افشای اطلاعات هزاران مشتری به‌دلیل نقص امنیتی در وبسایت GoHardDrive

کشف نقص امنیتی در وبسایت GoHardDrive فرصتی را برای افراد سودجو فراهم کرد تا به‌راحتی به اطلاعات حساس مشتریان دسترسی پیدا کنند.

به گزارش تک‌ناک، در پی کشف نقص امنیتی مهم در وبسایت شرکت GoHardDrive، اطلاعات هزاران مشتری این فروشنده تجهیزات ذخیره‌سازی بازگشتی در معرض افشا قرار گرفت. مایکل لینچ، توسعه‌دهنده نرم‌افزار، زمانی که برای یکی از محصولات خریده‌شده خود درخواست مرجوعی (RMA) ثبت می‌کرد، متوجه شد که سامانه پیگیری وضعیت مرجوعی این شرکت بدون احراز هویت، اطلاعات کامل مشتریان را نمایش می‌دهد.

به گفته لینچ، با مراجعه به وبسایت ghdwebapps.com/rma و واردکردن شماره RMA ساده با فرمت GHD00000، کاربر می‌توانست به اطلاعات حساسی ازجمله نام، نشانی کامل، ایمیل، شماره تماس، مشخصات سفارش و دلیل مرجوعی دسترسی پیدا کند. همچنین، لینکی با ساختار مشخص برای نمایش این اطلاعات استفاده می‌شد که دسترسی را برای هر فردی ممکن می‌ساخت.

براساس این گزارش، نقص مذکور به‌گونه‌ای بود که هر کاربری، حتی بدون دانش برنامه‌نویسی، می‌توانست با امتحان شماره‌های مختلف RMA، اطلاعات خصوصی مشتریان را گردآوری کند. درصورتی‌که فردی با دانش فنی وارد عمل می‌شد، با استفاده از اسکریپت‌هایی ساده، می‌توانست میلیون‌ها ترکیب ممکن از شماره‌های مرجوعی را بررسی و داده‌ها را استخراج کند.

تامزهاردور می‌نویسد که پس‌از اطلاع‌رسانی لینچ درباره این نقص، شرکت GHD در پاسخ اولیه خود اعلام کرد که در سه تا پنج روز کاری آن را برطرف خواهد کرد. با‌این‌حال، تا مدت‌ها گزارشی از پیشرفت کار به لینچ داده نشد. در نهایت شرکت برای افزایش امنیت، واردکردن کد پستی و شماره خانه را به مراحل دسترسی اضافه کرد. لینچ تأکید کرد که این اقدام در برابر حملات خودکار چندان مؤثر نیست؛ چراکه تنها با ۴/۲ میلیون تلاش برای هر شماره RMA می‌توان به نتایج واقعی دست یافت؛ رقمی که با استفاده از سرورهای ارزان‌قیمت، در زمان کوتاهی امکان دستیابی دارد.

در پی گسترش این ماجرا، GHD تصمیم گرفت به‌طور کامل صفحه بررسی وضعیت RMA را از دسترس خارج کند و از مشتریان خواست پیگیری‌های خود را صرفاً ازطریق ایمیل انجام دهند. لینچ در ادامه از شرکت پرسید پاداشی برای گزارش چنین آسیب‌پذیری‌هایی در نظر گرفته شده است یا خیر که پاسخ شرکت منفی بود. بااین‌همه در اقدامی نمادین، تنها ۲۰ دلار از مبلغ ۳۳۰ دلاری خرید او را به‌عنوان تشکر بازگرداند.

این درحالی است که در صنعت فناوری، گزارش چنین آسیب‌پذیری‌هایی معمولاً با پاداش‌هایی بین صدها تا هزاران دلار همراه است و شرکت‌ها را از جریمه‌هایی سنگین و حتی پرونده‌های قضایی می‌تواند نجات دهد. کشف اخیر باردیگر اهمیت سرمایه‌گذاری جدی در حوزه امنیت سایبری و برنامه‌های پاداش باگ (Bug Bounty) را برای کسب‌وکارها یادآور می‌شود.

نوشته افشای اطلاعات هزاران مشتری به‌دلیل نقص امنیتی در وبسایت GoHardDrive اولین بار در تک ناک - اخبار تکنولوژی روز جهان و ایران. پدیدار شد.