امنیت

فناوری اطلاعات

September 26, 2016
16:24 دوشنبه، 5ام مهرماه 1395
کد خبر: 80110

سوالات بدون پاسخ پیرامون هک شدن یاهو و فاش شدن اطلاعات 500 میلیون کاربر

یاهو رسما اعلام کرد که در سال ۲۰۱۴ قربانی هک گسترده‌ای شده است.اما حدودا بعد از ۲ سال و پس از فروش این اطلاعات در بازار سیاه رسما به این حمله اعتراف کرده است.
 
اطلاعاتی از جمله نام‌ها،آدرس ایمیل،شماره تلفن و سوالات امنیتی از شبکه شرکت یاهو در سال ۲۰۱۴ دزدیده شده است. رمز عبور‌ها هم البته به صورت مخدوش شده دزدیده شده که باعث می‌شود هکرها نتوانند بلافاصله از آن‌ها استفاده کنند. همچنین شرکت یاهو بر این باور است که اطلاعات مالی دست نخورده باقی مانده است.
 
این کمپانی، هک را در بیانیه‌ای در پنج‌شنبه شب تایید کرد. اما این بیانیه‌ و اطلاعیه‌ای که در جمعه صبح به مشتریان ارسال شد، سوالات زیادی را ایجاد کردند.
 
سوالات عمده
مهم‌ترین سوالات درباره این است که چرا این اطلاع‌رسانی اینقدر دیر انجام شده است. چون زمان هک مربوط به ۲ سال پیش بوده و این اطلاعات حدود ۲ ماه پیش در دارک وب (Dark Web) توسط کاربری به نام  Peace of Mind  فروخته شد، کاربری که پیش از این اطلاعاتی از سایت‌های مای‌اسپیس‌ (MySpace) و لینکدین (LinkedIn) به فروش گذاشته بود. جرمایاه گراسمن مدیر بخش استراتژی امنیت شرکت سنتینل‌وان (SentinelOne) می‌گوید: «ما در حالی‌که می‌دانیم این اطلاعات در سال ۲۰۱۴ دزدیده شده، اما نمی‌دانیم که یاهو چه زمانی از این هک آگاه شده است. این بخش مهمی از داستان است.»
 
گراسمن که تا سال ۲۰۱۱ مسئول بخش امنیت دپارتمان مهندسی یاهو بوده، می‌گوید این ادعای یاهو که هکر‌ها از پشتیبان دولتی برخوردار بوده‌اند نیازمند تحقیق بیشتری است. او در ادامه گفته است: «هکرهای دولتی هیچوقت چنین اطلاعاتی را در بازار سیاه به فروش نمی‌رسانند. کاری که هکر یاهو انجام داده است. این هک به احتمال قریب به یقین فقط با انگیزه‌های مالی انجام شده است، پس احتمال این‌که او از پشتیبانی دولتی برخوردار بوده بسیار کم است. اگر هم چنین باشد پس باید داستان درباره ۲ نفوذ جداگانه توسط ۲ تیم مختلف باشد.»
 
کریس هادسن مدیر بخش اطلاعات امنیت اروپا،آفریقا و خاورمیانه‌ی شرکت امنیتی زسکالر با این گفته‌ها موافق است و در پی آن بیان کرده: «بدون هیچگونه اطلاع‌رسانی درباره نحوه این هک،ادعای یاهو مبنی بر دولتی بودن هکر‌ها اصلا قابل اثبات نیست. این ادعای یاهو به نظر بیشتر برای منحرف کردن افکار عمومی به نظر می‌رسد و با توجه به عدم اطلاع رسانی دقیق نمی‌توان به طور قطع نظر داد.»
 
در ضمن معلوم نیست تا چه حد رمز‌های عبور از هک نجات یافته‌اند. اما یاهو اذعان کرده رمز‌ها به صورت مخدوش شده به دست هکر‌ها رسیده است.
 
این کمپانی تاکید کرده است که قسمت اعظمی از رمز‌های عبور توسط الگوریتمی به نام بی‌کریپت (bcrypt) مخدوش شده است. این روش باعث می‌شود حتی رمز‌های یکسان به صورت مخلوطی از کاراکتر‌ها در دیتابیس ذخیره شوند. این گونه بسیاری از افراد هم که رمز‌های بسیار آسانی انتخاب کرده‌اند از هک آسیب‌پذیر نخواهند بود. اما معلوم نیست آن درصد اندک که شامل این رمز‌نگاری نبوده‌اند چه تضمینی خواهند داشت.
 
این حمله باعث شده درباره مفید بودن به دست آوردن رمز توسط سوال‌های امنیتی زیر سوال برود، وقتی که به راحتی با چند سوال ساده درباره نام مادر یا شهر تولد هکر می‌تواند رمز قربانی را به دست گیرد. یاهو تمام این سوال‌ها را رمز‌نگاری نکرده، پس تعدادی از این سوالات به راحتی در دسترس هکر‌ها قرار گرفته است.
 
سرنوشت ادغام با ورایزون
یک سوال دیگر که بعد از این هک بی‌جواب مانده است: تکلیف ادغام چندین میلیارد‌دلاری یاهو با ورایزون (Verizon) چه خواهد شد؟ کوین کانینگهام، موسس و رییس شرکت سیل‌پوینت (SailPoint) در این باره می‌گوید: «به احتمال زیاد ورایزون با توجه به این قضیه قیمت گذاری کرده است. ادغام شرکت‌ها با روندی بسیار طولانی و دقیق صورت می‌گیرد. شرکت‌ها معمولا با تحقیقی مفصل به چنین پیشنهاداتی دست می‌زنند. ورایزون با توجه به تعداد زیاد کاربران یاهو ریسک چنین ادغامی را از قبل خبر داشته است. این سوال که آیا این خبر بر قیمت‌گذاری تاثیر می‌گذارد یا نه بستگی به بررسی دقیق در زمینه کنترل امنیت یاهو دارد. این هک نه تنها باید نگرانی در زمینه امنیت شبکه را بالا ببرد بلکه دولت را هم باید نگران کند. چون دیده‌ایم در موارد هک‌هایی همچون لینکدین (LinkedIn)، دراپ‌باکس (DropBox) و بسیاری از موارد دیگر با استفاده از این اطلاعات، اعتبار شهروندان زیادی زیر سوال می‌رود.»
 
توصیه برای کاربران
اما برای کاربران این سوالات اصلا اهمیتی ندارد. تنها توصیه‌ای که در این موقعیت می‌توان به کاربران یاهو کرد این است: پسورد حساب کاربری یاهو و سوالات امنیتی خود را هرچه زودتر تغییر دهند، همچنین پسورد‌ جاهای دیگری که این اطلاعات را در آن استفاده کرده‌اند. در نهایت آن‌ها باید از این پسورد‌ها در هیچ حساب کاربری دیگری استفاده نکنند.
 
چون یاهو یک سرویس ایمیل بزرگ محسوب می‌شود یک مشکل دیگر هم وجود دارد.هر حساب کاربری که با ایمیل یاهو باز شده است باید هرچه زودتر رمز آن حساب تغییر یابد.
 
شما درباره این سوالات چه نظری دارید؟
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.