افشای اطلاعات کاربران شبکه‌های اجتماعی

پیکربندی نادرست یک سرور توسط شرکت SocialArks باعث افشای 318 میلیون سابقه اطلاعاتی کاربران فیسبوک، اینستاگرام و لینکدین شد. بنا بر خبرهای منتشر شده، بر اثر این اشتباه بیش از 400 گیگابایت اطلاعات حساب‌های کاربری خصوصی و عمومی از 214 میلیون کاربر شبکه‌های اجتماعی از جمله چهره‌های مشهور و افراد بانفوذ در سطح جهان در اینترنت منتشر شده است.

این نشت اطلاعاتی، ناشی از پیکربندی نادرست پایگاه داده “ElasticSearch” متعلق به شرکت چینی «مدیریت شبکه‌های اجتماعی SocialArks» است. بر مبنای یافته‌های محققان، این پایگاه داده حاوی اطلاعات هویتی کاربران فیسبوک، اینستاگرام، لینکدین و سایر شبکه‌های اجتماعی بوده است.

به گفته محققان امنیتی، سرورهای حاوی این اطلاعات در فرایند بررسی آی‌پی که جزو فعالیت های همیشگی این شرکت است، شناسایی شده و فاقد سازوکارهای حفاظت از طریق کلمه عبور یا رمزنگاری نیز بوده اند. در مجموع در این سرورها بیش از 318 میلیون سابقه اطلاعاتی وجود داشته است.

از پلتفرم مدیریت داده‌های SocialArks برای بازاریابی و تبلیغات برنامه‌ریزی شده استفاده می‌شود. این شرکت در وب سایتش خود را «یک شرکت مدیریت شبکه‌های اجتماعی بین المللی با تمرکز بر حل مشکلات موجود برندسازی، بازاریابی، تبلیغات و مدیریت مشتریان شبکه‌های اجتماعی در صنعت تجارت خارجی چین» معرفی کرده است.

 

میزبانی پایگاه داده مورد نظر توسط شرکت Tencent انجام می‌شود که برای مرتب کردن داده‌های به دست آمده از هر شبکه اجتماعی آنها را به بخش‌های مختلف و با اندیس‌های متفاوت تقسیم بندی کرده است. در نتیجه محققان توانسته اند این داده‌ها را مورد بررسی دقیق‌تر قرار دهند.

محققان در یک پست وبلاگی که درباره این حادثه منتشر کرده اند، نوشته‌اند: «تیم تحقیقاتی ما توانست مشخص کند کل داده‌های استخراج شده از شبکه های اجتماعی، با روش اسکرپینگ به دست آمده‌اند که چنین اقدامی برخلاف اصول اخلاقی بوده و نقض قوانین فیسبوک، اینستاگرام و لینکدین محسوب می‌شود». روش اسکرپینگ به طور خودکار اطلاعات و داده‌هایی را که معمولاً از طریق یک وب‌سایت در مرورگر قابل دسترس است را گردآوری می‌کند.

اطلاعات استخراج شده مربوط به 11651162 حساب کاربری اینستاگرام، 66117839 حساب کاربری لینکدین، 81551567 حساب کاربری فیسبوک و 55300000 حساب کاربری دیگر است. داده‌های افشا شده شامل بیوگرافی، عکس پروفایل، تعداد کل دنبال‌کنندگان، تنظیمات مربوط به مکان جغرافیایی، اطلاعات تماس مثل آدرس ایمیل و شماره تلفن، تعداد کامنت‌ها، هشتگ‌های پرتکرار، نام شرکت، محل کار و غیره هستند.

مدیرعامل شرکت nVisium در این خصوص گفته که: «داده‌های استخراج شده از شبکه‌های اجتماعی برای اهداف بازاریابی، قطعاً دارای اطلاعات حساسی هستند. همواره بر حجم اطلاعاتی که افراد درباره زندگی خصوصی شان در شبکه‌های اجتماعی منتشر می‌کنند، افزوده می‌شود. برای حفاظت از خودتان، دسترسی سایر افراد به پروفایل‌هایتان را در شبکه‌های اجتماعی محدود کرده، مراقب آنچه در فضای آنلاین منتشر می‌کنید، بوده و همچنین دسترسی‌هایی که به برنامه‌های کاربردی مختلف می‌دهید را کنترل کنید چون امکان سوءاستفاده یا سرقت اطلاعات شما توسط چنین برنامه‌هایی وجود دارد».

این پایگاه داده علاوه بر اطلاعاتی که در دسترس عموم قرار گرفته است، حاوی داده‌های خصوصی کاربران شبکه‌های اجتماعی نیز بوده است. محققان می‌گویند: «پایگاه داده SocialArks حاوی اطلاعات خصوصی کاربران اینستاگرام و لینکدین از جمله شماره تلفن و آدرس ایمیل اشخاصی بوده که این اطلاعات را به شکل عمومی در حساب کاربری خودشان منتشر نکرده‌اند. هنوز مشخص نیست SocialArks چگونه توانسته به چنین داده‌هایی دسترسی پیدا کند … معلوم نیست این شرکت چگونه موفق به جمع آوری داده‌ها از منابع امن مختلف شده است. علاوه‌ بر این، سرور این شرکت امنیت کافی نداشته و کاملاً ناامن و حفاظت نشده رها شده بود».

لازم به ذکر است مدتی پیش نیز SocialArks دچار نفوذی مشابه شد که بر 66 میلیون کاربر لینکدین، 11.6 میلیون کاربر اینستاگرام و 81.5 میلیون کاربر فیسبوک (در مجموع حدود 150 میلیون کاربر) تأثیرگذار بود. اطلاعات افشا شده در این نشت اطلاعاتی شامل داده‌های عمومی قابل استخراجی همچون نام کامل، کشور محل اقامت، محل کار، سمت شغلی، اطلاعات تماس و لینک مستقیم پروفایل کاربران لینکدین بوده است.

به گفته کارشناسان امنیت سایبری، وجود چنین حجم انبوهی از اطلاعات در فضای مجازی امکان اجرای حملات مهندسی اجتماعی خودکار را فراهم می‌کند. محققان می‌گویند: «بیشتر موارد دیتااسکرپینگ به شکل بی خطر و توسط توسعه دهندگان وب، تحلیلگران هوش کسب و کار، کسب و کارهای بی خطر مثل مشاغل حوزه گردشگری و برای اهداف بازاریابی آنلاین انجام می‌شوند اما حتی اگر چنین داده‌هایی باز هم به شکل قانونی و مجاز به دست آمده باشند، در صورت ذخیره آنها بدون رعایت اصول امنیتی، اطلاعاتی همچون تاریخ تولد، آدرس ایمیل و شماره تلفن کاربران در فضای آنلاین منتشر شده و مهاجمان می‌توانند از این اطلاعات برای انجام کارهایی همچون جعل هویت و کلاهبرداری استفاده کنند».

Dirk Schrader مدیرعامل شرکت “New Net Technologies” گفته این واقعیت که اسکرپینگ (چه برای اطلاعات عمومی و چه اطلاعات خصوصی) انجام می‌شود، به تنهایی نکته حایز اهمیتی است. به گفته او، «کار اسکریپنگ بر روی پروفایل‌های عمومی، از قبل انجام شده و غول‌های این حوزه معمولاً سعی می‌کنند ابزارهای اسکرپینگ انبوه را مسدود کنند اما اینکه چرا این مسدودسازی در این مورد خاص انجام نشده، نکته جالبی است. به عنوان یکی از کاربران لینکدین که تحت تأثیر این رخنه اطلاعاتی قرار گرفته، گزینه‌های محدودی دارم؛ یا باید قبول کنم اسکرپینگ رخ می‌دهد یا می‌توانم پروفایل خودم را محدودتر کنم که این کار هم باعث محدود شدن ارتباط‌های کاری من خواهد شد. تصمیم درباره اینکه کاربران چه میزان اطلاعات درباره خودشان منتشر کنند، با خود آنها است. خود اسکرپینگ، به ویژه وقتی اطلاعات استخراج شده به این شکل امن سازی نشده باشند، احتمال اینکه کاربران مورد هدف حملات خاص و ایمیل‌های ناخواسته قرار بگیرند را افزایش می‌دهد».

 

منبع: threatpost