هک فیسبوک: داستان اورنج تسای و حفره‌های امنیتی

فیس‌بوک به عنوان یکی از بزرگ‌ترین شبکه‌های اجتماعی جهان، میزبان میلیاردها حساب کاربری و حجم عظیمی از اطلاعات شخصی کاربران است. همین امر این پلتفرم را به یکی از اهداف جذاب برای هکرها در سراسر جهان تبدیل کرده است. با وجود تلاش‌های گسترده تیم امنیتی این شرکت، تاریخچه نشان می‌دهد که حتی غول‌های فناوری نیز در برابر حملات سایبری مصون نیستند. سوالی که در اینجا مطرح می‌شود این است که آیا فیسبوک تا به حال هک شده است؟

در پاسخ باید گفت که بله، فیسبوک بارها با چالش‌های امنیتی جدی روبرو شده است. یکی از جالب‌ترین و البته نگران‌کننده‌ترین این موارد، توسط یک محقق امنیتی به نام اورنج تسای (Orange Tsai) کشف و افشا شد. این ماجرا نه تنها یک حفره امنیتی مهم را برملا کرد، بلکه نحوه برخورد فیسبوک با محققان امنیتی را نیز زیر سوال برد.

کشف یک حفره امنیتی بزرگ توسط اورنج تسای

اورنج تسای، یک هکر اخلاقی و محقق امنیتی که در برنامه‌های پاداش باگ (Bug Bounty) شرکت‌های بزرگ فعالیت می‌کند، در تحقیقات خود به کشفی شگفت‌انگیز رسید. او متوجه شد که یک هکر ناشناس به مدت حدود ۸ ماه بدون آنکه کسی متوجه شود، در سرورهای داخلی فیسبوک حضور داشته و اطلاعات حساس کارمندان این شرکت را جمع‌آوری می‌کرده است. این موضوع نشان‌دهنده یک شکاف امنیتی عمیق بود که می‌توانست فاجعه‌بار باشد.

تسای در پست وبلاگی خود جزئیات این نفوذ را تشریح کرد. او در حین تلاش برای کشف باگ‌های امنیتی و کسب جایزه از فیسبوک، به ردپاهای این هکر دیگر برخورد. این اتفاق اهمیت برنامه‌های باگ بانتی را دوچندان می‌کند، زیرا گاهی اوقات یک محقق در مسیر کشف یک مشکل، به یک مشکل بزرگ‌تر و خطرناک‌تر نیز پی می‌برد.

چگونه یک هکر اخلاقی به شبکه داخلی فیسبوک نفوذ کرد؟

روش کار اورنج تسای برای ورود به شبکه داخلی فیسبوک، ترکیبی از هوشمندی و تکنیک‌های هک استاندارد بود. او مراحل زیر را طی کرد تا به یکی از سرورهای حیاتی این شرکت دسترسی پیدا کند:

• شناسایی دامنه داخلی: تسای با استفاده از جستجوهای هوشمندانه در گوگل، موفق به شناسایی یکی از دامنه‌های شبکه داخلی فیسبوک با آدرس tfbnw.net شد. این دامنه مخفف "The Facebook Network" است و برای استفاده‌های داخلی شرکت طراحی شده بود.
• کشف سرورهای دیگر: از طریق این دامنه، او توانست ۵ سرور مهم دیگر متعلق به فیسبوک را شناسایی کند. یکی از این سرورها که بسیار حیاتی بود، در دامنه files.fb.com قرار داشت.
• شناسایی نرم‌افزار سرویس‌دهنده: تسای متوجه شد که سرور files.fb.com توسط نرم‌افزار اشتراک‌گذاری فایل شرکت Accellion مدیریت می‌شود. این نقطه شروع حمله او بود.
• استفاده از تزریق SQL: او با استفاده از یک روش شناخته‌شده به نام SQL Injection (تزریق کدهای مخرب به پایگاه داده)، توانست هفت حفره امنیتی مختلف در این سرویس پیدا کند. این روش به هکر اجازه می‌دهد تا دستورات خود را به پایگاه داده سرور تزریق کرده و اطلاعات حساس را استخراج یا کنترل سرور را به دست بگیرد.
• گزارش مسئولانه: پس از کشف این حفره‌ها، تسای بر اساس وظیفه اخلاقی خود، فوراً این موضوع را به تیم امنیتی فیسبوک و همچنین شرکت Accellion گزارش داد. شرکت Accellion نیز به سرعت پچ‌های امنیتی لازم را برای رفع این مشکلات منتشر کرد.

جایزه‌های امنیتی فیسبوک: عدالت یا بی‌توجهی؟

نکته قابل توجه در این ماجرا، مبلغ جایزه‌ای بود که فیسبوک به اورنج تسای پرداخت کرد. با توجه به اهمیت و خطرناک بودن حفره امنیتی کشف‌شده، مبلغ ۱۰ هزار دلار که به او پرداخت شد، در نگاه بسیاری از کارشناسان امنیتی بسیار ناچیز بود. این موضوع بحث‌های زیادی را در مورد سیاست‌های پرداخت جایزه فیسبوک به راه انداخت.

مقایسه جایزه اورنج تسای و آناند پراکاش

برای درک بهتر موضوع، می‌توان جایزه تسای را با جایزه محقق دیگر به نام آناند پراکاش (Anand Prakash) مقایسه کرد. پراکاش باگ امنیتی را در بخش «فراموشی رمز عبور» فیسبوک کشف کرده بود که به هکرها اجازه می‌داد حساب کاربری هر فردی را تصاحب کنند. فیسبوک برای این کشف مبلغ ۱۵ هزار دلار به او جایزه داد. این در حالی است که تسای توانسته بود به یکی از سرورهای داخلی نفوذ کرده و کنترل آن را در دست بگیرد و همچنین وجود یک هکر دیگر را افشا کند، اما جایزه کمتری دریافت نمود.

پرونده وزلی واینبرگ: یک برخورد اشتباه

این اولین باری نبود که برخورد تیم امنیتی فیسبوک با محققان مورد انتقاد قرار می‌گرفت. در سال قبل از این اتفاق، هکری به نام وزلی واینبرگ (Wesley Wineberg) توانسته بود از طریق یک آسیب‌پذیری در فیسبوک به اطلاعات حیاتی و حتی سورس‌کدهای اینستاگرام دسترسی پیدا کند. با این حال، فیسبوک به او تنها مبلغ ۲۵۰۰ دلار جایزه داد و به جای همکاری، مدیر تیم امنیتی دستور اقدامات قانونی علیه وی را صادر کرد. این رویکرد باعث ایجاد دیدی منفی نسبت به برنامه جایزه امنیتی فیسبوک در جامعه هکرهای اخلاقی شد.

درس‌هایی از این ماجرا برای آینده سایبری

اتفاقی که اورنج تسای گزارش کرد، یک زنگ خطر جدی برای تمام شرکت‌های بزرگ فناوری است. این ماجرا نشان داد که تیم‌های امنیتی باید نگرش خود را در برخورد با محققانی که به صورت داوطلبانه به آنها کمک می‌کنند، بازنگری کنند. پرداخت جایزه‌های عادلانه و برخورد محترمانه نه تنها یک وظیفه اخلاقی، بلکه یک استراتژی هوشمندانه برای حفظ امنیت در بلندمدت است.

کاربران عادی نیز می‌توانند از این داستان درس‌هایی بگیرند. همیشه فعال بودن احراز هویت دو مرحله‌ای (2FA)، استفاده از رمزهای عبور قوی و منحصر به فرد و آگاهی از روش‌های کلاهبرداری، بهترین راه برای حفظ امنیت حساب‌های کاربری در برابر تهدیدات احتمالی است.

در نهایت، این داستا نشان می‌دهد که امنیت یک مسابقه دائمی است و حتی قوی‌ترین دیوارهای دفاعی نیز ممکن است نقاط ضعفی داشته باشند که نیازمند توجه و همکاری مستمر جامعه امنیت سایبری هستند.