فیس بوک را به عنوان یک سایت اجتماعی می شناسیم که اطلاعات بسیاری از کاربران در آن وجود دارد و از گذشته خطر هک شدن هم برای فیس بوک و هم برای کاربران وجود داشته است. حال سوالی که برای ما پیش می آید این است که آیا این سایت تا به حال هک شده است؟؟
اخیراً هکری به نام Orange Tsai اخبار جالب و البته ناراحت کننده ای در مورد کشف آسیب پذیری های فیس بوک منتشر کرده است که حاکی از آن است که حساب های کاربری کارکنان این شرکت به شدت در معرض خطر قرار گرفته است.
Tsai در پست وبلاگ خود عنوان کرد که در طول برنامه های خود برای کشف آسیب پذیری ها و برنده شدن جایزه فیس بوک، متوجه شد که یک هکر دیگر برای حدود هشت ماه به سرورهای شرکت نفوذ کرده و اطلاعات کاربران را از بسیاری از کارمندان شرکت جمع آوری کرده است.
تسای در ادامه توضیح می دهد که با استفاده از گوگل و اطلاعاتی که در اینترنت پیدا کرده، توانسته یکی از دامنه های شبکه داخلی فیس بوک را با آدرس tfbnw.net که مخفف شبکه فیس بوک است شناسایی کند. از طریق این دامنه توانست 5 سرور دیگر فیسبوک را شناسایی کند. یکی از این سرورها در دامنه files.fb.com قرار دارد که تسای مطمئن است که مربوط به سرویس اشتراک فایل امن Accellion است. با استفاده از یک روش ساده هک تزریق SQL، هفت آسیب پذیری را در این سرویس پیدا کرد و فیس بوک و تیم پشتیبانی Accellion را مطابق با دستورات اخلاقی خود مطلع کرد. Tsai با استفاده از یکی از این آسیب پذیری ها، سرور را هک کرد و کنترل دستگاه را در دست گرفت. البته پس از اینکه Accellion از این آسیب پذیری ها مطلع شد، بلافاصله وصله امنیتی مورد نظر برای رفع آن را در اختیار کاربران خود قرار داد.
جایزه بی ارزش!
نکته قابل توجه دیگر این است که جایزه ای که فیس بوک به تسای پرداخت کرد تنها 10000 دلار بود. بسیاری از کارشناسانی که گزارش تسای درباره این حادثه را خوانده اند معتقدند که این مبلغ در مقایسه با کشف بزرگ این هکر تحقیقی بسیار ناچیز است. فیس بوک برای هکری که بتواند نقص امنیتی ساده تری را شناسایی کند، پاداش بالاتری در نظر گرفت. آناند پراکاش متوجه شد که هر کسی میتواند با استفاده از هکهای مختلف و با استفاده از بخش فراموشی رمز عبور اپلیکیشن و وبسایتهای تست اپلیکیشن فیسبوک، حسابهای افراد را هک کند. در حالی که 15000 دلار برای کشف جایزه دریافت کرد، Tsai موفق شد یکی از سرورهای اصلی را هک کند و حتی کنترل سرور را در دست بگیرد و یک حمله هکری دیگر را گزارش کند و تنها 10000 دلار دریافت کند.
این اولین باری نیست که جایزه Bug and Infiltration تیم امنیتی فیس بوک را به خطر می اندازد. البته این تیم همیشه بازخورد نسبتاً نامناسبی از این گزارش ها دریافت کرده است. سال گذشته، هکری به نام وسلی واینبرگ طی تحقیقات خود متوجه شد که می تواند اینستاگرام را از طریق فیس بوک نیز هک کند. با ادامه حملات خود، توانست به اطلاعات مهم (حتی کد منبع) دسترسی پیدا کند. اما تیم امنیتی فیس بوک فقط ۲۵۰۰ دلار به او جایزه داد و مدیر تیم امنیتی به جای تماس با واینبرگ برای صحبت در مورد نحوه هک شدن او و مجموعه ای از باگ هایی که پیدا کرد، به سادگی دستور داد تا علیه او اقدام قانونی انجام شود. . این اقدام او تصویر بسیار بدی از فیس بوک در بین هکرها ایجاد کرده است و آنها امنیت خود را در طول برنامه های جایزه امنیتی فیس بوک در خطر می بینند.
اما آنچه Tsai گزارش می دهد در دنیای هکرها چیز کوچکی نیست و نشان می دهد که تیم امنیتی فیس بوک از گزارش سال گذشته واینبرگ درس خوبی نگرفته است. اما به نظر می رسد تیم امنیتی این شرکت بزرگ باید تغییرات اساسی در سیاست های خود ایجاد کند و با محققانی که به آنها کمک می کنند برخورد کند.
