمد به هر آنچه که به کسبوکار لطمه وارد کند حساس است، حتی حساستر از بخشی غیر خصوصی که ملاحظات امنیتی بیشتری را پشت سر گذاشتهاند. همچنان که در چند روز گذشته درنتیجه نفوذ به سایتی دولتی حداقل تا ۲۴ ساعت پس از انتشار خبر اطلاعات همه کاربران قابل دسترس بود. شرکتهای کوچکتر اطلاعات کمتری دارند و به همین میزان درصد ریسک در آنها در مقایسه با شرکتهایی با چند میلیون کاربر کمتر است؛ مرکز ماهر (در زیرمجموعه وزارت ارتباطات و فناوری اطلاعات) در برخی موضوعات مانند اپلیکیشنها دستورالعملهای ابلاغ کرده که عمل کردهایم، اما در حالت کلی اگر دستورالعمل یا گواهی امنیتی برای این موضوع وجود دارد بحث حقوقی است و اطلاع ندارم.
وحدانی در این مورد که آیا در این رخداد به کمک مرکز ماهر نیاز پیدا کردند یا خیر، گفت: در این مورد و در موقع بحران نیاز به کمک نبود، اما در حال مذاکراتی هستیم که بتوانیم از مشاوران امنیتی آنها کمک بگیریم. البته در حال حاضر با برخی مراکز امنیتی زیرمجموعه ماهر ازجمله مرکز آپا شریف همکاری داریم و با مرکز آپای امیرکبیر نیز بهزودی همکاری خواهیم داشت.