هک Clubhouse دارای مشخصه های یک ربات زداینده است که اطلاعات عمومی را بارگیری می کند و به نظر نمی رسد هک باشد. اخیرا هک اطلاعات اعضای کلاب هاوس گزارش شده است. این اطلاعات شامل داده های عمومی است و از اطلاعات حساس مانند گذرواژه تشکیل نمی شود. اصطلاح نشت اطلاعات ممکن است در واقع یک باگ اطلاعاتی در دسترس عموم باشد.
نشت داده ها
به طور کلی نشت داده ها به عنوان نقض اطلاعات خصوصی، محرمانه و حساس آشکار می شود. نشت داده ها معمولاً به دلیل وجود لغزش امنیتی رخ می دهد که اطلاعات مخفی را به خطر می اندازد. طبق گزارشاتی که در مورد نشت داده ها در دسترس است، تمام اطلاعاتی که به دست آمده حساس نیستند و در دسترس عموم قرار گرفته اند.
گزارش نشت اطلاعات Clubhouse
گزارشی در Cybernews.com حاکی از آن است که در Clubhouse، یک برنامه محبوب رسانه های اجتماعی که فقط برای کاربران اپل در دسترس است، نشتی رخ داده شده است.
“… به نظر می رسد اکنون نوبت کلاب هاوس است. به نظر می رسد که این پلتفرم تازه کار نیز همین سرنوشت را تجربه کرده است. یک پایگاه داده SQL حاوی 1.3 میلیون رکورد کاربر Clubhouse به صورت رایگان در یک انجمن هکر محبوب درز کرده است. “
آیا اطلاعات محرمانه به بیرون درز کرده است؟
به نظر نمی رسد این اطلاعات حاوی اطلاعات محرمانه ای باشد. به نظر می رسد آن ها همان اطلاعاتی هستند که در دسترس عموم است و برای به دست آوردن آن نیازی به هک نیست. این لیستی از انواع داده های (در دسترس عموم) است که سایبرنیوز گزارش داده است:
- آیدی کاربر
- نام
- URL تصویر
- نام کاربری
- آیدی توییتر
- آیدی اینستاگرام
- تعداد فالوئر ها
- تعداد افرادی که توسط کاربر دنبال می شوند
- تاریخ ایجاد حساب کاربری
- نام شخصی که کاربر را دعوت کرده است
احتمالاً نشت اطلاعات نیست
Jane Manchun Wong محقق امنیت و وبلاگ نویس فناوری سوال کرد که آیا این اتفاق اصلاً نشتی محسوب می شود یا خیر. وی می گوید که این یک بارگیری ساده و خودکار از اطلاعات عمومی است.
Jane Manchun Wong مرتبا اخبار مربوط به صنعت فناوری را به روز می کند و در سایت های رسانه ای برتر مانند CNN ،CNET و The Next Web گزارش می کند. به خاطر کشف آسیب پذیری ها، چهار بار توسط برنامه Facebook Bug Bounty جایزه گرفته است.
جین در توئیتر خود نوشت که به نظر می رسد نشت کلاب هاوس اطلاعاتی است که در دسترس عموم بوده است. خراش (scrape) زمانی است که یک نرم افزار قادر به بارگیری اطلاعات عمومی از وب سایت مانند اطلاعات اعضا یا حتی فقط محتوا باشد و مانند یک مرورگر خودکار است که اطلاعات عمومی را بارگیری می کند.
در این حالت قادر خواهد بود اطلاعات کاربران عمومی را یکی یکی بارگیری کند. آنچه باعث ایجاد چنین چیزی شد این بود که ظاهرا Clubhouse اطلاعات کاربران را به ترتیب عددی ایجاد و ذخیره می کند.
هر بار که یک کاربر حسابی ایجاد می کند، یک شماره کاربری که با اطلاعات او مطابقت دارد اختصاص می یابد. به نفر بعدی که ثبت نام می کند، یک عدد اختصاص داده می شود که یک رقم بالا تر است. شخصی که می خواهد اطلاعات کاربر را بارگیری کند، می تواند به راحتی تعداد اعضا را حدس بزند و از نرم افزاری به نام scraper برای بارگیری اطلاعات عمومی استفاده می کند.
از آنجا که شماره های اعضا به ترتیب عددی است، scraper می تواند به سادگی هر شماره حساب را یکی یکی جستجو کرده و اطلاعات اعضای عمومی را بارگیری کند. اینگونه جین آن را در یک توییت توصیف می کند:
اطلاعات خصوصی در این اطلاعات فاش شده از کلاب هاوس مشاهده نمی شود. شناسه های کاربر عددی هستند. بنابراین به نظر می رسد کسی داده ها را با زدن API خصوصی Clubhouse با تکرار از شناسه کاربری 1 به بعد، داده ها را نشت داده است.
جین در مورد پیچیدگی فنی هک های واقعی اظهار داشت:
در حقیقت این هک اصلاً چشمگیر نیست. شما API را از 1 به 2 به 3 حلقه داده اید و داده هایی را که در دسترس عموم است بدست آوردید پس از نظر فنی اصلا چالش برانگیز نیست.
جین جملاتی را به عبارات “اطلاعات فاش شده” و “هک” اضافه کرد که احتمالاً اعتبار نامیدن این کلمات را زیر سوال می برد. نشت اطلاعات شامل داده های خصوصی و حساس است نه داده های عمومی که برای همه در دسترس است.
او با این توییت اضافه کرد:
داده های یک پروفایل Clubhouse از جمله نام، دسته های رسانه های اجتماعی، عکس پروفایل، تعداد دنبال کنندگان / تعداد افراد دیگر و موارد دیگر، ظاهرا در توییتر ارسال شده است. منبع این درز اطلاعات به من گفت که این کار با باز کردن برنامه Clubhouse، مشاهده مشخصات قربانی و گرفتن عکس از صفحه انجام می شود.
چرا این اتفاق ممکن است نشت اطلاعات کلاب هاوس نباشد؟
هیچ یک از اطلاعات خصوصی یا حساس نیستند. همه اطلاعات در دسترس عموم است. به نظر می رسد روشی که برای بدست آوردن اطلاعات به کار رفته به دلیل لغزش امنیت نبوده است. به گفته Jane Manchun Wong، محقق امنیتی، به نظر می رسد این یک بارگیری نسبتاً پیچیده از اطلاعات موجود در دسترس عموم باشد.
منبع: searchenginejournal.com
دیدگاهی بنویسید