فیس بوک را چه کسی هک کرد؟

همه ی ما فیس بوک را میشناسیم سایتی اجتماعی که اطلاعات بسیاری از کاربران در آن قرار دارد و خطر هک از گزشته برای آن و کاربران وجود داشته. حال سوالی کع برای ما پیش می آید این است که آیا این سایت تا کنون هک شده یا خیر؟؟

هکری به نام اورنج تسای (Orange Tsai) به تازگی خبری جالب و البته نگران‌کننده در مورد کشف حفره‌های امنیتی فیسبوک منتشر کرده که نشان می‌دهد حساب‌های کارمندان این شرکت در معرض نفوذ جدی قرار داشته است.

تسای در پست وبلاگی خود عنوان کرده که در خلال برنامه‌هایش برای کشف باگ‌های امنیتی و کسب جایزه‌ی فیسبوک به این نکته پی برده است که هکری دیگر در حدود ۸ ماه در سرورهای این شرکت نفوذ داشته و اطلاعات کاربری بسیاری از کارمندان این شرکت را جمع‌آوری کرده است.

تسای در ادامه توضیح می‌دهد که با استفاده از گوگل و اطلاعاتی که در اینترنت پیدا کرده است، توانسته یکی از دامنه‌های شبکه‌ی داخلی فیسبوک با آدرس tfbnw.net که مخفف The Facebook Network است را شناسایی کند. او از طریق این دامنه توانسته است ۵ سرور دیگر فیسبوک را شناسایی کند. یکی از این سرورها در دامنه‌ی files.fb.com قرار داشته که تسای مطمئن بوده مربوط به سرویس اشتراک امن فایل شرکت Accellion است. او با استفاده از روش هک ساده‌ی SQL injection هفت حفره‌ی امنیتی در این سرویس پیدا کرده و طبق وظیفه‌ی اخلاقی‌اش به فیسبوک و تیم پشتیبانی Accellion اطلاع داده است. تسای با استفاده از یکی از این حفره‌های امنیتی وارد این سرور شده و کنترل ماشین را در دست گرفته است. البته شرکت Accellion نیز پس از اطلاع از این حفره‌ها سریعا پچ امنیتی مورد نظر را برای رفع آنها در اختیار کاربران قرار داده است.

جایزه‌ی بی‌ارزش

نکته‌ی قابل توجه دیگر این است که جایزه‌ای که فیسبوک به تسای پرداخت کرد، تنها ۱۰ هزار دلار بود. بسیاری از کارشناسان که گزارش تسای در مورد این اتفاق را مطالعه کرده‌اند، بر این باورند که این مبلغ در برابر کشف بزرگ این هکر محقق بسیار ناچیز بوده است. فیسبوک برای هکری که توانسته بود باگ امنیتی ساده‌تری را کشف کند، جایزه‌ی بیشتری در نظر گرفته بود. آناند پراکاش (Anand Prakash) به این نکته پی برده بود که هر فردی می‌تواند با حملات مختلف و استفاده از بخش فراموشی رمز عبور در اپلیکیشن و وبسایت‌های تست اپلیکیشن فیسبوک، حساب‌های کاربری افراد را هک کند. او برای این کشف جایزه‌ی ۱۵ هزار دلاری دریافت کرده بود در حالی که تسای توانسته بود به یکی از سرورهای مهم نفوذ کند و حتی کنترل سرور را در دست بگیرد و نفوذ هکری دیگر را گزارش کند و تنها ۱۰ هزار دلار جایزه دریافت کرد.

این اولین بار نیست که جایزه‌ی نفوذ و کشف باگ، تیم امنیتی فیسبوک را به خطر می‌اندازد. البته این تیم همیشه بازخوردهای نسبتا نامناسبی نسبت به این گزارش‌ها داشته‌اند. سال گذشته هکری به نام وزلی واینبرگ (Wesley Wineberg) توانسته بود در خلال تحقیقاتش به این نکته پی ببرد که از طریق فیسبوک می‌تواند به ایسنتاگرام نیز نفوذ کند. او با ادامه دادن حملاتش توانست به بسیاری از اطلاعات حیاتی (حتی سورس‌کدها) دسترسی پیدا کند. اما تیم امنیتی فیسبوک تنها ۲۵۰۰ دلار به او جایزه داد و مدیر تیم امنیتی، به جای این که با واینبرگ ارتباط برقرار کند و در مورد نحوه‌ی نفوذ و سری باگ‌هایی که او پیدا کرده بود صحبت کند، تنها دستور شکایت‌های قانونی علیه وی را داده بود. این حرکت او دیدی بسیار بد از فیسبوک در بین هکرها ایجاد کرد و آنها امنیت خود را در خلال برنامه‌های جایزه‌ی امنیت فیسبوک، در خطر می‌بینند.

به هر حال اتفاقی که تسای گزارش کرده است، در دنیای هکرها اصلا اتفاق کوچکی نیست و نشان می‌دهد که تیم امنیتی فیسبوک اصلا درس‌های مناسبی از گزارش سال گذشته‌ی واینبرگ نگرفته است. به هر حال به نظر می‌رسد تیم امنیتی این شرکت بزرگ باید تغییرات اساسی در سیاست‌هایش و برخورد با محققانی که به آنها کمک می‌کنند داشته باشد.