پیکربندی نادرست یک سرور توسط شرکت SocialArks باعث افشای 318 میلیون سابقه اطلاعاتی کاربران فیسبوک، اینستاگرام و لینکدین شد. بنا بر خبرهای منتشر شده، بر اثر این اشتباه بیش از 400 گیگابایت اطلاعات حسابهای کاربری خصوصی و عمومی از 214 میلیون کاربر شبکههای اجتماعی از جمله چهرههای مشهور و افراد بانفوذ در سطح جهان در اینترنت منتشر شده است.
این نشت اطلاعاتی، ناشی از پیکربندی نادرست پایگاه داده “ElasticSearch” متعلق به شرکت چینی «مدیریت شبکههای اجتماعی SocialArks» است. بر مبنای یافتههای محققان، این پایگاه داده حاوی اطلاعات هویتی کاربران فیسبوک، اینستاگرام، لینکدین و سایر شبکههای اجتماعی بوده است.
به گفته محققان امنیتی، سرورهای حاوی این اطلاعات در فرایند بررسی آیپی که جزو فعالیت های همیشگی این شرکت است، شناسایی شده و فاقد سازوکارهای حفاظت از طریق کلمه عبور یا رمزنگاری نیز بوده اند. در مجموع در این سرورها بیش از 318 میلیون سابقه اطلاعاتی وجود داشته است.
از پلتفرم مدیریت دادههای SocialArks برای بازاریابی و تبلیغات برنامهریزی شده استفاده میشود. این شرکت در وب سایتش خود را «یک شرکت مدیریت شبکههای اجتماعی بین المللی با تمرکز بر حل مشکلات موجود برندسازی، بازاریابی، تبلیغات و مدیریت مشتریان شبکههای اجتماعی در صنعت تجارت خارجی چین» معرفی کرده است.
میزبانی پایگاه داده مورد نظر توسط شرکت Tencent انجام میشود که برای مرتب کردن دادههای به دست آمده از هر شبکه اجتماعی آنها را به بخشهای مختلف و با اندیسهای متفاوت تقسیم بندی کرده است. در نتیجه محققان توانسته اند این دادهها را مورد بررسی دقیقتر قرار دهند.
محققان در یک پست وبلاگی که درباره این حادثه منتشر کرده اند، نوشتهاند: «تیم تحقیقاتی ما توانست مشخص کند کل دادههای استخراج شده از شبکه های اجتماعی، با روش اسکرپینگ به دست آمدهاند که چنین اقدامی برخلاف اصول اخلاقی بوده و نقض قوانین فیسبوک، اینستاگرام و لینکدین محسوب میشود». روش اسکرپینگ به طور خودکار اطلاعات و دادههایی را که معمولاً از طریق یک وبسایت در مرورگر قابل دسترس است را گردآوری میکند.
اطلاعات استخراج شده مربوط به 11651162 حساب کاربری اینستاگرام، 66117839 حساب کاربری لینکدین، 81551567 حساب کاربری فیسبوک و 55300000 حساب کاربری دیگر است. دادههای افشا شده شامل بیوگرافی، عکس پروفایل، تعداد کل دنبالکنندگان، تنظیمات مربوط به مکان جغرافیایی، اطلاعات تماس مثل آدرس ایمیل و شماره تلفن، تعداد کامنتها، هشتگهای پرتکرار، نام شرکت، محل کار و غیره هستند.
مدیرعامل شرکت nVisium در این خصوص گفته که: «دادههای استخراج شده از شبکههای اجتماعی برای اهداف بازاریابی، قطعاً دارای اطلاعات حساسی هستند. همواره بر حجم اطلاعاتی که افراد درباره زندگی خصوصی شان در شبکههای اجتماعی منتشر میکنند، افزوده میشود. برای حفاظت از خودتان، دسترسی سایر افراد به پروفایلهایتان را در شبکههای اجتماعی محدود کرده، مراقب آنچه در فضای آنلاین منتشر میکنید، بوده و همچنین دسترسیهایی که به برنامههای کاربردی مختلف میدهید را کنترل کنید چون امکان سوءاستفاده یا سرقت اطلاعات شما توسط چنین برنامههایی وجود دارد».
این پایگاه داده علاوه بر اطلاعاتی که در دسترس عموم قرار گرفته است، حاوی دادههای خصوصی کاربران شبکههای اجتماعی نیز بوده است. محققان میگویند: «پایگاه داده SocialArks حاوی اطلاعات خصوصی کاربران اینستاگرام و لینکدین از جمله شماره تلفن و آدرس ایمیل اشخاصی بوده که این اطلاعات را به شکل عمومی در حساب کاربری خودشان منتشر نکردهاند. هنوز مشخص نیست SocialArks چگونه توانسته به چنین دادههایی دسترسی پیدا کند … معلوم نیست این شرکت چگونه موفق به جمع آوری دادهها از منابع امن مختلف شده است. علاوه بر این، سرور این شرکت امنیت کافی نداشته و کاملاً ناامن و حفاظت نشده رها شده بود».
لازم به ذکر است مدتی پیش نیز SocialArks دچار نفوذی مشابه شد که بر 66 میلیون کاربر لینکدین، 11.6 میلیون کاربر اینستاگرام و 81.5 میلیون کاربر فیسبوک (در مجموع حدود 150 میلیون کاربر) تأثیرگذار بود. اطلاعات افشا شده در این نشت اطلاعاتی شامل دادههای عمومی قابل استخراجی همچون نام کامل، کشور محل اقامت، محل کار، سمت شغلی، اطلاعات تماس و لینک مستقیم پروفایل کاربران لینکدین بوده است.
به گفته کارشناسان امنیت سایبری، وجود چنین حجم انبوهی از اطلاعات در فضای مجازی امکان اجرای حملات مهندسی اجتماعی خودکار را فراهم میکند. محققان میگویند: «بیشتر موارد دیتااسکرپینگ به شکل بی خطر و توسط توسعه دهندگان وب، تحلیلگران هوش کسب و کار، کسب و کارهای بی خطر مثل مشاغل حوزه گردشگری و برای اهداف بازاریابی آنلاین انجام میشوند اما حتی اگر چنین دادههایی باز هم به شکل قانونی و مجاز به دست آمده باشند، در صورت ذخیره آنها بدون رعایت اصول امنیتی، اطلاعاتی همچون تاریخ تولد، آدرس ایمیل و شماره تلفن کاربران در فضای آنلاین منتشر شده و مهاجمان میتوانند از این اطلاعات برای انجام کارهایی همچون جعل هویت و کلاهبرداری استفاده کنند».
Dirk Schrader مدیرعامل شرکت “New Net Technologies” گفته این واقعیت که اسکرپینگ (چه برای اطلاعات عمومی و چه اطلاعات خصوصی) انجام میشود، به تنهایی نکته حایز اهمیتی است. به گفته او، «کار اسکریپنگ بر روی پروفایلهای عمومی، از قبل انجام شده و غولهای این حوزه معمولاً سعی میکنند ابزارهای اسکرپینگ انبوه را مسدود کنند اما اینکه چرا این مسدودسازی در این مورد خاص انجام نشده، نکته جالبی است. به عنوان یکی از کاربران لینکدین که تحت تأثیر این رخنه اطلاعاتی قرار گرفته، گزینههای محدودی دارم؛ یا باید قبول کنم اسکرپینگ رخ میدهد یا میتوانم پروفایل خودم را محدودتر کنم که این کار هم باعث محدود شدن ارتباطهای کاری من خواهد شد. تصمیم درباره اینکه کاربران چه میزان اطلاعات درباره خودشان منتشر کنند، با خود آنها است. خود اسکرپینگ، به ویژه وقتی اطلاعات استخراج شده به این شکل امن سازی نشده باشند، احتمال اینکه کاربران مورد هدف حملات خاص و ایمیلهای ناخواسته قرار بگیرند را افزایش میدهد».
منبع: threatpost