about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
مطالب پربازدید
نفوذ
1405/04/04 - 12:52- تروریسم سایبری

نفوذ رژیم صهیونیستی با استارلینک به ایران

نخست وزیر سابق رژیم صهیونیستی ادعا کرد که اسرائیل ده‌ها هزار سیستم استارلینک را به ایران قاچاق کرده است.

بازار
1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

آیا
1405/04/01 - 14:49- جنگ سایبری

آیا رسانه‌ای کردن حملات سایبری برای ایران بازدارندگی ایجاد می‌کند؟

در سال‌های اخیر، اخبار متعددی درباره نفوذ و عملیات‌های سایبری منتسب به ایران و محور مقاومت با بازتاب گسترده رسانه‌ای همراه بوده است. برخی این اقدامات را نشانه‌ای از قدرت سایبری و عاملی جهت بازدارندگی در برابر دشمنان می‌دانند و برخی دیگر معتقدند بخش مهمی ا

اپلیکیشن استخدام مک‌دونالد، اطلاعات ۶۴ میلیون متقاضی را به دلیل رابط‌های برنامه‌نویسی کاربردی داخلی ناامن فاش کرد.

به گزارش کارگروه حملات سایبری سایبربان؛ آسیب‌پذیری‌های موجود در پلتفرم استخدام چت‌بات مک‌دونالد موسوم به مک‌هایر (McHire) مک‌دونالد، داده‌های ۶۴ میلیون متقاضی کار را به دلیل رابط‌های برنامه‌نویسی کاربردی (API) داخلی ناامن افشا کرد.

محققان امنیتی ایان کارول (Ian Carroll) و سم کوری (Sam Curry) چندین آسیب‌پذیری را در مک‌هایر کشف کردند که اطلاعات شخصی بیش از ۶۴ میلیون متقاضی کار را افشا می‌کرد.

این دو محقق امنیتی دریافتند که ربات استخدام مک‌دونالد، که توسط «Paradox.ai» ساخته شده، دارای نقص‌های عمده‌ای مانند یک حساب آزمایشی با نام کاربری و رمز عبور تنظیم شده روی «۱۲۳۴۵۶» و یک رابط برنامه‌نویسی کاربردی ناامن است. این نقص‌ها به آنها اجازه می‌داد تا به چت‌های خصوصی بین جویندگان کار و ربات دسترسی پیدا کنند. آنها حتی به یک رستوران آزمایشی دسترسی مدیریتی پیدا کردند و داده‌های کارکنان داخلی و مصاحبه‌های مداوم را مشاهده نمودند. این اشکال به دلیل تنظیمات امنیتی ضعیف، اطلاعات حساس میلیون‌ها متقاضی را افشا کرد.

در گزارش منتشر شده توسط کارشناسان آمده است:

«طی یک بررسی امنیتی سرسری چند ساعته، دو مشکل جدی را شناسایی کردیم: رابط کاربری مدیریت مک‌هایر برای صاحبان رستوران، اعتبارنامه‌های پیش‌فرض ۱۲۳۴۵۶:123456 را می‌پذیرفت و یک ارجاع مستقیم ناامن به شیء (IDOR) در یک رابط برنامه‌نویسی کاربردی داخلی به ما اجازه می‌داد به هر مخاطب و چتی که می‌خواستیم دسترسی پیدا کنیم. این دو با هم به ما و هر کس دیگری که دارای حساب مک‌هایر و دسترسی به هر صندوق ورودی بود، اجازه می‌دادند تا اطلاعات شخصی بیش از ۶۴ میلیون متقاضی را بازیابی کنیم.»

محققان برنامه شغلی مک‌هایر مک‌دونالد را با درخواست شغل، تعامل با ربات چت آن اولیویا (Olivia) و انجام یک آزمون شخصیت که توسط «Traitify» ارائه شده بود، آزمایش کردند. این فرآیند در انتظار بررسی انسانی متوقف شد. آنها کنجکاوانه صفحه ورود به سیستم برای مدیران مک‌هایر را بررسی کردند و گزینه «اعضای تیم Paradox» را یافتند. با استفاده از اعتبارنامه‌های پیش‌فرض «۱۲۳۴۵۶» / «۱۲۳۴۵۶»، آنها به طور غیرمنتظره‌ای به یک حساب آزمایشی رستوران دسترسی مدیریتی پیدا کردند. این موضوع نحوه‌ی عملکرد سیستم را آشکار کرد و داده‌های داخلی کارکنان Paradox.ai را در معرض خطر قرار داد، اگرچه در آن زمان هنوز خطرات امنیتی عمیق‌تر داده‌ها را اثبات نکرده بودند.


کارشناسان متوجه شدند که صاحبان رستوران می‌توانند برای مشاهده‌ی متقاضیان به آدرس https://www.mchire.com/signin وارد شوند. اگرچه این برنامه سعی می‌کند احراز هویت یکپارچه (SSO) را برای مک‌دونالد اجباری کند، اما یک لینک کوچک‌تر برای اعضای تیم پارادوکس وجود دارد که توجه ما را جلب کرد.


بدون فکر زیاد، «123456» را به عنوان نام کاربری و «123456» را به عنوان رمز عبور وارد کردند و از دیدن اینکه بلافاصله وارد سیستم شدند، شگفت‌زده شدند!


محققان هنگام تجزیه و تحلیل یک پست شغلی آزمایشی در سیستم مک‌هایر مک‌دونالد، درخواست خود را از سمت رستوران مشاهده کردند و یک رابط برنامه‌نویسی کاربردی پنهان پیدا کردند که به آنها اجازه دسترسی به داده‌های چت را می‌داد. با کمی تغییر یک عدد در درخواست (lead_id)، آنها ناگهان اطلاعات شخصی، مانند نام، ایمیل، شماره تلفن و جزئیات شغل، را از متقاضیان واقعی مک‌دونالد مشاهده کردند.


کارشناسان اظهار داشتند:

«ما به سرعت متوجه شدیم که این رابط برنامه‌نویسی کاربردی به ما اجازه می‌دهد به هر تعامل چتی که تاکنون برای شغل در مک‌دونالد درخواست داده شده است، دسترسی داشته باشیم.»

نگران‌کننده‌تر اینکه، آنها می‌توانستند به تاریخچه چت و حتی توکن‌های احراز هویت برای جعل هویت متقاضیان دسترسی پیدا کنند. با درک این مقیاس، احتمالاً تمام درخواست‌های شغلی که تاکنون ارسال شده‌اند، در دسترس خواهند بود. این دو نفر سعی کردند به Paradox.ai اطلاع دهند که به سرعت مشکل را برطرف کرد و بهبودهای امنیتی را اعلام کرد.
 

منبع:

تازه ترین ها
نامیبیا
1405/04/21 - 18:04- آفریقا

نامیبیا اولین آیین‌نامه اجرایی رسانه‌های اجتماعی را تدوین کرد

یونسکو و نامیبیا یک آیین‌نامه اجرایی رسانه‌های اجتماعی برای استانداردهای اخلاقی تدوین کردند.

گسترش
1405/04/21 - 17:38- هوش مصنوعي

گسترش امنیت ویندوز مبتنی بر هوش مصنوعی

مایکروسافت امنیت ویندوز مبتنی بر هوش مصنوعی را گسترش می‌دهد.

همکاری
1405/04/21 - 17:09- هوش مصنوعي

همکاری مراکش و فرانسه در زمینه حاکمیت هوش مصنوعی

مراکش از طریق همکاری با فرانسه در ژنو از حاکمیت هوش مصنوعی انسان‌محور حمایت خواهد کرد.