کشف نقص امنیتی در وبسایت GoHardDrive فرصتی را برای افراد سودجو فراهم کرد تا بهراحتی به اطلاعات حساس مشتریان دسترسی پیدا کنند.
به گزارش تکناک، در پی کشف نقص امنیتی مهم در وبسایت شرکت GoHardDrive، اطلاعات هزاران مشتری این فروشنده تجهیزات ذخیرهسازی بازگشتی در معرض افشا قرار گرفت. مایکل لینچ، توسعهدهنده نرمافزار، زمانی که برای یکی از محصولات خریدهشده خود درخواست مرجوعی (RMA) ثبت میکرد، متوجه شد که سامانه پیگیری وضعیت مرجوعی این شرکت بدون احراز هویت، اطلاعات کامل مشتریان را نمایش میدهد.
به گفته لینچ، با مراجعه به وبسایت ghdwebapps.com/rma و واردکردن شماره RMA ساده با فرمت GHD00000، کاربر میتوانست به اطلاعات حساسی ازجمله نام، نشانی کامل، ایمیل، شماره تماس، مشخصات سفارش و دلیل مرجوعی دسترسی پیدا کند. همچنین، لینکی با ساختار مشخص برای نمایش این اطلاعات استفاده میشد که دسترسی را برای هر فردی ممکن میساخت.
براساس این گزارش، نقص مذکور بهگونهای بود که هر کاربری، حتی بدون دانش برنامهنویسی، میتوانست با امتحان شمارههای مختلف RMA، اطلاعات خصوصی مشتریان را گردآوری کند. درصورتیکه فردی با دانش فنی وارد عمل میشد، با استفاده از اسکریپتهایی ساده، میتوانست میلیونها ترکیب ممکن از شمارههای مرجوعی را بررسی و دادهها را استخراج کند.
تامزهاردور مینویسد که پساز اطلاعرسانی لینچ درباره این نقص، شرکت GHD در پاسخ اولیه خود اعلام کرد که در سه تا پنج روز کاری آن را برطرف خواهد کرد. بااینحال، تا مدتها گزارشی از پیشرفت کار به لینچ داده نشد. در نهایت شرکت برای افزایش امنیت، واردکردن کد پستی و شماره خانه را به مراحل دسترسی اضافه کرد. لینچ تأکید کرد که این اقدام در برابر حملات خودکار چندان مؤثر نیست؛ چراکه تنها با ۴/۲ میلیون تلاش برای هر شماره RMA میتوان به نتایج واقعی دست یافت؛ رقمی که با استفاده از سرورهای ارزانقیمت، در زمان کوتاهی امکان دستیابی دارد.
در پی گسترش این ماجرا، GHD تصمیم گرفت بهطور کامل صفحه بررسی وضعیت RMA را از دسترس خارج کند و از مشتریان خواست پیگیریهای خود را صرفاً ازطریق ایمیل انجام دهند. لینچ در ادامه از شرکت پرسید پاداشی برای گزارش چنین آسیبپذیریهایی در نظر گرفته شده است یا خیر که پاسخ شرکت منفی بود. بااینهمه در اقدامی نمادین، تنها ۲۰ دلار از مبلغ ۳۳۰ دلاری خرید او را بهعنوان تشکر بازگرداند.
این درحالی است که در صنعت فناوری، گزارش چنین آسیبپذیریهایی معمولاً با پاداشهایی بین صدها تا هزاران دلار همراه است و شرکتها را از جریمههایی سنگین و حتی پروندههای قضایی میتواند نجات دهد. کشف اخیر باردیگر اهمیت سرمایهگذاری جدی در حوزه امنیت سایبری و برنامههای پاداش باگ (Bug Bounty) را برای کسبوکارها یادآور میشود.
