با فاش شدن پایگاههای دادهی ناامن، نهتنها مصرفکنندگان بلکه کسبوکارها نیز در خطری بزرگ قرار میگیرند؛ اما علت این موضوع چیست و چهقدر جدی است؟
باوجود خطراتی که برای افشای دادههای شرکت و حتی دادههای کاربران وجود دارد، کسبوکارهای زیادی هستند که همچنان به این موضوع هیچ اهمیتی نمیدهند و پایگاه دادههای ابری خود را بهصورت آنلاین در شرایط ناامن باقی میگذارند.
پس از مطالعهای سه ماهه، تحقیقات Check Point نشان دادند که 2113 برنامهی کاربردی برای تلفنهای همراه پیدا شده است که پایگاههای دادههای آنها در فضای ابری محافظت نشده بودند. این بدان معناست که هرکسی با هر مرورگری میتواند بهراحتی به این پایگاههای داده دسترسی داشته باشد.
برنامههای تلفن همراهی که پایگاههای اطلاعاتی آشکار داشتند، از برنامههایی با بیش از 10 هزار بار دانلود داشتند، تا برنامههایی بسیار محبوب که بیش از 10 میلیون بار بارگیری شده بودند را شامل میشود و میان این موارد متغیر بودند. این تحقیقات طیف گستردهای از دادههای حساس را از برنامههای مورد نظر ازجمله پیامهای چت، عکسهای شخصی، شمارههای مخاطبین، ایمیل، نام کاربری، رمز عبور و بسیاری از موراد دیگر را پیدا کرده است.
لوتم فینکلستین، رئیس اطلاعات و تحقیقات در نرمافزار Check Point، توضیحاتی در مورد اینکه چگونه محققان امنیتی این شرکت بهآسانی توانستهاند پایگاههای اطلاعاتی افشا شده را تنها با استفاده از ابزاری آنلاین و رایگان بهنام VirusTotal پیدا کنند. وی در ادامه گفت:
ما در این تحقیقات نشان میدهیم که مکانیابی مجموعههای داده و منابع حیاتی که در فضای ابری آزاد و باز هستند، نهتنها میتواند بهراحتی برای هرکسی که مرورگر دارد قابل دسترس باشد، بلکه اتفاقا بسیار هم کار آسانی است. ما روشی ساده را بهاشتراک میگذاریم تا نشان دهیم که چگونه هکرها میتوانند اینکار را انجام دهند. این روش، تنها نیاز به جستجو در مخازن فایلهای عمومی همانند برنامهی VirusTotal، برای اپلیکیشنهای موبایلی است که از خدمات ابری استفاده میکنند. هر هکری میتواند از VirusTotal جهت بافتن مسیری کامل به پشتیبانی ابری تلفن همراه هوشمند، استفاده کند و هر اطلاعاتی که میخواهد را بیابد. ما نیز چند مورد از اطلاعاتی که میتوانیم در آن پیدا کنیم را بهاشتراک میگذاریم. هر اطلاعاتی که پیدا میشود، برای همهی کاربران در دسترس هستند. درنهایت، هدف ما این بود تا با این تحقیقات ثابت کنیم که سوءاستفاده از اطلاعات چهقدر میتواند کار آسانی باشد. حجم دادههایی که در معرض دید و بهصورت آشکار قرار میگیرند، برای هرکسی که در فضای ابری حضور داشته باشد در دسترس است، که خب، قطعاََ دیوانهکننده است! نقض کردن آن هم، بسیار سادهتر از چیزی است که ما تصورش را داریم.
در پست وبلاگی جدید، این سازمان تحقیقاتی، چندین نمونه از مطالعات خود را بدون اینکه نام برنامههای تلفنهمراه را ذکر کنند ارائه دادهاند. این برنامهها شامل برنامههایی هستند که پایگاه دادههای ابری خود را بهصورت آنلاین، در شرایط ناامن رها کردهاند.
اولین برنامه برای فروشگاه بزرگ زنجیرهای در آمریکای جنوبی است و بیش از 10 میلیون بار دانلود شده است! با جستجو کردن VirusTotal۷ این سازمان توانسته است اعتبار دروازهی اصلی API و کلید API آن را پیدا کند. بدتر از آن، این اعتبارنامهها بهصورت متنهای سادهای بودند که هرکسی میتوانست آنها را بخواند و از آنها برای دسترسی به حسابهای مشتریان فروشگاههای بزرگ استفاده کند که به معنای واقعی، فاجعه است.
برنامهی بعدی، برنامهای ردیاب و در جال اجرا است که جهت ردیابی و تجزیه و تحلیل عملکرد دوندگان طراحی شده است. این برنامه بیش از 100 هزار بار دانلود شده است. پایگاه دادهی این برنامه شامل مختصات دقیق GPS کاربران و سایر مشخصاتی که مربوط به سلامتی افراد میشود، همانند ضربان قلب آنها بود. با بهدست آوردن این اطلاعات که اتفاقاََ بسیار هم کار آسانی است، مهاجمان میتوانند به آسانی از اطلاعات کاربر مورد نظر سوءاستفاده کنند و نقشههایی را برای ردیابی کردن مکانی که کاربر از آن میگذرد، ایجاد کنند.
در مراحل بعدی، این تحقیقات برنامهی دوستیابی حدید را نشان دادند که برای افرادی که دچار معلولیت هستند، مورد استقاده قرار میگیرد. در پایگاه دادهی این برنامه، حدود 50 هزار پیام از چتهای خصوصی افراد بههمراه تصاویر فرستاده شد. همچنین، برنامهی دیگری که آنها موفق شدند آنها را پیدا کنند مربوط به برنامهای کاربردی و مربوط به ساختن لوگو بود که این برنامه نیز بیش از 10 میلیون بار دانلود شده بود. داخل پایگاه دادهی این برنامه، حدود 130 هزار نام کاربری، ایمیل و حتی رمز عبور وجود داشت.
البته، این موراد همهی بخشی که از این تحقیقات بهدست آمد نبود، گویا علاوهبر این موارد، پایگاه دادههای ناامن PDFای محبوب و برنامهای حسابداری نیز یافت شده است.
همانطور که کارشناسان امنیتی این نکته را توصیه میکنند، بهتر است تا همواره مصرف کنندگان از تلفنهای هوشمند، تبلتها و لپتاپهای خود با گذرواژههای بسیار قوی و پیچیده محافظت کنند. همچنین، کسبوکارهایی که از پایگاههای اطلاعاتی ابری برای ذخیره کردن دادههای برنامههای تلفن همراه خود استفاده میکنند نیز باید از خود محافظت کنند.