افشای کلمه عبور ایمیل‌های یاهو توسط حفره امنیتیHeartbleed

به عنوان مثال شاید در خبرها با این موضوع برخورد داشته باشید که هکری ادعا کند با کمک یک آسیب پذیری به صدها بلکه هزاران کلمه عبور ایمیل یاهو دست پیدا کرده است.

از این رو آسیب پذیری مهم و جدیدی با نام Heartbleed کشف شده است که یکی از اهداف آن دستیابی به کلمات عبور کاربران و فریب  مردم در استفاده از نسخه‌های جعلی وب سایت می‌باشد. برخی در حال حاضر می‌گویند که دستیابی به کلمات عبور یاهو نتیجه چنین حملاتی است.

این مشکل امنیتی که در دوشنبه شب (9/4/2014) سر وصدای زیادی را در جهان اینترنت به پا کرده است، مربوط به نرم افزار منبع باز با نام OpenSSL است که به طور گسترده ای برای رمزگذاری ارتباطات وب سایت مورد استفاده قرار می‌گیرد. Heartbleed می‌تواند به راحتی به محتویات حافظه سرور، یعنی حساس‌ترین داده‌های ذخیره شده ، دست یابد. که شامل اطلاعات خصوصی مانند نام‌های کاربری، کلمات عبور و شماره کارت‌های اعتباری می‌باشد. این موضوع همچنین به معنای اینست که یک مهاجم می‌تواند یک کپی از کلید‌های دیجیتال سرور را جمع آوری کرده و سپس با استفاده از آنها در جعل هویت سرویس دهنده و یا برای رمزگشایی ارتباطات گذشته و آینده بپردازد.

آسیب پذیری‌های امنیتی می‌آیند و می‌روند، اما این یکی بسیار جدی است. این موضوع نه تنها نیاز به تغییر قابل توجهی در وب سایت‌ها دارد، بلکه نیازمند آنست که هر کسی کلمات عبور خود را تغییر دهد تا از خطرات ناشی از این حمله در امان بماند. این روزها قسمتی از زندگی بیشتر مردم چرخ زدن در دنیای آنلاین و دیجیتالی می‌باشد و از سایتی به سایت دیگر وبگردی می‌کنند، اما اکثر آنها به نکات امنیتی یا تغییر کلمات عبور خود توجهی نمی‌کنند.

رونالد پرینس از شرکت امنیتی Fox-IT در توییت خود بیان می‌کند " ما از طریق اشکال Heartbleed  قادر به دستیابی کلمات عبور و رمز عبور کاربران در یاهو می‌باشیم ". یکی از برنامه نویسان با نام اسکات گالووی نیز اظهار می‌کند که "خوب، من با اجرای اسکریپت heartbleed  به مدت 5 دقیقه، توانستم در حال حاضر یک لیستی از 200 نام کاربری و کلمه عبور را برای ایمیل یاهو بدست آورم ... به همین سادگی!"

یاهو درست پس از این اظهارات، اعلام داشت که توانسته این آسیب پذیری را در سایت‌های اصلی خود برطرف نماید: " به محض این که ما از این موضوع آگاه شدیم، شروع به کار بر روی این باگ کرده و فورا آنرا برطرف ساختیم. تیم امنیتی ما با موفقیت اصلاحات مناسب را در سراسر سایت‌های اصلی یاهو پیاده سازی کرده است. (از جمله Yahoo Homepage، Yahoo Search، Yahoo Sports، Yahoo Food، Yahoo Tech، Flickr و Tumblr) و در حال کار برای پیاده سازی ثابت در بقیه سایت مان می‌باشیم. ما در حال ارائه تجربات خود به کاربران در سراسر جهان هستیم و به طور مداوم برای محافظت از اطلاعات آنها تلاش می‌کنیم. "

با این حال، یاهو به کاربران در مورد آنچه که باید انجام دهند و یا اینکه این باگ چه تاثیری بر اطلاعات آنها گذاشته سخنی به میان نیاورده است.

توسعه دهنده و مشاور رمزنگاری فیلیپو والسوردا (Filippo Valsorda)، ابزاری را منتشر کرده است که به مردم اجازه می‌دهد تا وب سایت خود را برای آسیب پذیری Heartbleed  بررسی کنند. این ابزار نشان داد که گوگل، مایکروسافت، توییتر، فیس بوک، دراپ باکس و چند وب سایت بزرگ دیگر نیز آن را پذیرفته اند اما یاهو خیر.

آزمون Valsorda  با استفاده از کلماتی همچون " yellow submarine" برای تشخیص  Heartbleedکاربرد دارد.
 
این آسیب پذیری به طور رسمی با نام  CVE-2014-0160مشخص می‌شود اما به صورت غیررسمی با نام Heartbleed شناخته شده است، یک نام پر زرق و برق و پر سروصدا که توسط شرکت امنیتی Codenomicon و به همراه محقق امنیتی گوگل، نیل مهتا کشف شده است.

شرکت Codenomicon بیان می‌کند: " این باگ، کلید‌های مخفی مورد استفاده توسط ارائه دهندگان خدمات، به رمز در آوردن ترافیک، نام و کلمه عبور کاربران و محتوای واقعی آنها را به خطر می‌اندازد ".

برای تست این آسیب پذیری، شرکتCodenomicon  باگ Heartbleed  زا بر روی سرورهای خود استفاده کرد و در بیانیه ای اعلام داشت: " ما این حمله را بدون باقی گذاشتن اثری انجام دادیم و توانستیم به تمامی اطلاعات محرمانه از جمله نام کاربری و کلمات عبور، پیام‌های فوری، ایمیل‌ها و اسناد مهم کسب و کار و ارتباطاتی شرکت خود دست یابیم."

با این حال، آدم لانگلی، یک کارشناس امنیتی گوگل که در رفع این حفره امنیتی OpenSSL  کمک شایانی کرده است، بیان می‌کند که هنگامی که آزمایش OpenSSL  را  پس از رفع آن انجام داده است، هرگز به کلیدهای مخفی سرورها نتوانسته است دست یابد.

این باگ نسخه 1.0.1 و نسخه‌های 1.0.2 بتا از OpenSSL  ، و همچنین نرم افزارهای سروری را که با نسخه‌های لینوکس کار می‌کنند را مبتلا به Heartbleed  کرده اند. OpenSSL نسخه 1.0.1g  را برای رفع این اشکال منتشر کرده است، اما بسیاری از اپراتورهای وب سایت باید برای به روز رسانی این نرم افزار تلاش کنند. علاوه بر این، آنها می‌بایست گواهینامه‌های امنیتی که در حال حاضر ممکن است به خطر بیفتند را لغو کنند.

در هشداری Nginx در توییتر اعلام داشت : "Heartbleed  بسیار گسترده است. OpenSSL خود را بررسی کنید."

OpenSSL یک پیاده سازی از فن آوری رمزنگاری با نام SSL یا TLS  است. این چیزی است که چشم کنجکاو ارتباطات بین مرورگر وب و سرویس دهنده وب را باز نگه می‌دارد. اما در دیگر خدمات آنلاین مانند ایمیل و پیام‌های فوری استفاده می‌شود.

به روزرسانی در ساعت 7:2 صبح : افزودن جزئیات بیشتر در مورد آسیب پذیری Heartbleed  به LastPass  وYahoo
به روزرسانی در ساعت 8:57 صبح : افزودن اطلاعات در مورد کلمات عبور یاهو که به بیرون درز پیدا کرده اند و سایت‌های دیگر که آسیب پذیر می‌باشند.
به روزرسانی در ساعت 10:27 صبح : نظرات یاهو.
به روزرسانی در ساعت 12:18 بعدازظهر : بیانیه یاهو که ویژگیهای اصلی آن به روز شده است. /