هکرها نتوانستند وارد سرور شوند/خطری متوجه 40 میلیون کاربر نیست

به گزارش نصر به نقل از فارس، تایید خبر دسترسی غیرمجاز به سورس‌کد یکی از زیرسیستم‌های وب‌سایت کافه بازار درست چند روز پس از نفوذ به بخشی از اطلاعات تاکسی اینترنتی تپ‌سی، بازتاب گسترده‌ای داشت. اپلیکیشن بازار آمار بیش از  40 میلیون نصب را دارد.

اگرچه کافه بازار درباره ابعاد آسیب‌پذیری امنیتی کشف شده شفا‌ف‌سازی کرده اما برخی متخصصان علاقمند نیز وعده داده‌اند که ادعای کافه بازار را راستی آزمایی کنند. خبرنگار فارس درباره مسیر آسیب‌پذیری، میزان آسیب و مقابله با علی وحدانی مدیر محصول کافه‌بازار گفت‌وگو کرده‌ است.

*سورس‌کد یکی از زیرسیستم‌های وب‌سایت کافه‌بازار از مجموعه خارج شد

وحدانی در پاسخ به این سوال که کافه بازار وقوع دسترسی غیرمجاز به  سورس‌کد یکی از زیرسیستم‌های وب‌سایت را تایید و نشست اطلاعات از این سایت را رد کرده، چه توضیحی برای اینکه اطلاعات نشت نکرده وجود دارد؟ اظهارداشت: در اطلاعیه رسمی به صراحت نوشتیم که بخش‌هایی از سورس کد دست یکسری افراد افتاده و این را تأیید کرده‌ایم؛ اما افرادی بودند که ادعا می‌کردند نفوذ کرده و به اطلاعات کاربران دسترسی پیدا کرده‌اند؛ برای بررسی این ادعا مسیری که از طریق آن توانسته بودند به سورس کد دسترسی پیدا کنند را پیدا کردیم و بستیم؛ سپس بررسی کردیم که آیا از این طریق توانسته‌اند نفوذ دیگری انجام دهند یا خیر که در نتیجه بررسی مطمئن شدیم تمام ادعاهای دیگر کاملاً غلط است و آنها اگر یک رکورد دیتا داشتند تاکنون منتشر کرده بودند و مطمئن شدیم که دیتایی نداشته‌اند.

وی توضیح داد:‌ تمام ردپاهای آنها را جست‌وجو کردیم و مشخص شد آنچه به دست آورده‌اند دیتای کاربران نبوده؛ بلکه از روی وب‌سرور توانسته بودند یک آسیب‌پذیری پیدا کرده و سورس کد را دانلود کنند؛ آنها وارد سرور نشدند که بتوانند به دیتایی دسترسی داشته باشند؛ از این‌رو در بیانیه به صراحت اعلام کردیم که توانسته‌اند به سورس کدی دسترسی پیدا کنند اما هیچ دسترسی دیگری نداشتند و همه راه‌ها را بسته‌ و چک کرده‌ایم که مطمئن شویم هیچ دیتایی نشت نکرده است.

*چه بخشی از اخبار و مستندات نفوذ به دیتابیس اطلاعات کاربران صحت دارد؟

وحدانی در پاسخ به این سؤال که اخبار متعددی از ابعاد این آسیب‌پذیری امنیتی منتشر شده است، کدام یک از این اخبار صحت دارد؟ گفت: معتقد بودیم اگر آسیب‌پذیری وجود دارد به آن حساس هستیم، باید جلوی آن را بگیریم و درباره اینکه چه خطری وجود دارد اطلاع‌رسانی کنیم؛ اما مسئله این بود که آنها می‌خواستند از حداقل چیزی که به دست آورده‌اند خبرسازی کنند و اخبار جعلی تا جایی پیش رفت که در رسانه‌های غیررسمی و حتی کانال‌های برانداز از ردپاهایی غیرواقعی در سورس‌کدهای کافه بازار صحبت کردند. رسانه‌های بی‌نام و نشان که امروز زیاد شده‌اند علاقه دارند سروصدا به راه بیندازند و با برداشت شخصی خود، ولو دروغ خبر جنجالی بزنند؛ در این مسیر از رسانه‌ها انتظار داریم با انتشار اخبار صحیح ما را کمک کنند.

مدیر محصول کافه‌بازار ادامه داد: نفوذگران توانستند به سورس‌کد وب سایت دسترسی داشته باشند و به سورس کد اپلیکیشن و سرورها دسترسی نداشته‌اند؛ تنها یک عدد از سرور‌های غیراصلی وب سایت مورد دسترسی قرار گرفته که سورس کد وب سایت را نگه می‌دارد و حتی نتوانستند سورس کد سیستم‌های اصلی را بدزدند. بخش زیادی از سرورهای ما در حال سرویس‌دهی به ۴۰ میلیون کاربر کافه بازار هستند که به آنها دسترسی نیافته‌اند.

وی ادامه داد: این سورس کد چیزی نیست غیر از سایت کافه‌بازار که با وارد کردن آدرس سایت یک سری اپلیکیشن نمایش داده می‌شود. تمام آنچه که به عنوان مصداق نفوذ گذاشته شده بود کد و تنظیمات این سایت بود و هیچ چیزی دیگری نبود که دیتای کاربر یا دیتای اپلیکیشن باشد. با دنبال کردن رد پای جایی که توانسته سورس کد را از آنجا بگیرد، لاگ تمام فایل‌هایی که موفق شده بود دانلود کند را از سرور نگاه کردیم و اکنون دقیقاً می‌دانیم که چه چیزی به دست آورده و چه چیزی به دست نیاورده است؛ دیتایی که به دست آورده را تحلیل و تمام ادعاهای مطرح شده در توئیت‌ها و مطالب کانال‌ها را مانیتور کرده‌ایم و با قطعیت می‌گوییم که صحت نداشته اند. برای مثال یکی ادعا کرده بود که دیتا بیس از کافه بازار دارد و نمونه ارائه کرده بود که فایل ارایه شده خنده‌‌دار بود؛ همان سورس کدها را داخل یک فایل ریخته بود و گفته بود دیتابیس است. اصلاً چنین چیزی نبوده و هیچ دیتایی ندارند که بخواهند منتشر کنند که اگر یک رکورد داشتند منتشر می‌کردند.

*چرا جایزه کشف باگ‌های امنیتی به کار نیامد؟

وحدانی در واکنش به اینکه طبق اعلام کافه‌بازار، طرح اعطای پاداش در ازای کشف باگ‌های امنیتی (Bug Bounty Program) را دارد که این رویه در بسیاری از شرکت‌های بزرگ که به خود اطمینان دارند دیده می‌شود، اما این امکان کافه‌بازار برای نفوذگران جذاب نبود که کارآمد واقع شود، چرا؟ گفت: اگرچه تمام تلاش‌مان را می‌کنیم اما می‌دانیم مسیرهایی ممکن است باز باشد؛ تمام شرکت‌ها برای شناسایی باگ  و راه نفوذ مشوق می‌گذارند و هکرهایی در این شغل وجود دارند که باگ‌ها را به آنها گزارش می‌کنند؛ ما نیز این کار را کرده‌ایم و به هکری که ادعا کرده بود اعلام کردیم که جایزه گزارش باگ داریم، گزارش کن و جایزه بگیر. اولین برای که خبر منتشر شد در اطلاعیه اول به این موضوع اشاره کردیم که اگر آنها تاکنون نمی‌دانستند که چنین امکانی داریم مطلع شوند؛ اما مسئله آنها تنها ضربه‌ زدن بود. اگر قصد گزارش و جایزه گرفتن داشتند موافق بودیم. 

مدیر محصول کافه‌بازار اضافه کرد:‌ فارغ از مسئولیتم در کافه بازار حتی از شرکت‌های بزرگ در اندازه جهانی نیز انتظار نفوذ و حتی نشت اطلاعات می‌رود؛ در این زمینه نه تنها از استاندارد جهانی خیلی دور نیستیم بلکه شرایط خوبی در ایران داریم؛ در ایران اطلاعات ۲۰ میلیون مشترک یکی از اپراتورهای تلفن همراه نشت کرد چه اتفاقی افتاد؟ در نتیجه اصلا خود را با شرایط داخل مقایسه نمی‌کنیم اما در استاندارد جهانی نیز اتفاق اخیر یک حمله در حد نفوذ به سورس‌کد یکی از زیرسیستم‌ها بود که با سورس کد استخراجی نمی‌توانستند کاری کنند.

وی تاکید کرد: جزئیات فنی آسیب‌پذیری را در بلاگ فنی توضیح می‌دهیم و تلاش می‌کنیم در اختیار سایر شرکت‌ها بگذاریم تا در موارد مشابه تجربه داشته باشند.

* نگرانی از انتشار اخبار جدید از نفوذ در روزهای آینده وجود دارد؟

وحدانی در پاسخ به این سوال که علیرغم شفاف‌سازی کافه بازار درباره آسیب‌پذیری امنیتی، برخی برای راستی آزمایی ادعای کافه بازار و روشن شدن ابهامات درباره میزان نفوذ و رفع آسیب اعلام آمادگی کرده‌اند، نگرانی بابت اینکه در روزهای آینده اخبار جدیدی از این نفوذ منتشر شود وجود ندارد؟ گفت: تنها نگرانی از خروج این سورس کد که می‌توانست وجود داشته باشد و روی آن تمرکز کردیم این احتمال بود که آنها از طریق این سورس کد بتوانند دیتایی پیدا کنند و سپس از طریق آن بتوانند به سرورهای دیگر حمله کنند تا دیتای کاربران را بدزدند که در همان زمان دو کار را برای مقابله انجام دادیم؛ نخست اینکه تمام مسیرهای احتمالی نفوذ را بررسی کردیم و ردپاهایی که حدس زدیم شاید با این دیتا، دیتایی دیگری را بدست آورند را گشتیم؛ دوم اینکه تمام کلیدها و پسوردهای لازم و تنظیمات را از ابتدا انجام دادیم انگار که این تنظیمات لو رفته تا مطمئن شویم خطر امنیتی جدیدی ما را تهدید نمی‌کند.

وی تأکید کرد: بنابراین تنها کارکرد این سورس‌کد این احتمال بود که از این دیتا قصد حمله دیگری را داشته که جلوی آن را گرفته‌ایم. 

*افشاکنندگان جدی نبودند بیانیه دوم که تاییدگر نفوذ بود ارایه می‌شد؟

وی در پاسخ به سؤال فارس که بیانیه اول کافه‌بازار خیلی زود منتشر شد که البته حاوی اطلاعات مهمی نبود و در واقع گزارش آسیب را رد کرده بود، برخی تصور می‌کنند اگر ادعا با جدیت مطرح نمی‌شد شاید کافه‌بازار بیانیه دیگری ارایه نمی‌داد که بخواهد در آن آسیب‌پذیری را بپذیرد، پس از اطلاع از موضوع روند پیگیری توسط تیم امنیتی مجموعه که منجر به صدور بیانیه‌ها می‌شد، چه بود؟ گفت: همواره شبکه‌های اجتماعی را مانیتور می‌کنیم که به محض انتشار خبر در شبکه‌های اجتماعی بررسی موضوع شروع شد و چند ساعت بعد بیانیه اول منتشر شد؛ پس از انتشار بیانیه اول بررسی را ادامه دادیم و متوجه شدیم قضیه چه بوده و سورس‌کد از کجا به دست‌شان رسیده و مقداری طول کشید که بفهمیم آیا با سورس‌کدی که به دست‌ دارند کار دیگری می‌توانند انجام دهند. سپس بیانیه دوم را ارایه دادیم که مجموع اقدامات در حدود 18 ساعت طول کشید.

وحدانی اضافه کرد: در بیانیه اول هنوز با قطعیت نمی‌دانستیم که چه اتفاقی افتاده است؛ فقط اعلام کردیم که متوجه موضوع هستیم و موضوع در حال بررسی است و در آخر بیانیه اعلام کرده بودیم که اگر کسی دیتایی دارد و به دنبال جایزه است پول را پرداخت می‌کنیم و آسیب‌پذیری را اعلام کند؛ البته کار به اینجا نکشید و مشاور امنیتی گرفتیم و همکاران امنیتی مجموعه تحلیل کردند و متوجه شدیم. وقتی شخصی عکس از سورس‌کد می‌گذارد حتی ممکن است این عکس از صفحه برنامه‌نویسی در حال انجام گرفته باشد. در بیانیه اول مسائل از صفر (بهترین حالت) تا 100 (بدترین حالت) پیش رویمان بود؛ از اینکه فقط یک عکس است یا اینکه همه چیز لو رفته است؛ در نهایت تصور می‌کنم روال معقولی را طی کرده‌ایم. 

*چه نظارت بالادستی بر امنیت اطلاعات کاربران در کسب‌وکارها است؟

مدیر محصول کافه‌بازار درباره اینکه با رشد کسب‌وکارهایی که با اطلاعات کاربران سروکار دارند جذابیت این تجارت‌ها برای هکرها بیشتر شده، آیا از سوی حاکمیت دستورالعمل یا گواهی امنیتی برای مشخص کردن چارچوب و الزامات ملاحظات امنیتی در این شرکت‌ها وجود دارد؟ گفت: شرکت خصوصی به دلیل ذات تجارت و درآمد به هر آنچه که به کسب‌وکار لطمه وارد کند حساس‌ است، حتی حسا‌س‌تر از بخشی غیر خصوصی که ملاحظات امنیتی‌ بیشتری را پشت سر گذاشته‌اند. همچنان که در چند روز گذشته در نتیجه نفوذ به سایتی دولتی حداقل تا ۲۴ ساعت پس از انتشار خبر اطلاعات همه کاربران قابل دسترس بود.

وی در واکنش به اینکه شرکت‌های بزرگ شاید بتوانند از خود مطمئن باشند اما با رشد بازار کسب‌وکارهای سرویس‌ و کاربر محور، هر روز برنامه‌های جدیدی برای ارایه خدمات به مردم ارایه می‌شوند که در نتیجه نگه‌داشت اطلاعات کاربران در مجموعه‌های جدا بیشتر می‌شود، در این صورت تضمین امنیت اطلاعات کاربران در شرکت‌های کوچک‌تر یا در حال رشد که برای رفع تمامی نیازهای خود به بلوغ نرسیده‌اند چیست؟ گفت: البته شرکت‌های کوچکتر اطلاعات کمتری دارند و به همین میزان درصد ریسک در آنها در مقایسه با شرکت‌‌هایی با چند میلیون کاربر کمتر است؛ مرکز ماهر (در زیرمجموعه وزارت ارتباطات و فناوری اطلاعات) در برخی موضوعات مانند اپلیکیشن‌ها دستورالعمل‌های ابلاغ کرده که عمل کرده‌ایم اما در حالت کلی اگر دستورالعمل یا گواهی امنیتی برای این موضوع وجود دارد بحث حقوقی است و اطلاع ندارم. 

*به کمک مرکز ماهر نیاز پیدا نکردیم

وحدانی در پاسخ به این سوال که آیا در این رخداد به کمک مرکز ماهر نیاز پیدا کردید، گفت:‌ در این مورد و در موقع بحران نیاز به کمک نبود اما در حال مذاکراتی هستیم که بتوانیم از مشاوران امنیتی آنها کمک بگیریم.

مدیر محصول کافه‌بازار خاطر نشان کرد: البته در حال حاضر با برخی مراکز امنیتی زیرمجموعه ماهر از جمله مرکز آپا شریف همکاری داریم و با مرکز آپای امیرکبیر نیز به زودی همکاری خواهیم داشت. 

انتهای پیام/