أمس، الباحث الأمني جوناثان هول، من شركة تدعى مستقبل جنوب تكنولوجيز، واتهمت شركة ياهو بعد أن تعرضت لاختراق أمني خطير اكتشفت مؤخرا الضعف Shellshock في باش.
في بلوق وظيفة، بعنوان "ياهو! ! Shellshocked " ، تزخرت علامات التعجب على غرار ياهو، اتهم قاعة الشركة من الإهمال الجسيم:
ياهو قد اخترق، وجميع المعلومات الخاصة بك معهم الآن في خطر! جميع النابعة منها لا مواكبة التكنولوجيا وفشلها في تصحيح الضعف المعروفة العالم!هذا الخرق يؤثر علينا جميعا بطريقة أو بأخرى، وأنه من الأهمية بمكان أن يتم حل هذه المشكلة مع التسرع. تولى مكتب التحقيقات الفدرالي المعلومات أسفل وذهبت في طريقها. ولم يرد ياهو على الإطلاق. لقد حاولت الكتابة لهم، وندعو لهم، ولجأت إلى الاتصال ماريسا ماير مباشرة عن طريق البريد الإلكتروني وتويتر على حد سواء، لا إلى التي تلقيتها ردا اعتبارا من بعد. وتجاهل هذه القضية هو إهمال جسيم وحتى إجرامي تقريبا.
التي تبدو مقلقة جدا. بعد كل شيء، وياهو لديها مئات الملايين من المستخدمين التي يمكن أن تتأثر.
وكما يعبر الباحث جوناثان هول بوضوح، فهو أقل من أعجب استجابة عملاق الإنترنت - التي تدعي بأنها لم تتحرك بسرعة كافية بعد ان ذكرت الاختراق. وفقا للقاعة، عضو فريق الاستجابة الأمنية ياهو الاستجابة أخيرا إلا بعد أن أرسلت رسالة البريد الإلكتروني مباشرة إلى الرئيس التنفيذي ماريسا ماير (الذي كان نسخة طبق الأصل منها مفيد لفرع نيو اورليانز من FBI):
هذا، وحقيقة أنه في العام الماضي، مكافأة ياهو الباحثون في شركة أمنية مع ياهو تي شيرت بعد أن وجدوا البرمجة عبر الموقع (XSS) الأخطاء التي يمكن أن تضر * أي * yahoo.com حساب البريد الإلكتروني لا يساعد على إثبات وفيرما التزام مع الأمن.
لأسباب مفهومة، وكان ياهو حريصة على معالجة المطالبات جوناثان هول قبل المستخدمين بالذعر من المطالبات أن "جميع المعلومات الخاصة بك معهم هي الآن في خطر".
في بيان نشر على الإنترنت من قبل ياهو CISO اليكس ستاموس، وقالت الشركة أن في وقت مبكر يوم الاثنين انها حددت عدة الملقمات التي أبلغت كانت عرضة للتنازل عن طريق الخطأ Shellshock باش.
ومع ذلك، قالت الشركة، على الرغم من أن "حفنة من الخوادم" تأثرت ثغرة أمنية - والشيفرات الخبيثة تشغيل عليها - أنها "كانت في الواقع لا تتأثر Shellshock".
ثلاثة من الرياضة خوادم API لدينا كان الشيفرات الخبيثة المنفذة عليها في نهاية هذا الاسبوع من قبل المهاجمين تبحث عن خوادم Shellshock الضعيفة. وكان هؤلاء المهاجمين على استغلال تحور، على الأرجح بهدف تجاوز IDS / IDP أو مرشحات WAF. حدثت هذه الطفرة لتناسب بالضبط خلل حقن الأوامر في البرنامج النصي مراقبة الرياضة لدينا فريق كان يستخدم في تلك اللحظة لتحليل وتصحيح سجلات الويب الخاصة بهم.بغض النظر عن السبب بالطبع عملنا لا يزال هو نفسه: لعزل الخوادم في خطر وحماية بيانات مستخدمينا. وتستخدم خوادم API المتضررة لتوفير بيانات حية لعبة الجري على الرياضة لدينا الأمامية ولا تخزن بيانات المستخدم. في هذا الوقت وجدنا أي دليل على أن المهاجمين خطر أي أجهزة أخرى أو أن أي بيانات المستخدم تأثر. كان هذا عيب معين لعدد قليل من الآلات وتم إصلاح، وأضفنا هذا النمط لدينا الماسحات الضوئية قانون CI / CD للقبض على القضايا المستقبلية.كما يمكنك أن تتخيل تسببت هذه الحلقة بعض الارتباك في فريقنا، منذ الملقمات في السؤال قد مصححة بنجاح (مرتين!) فورا بعد أن أصبحت قضية باش العامة. بمجرد أن ضمنت أن الملقمات أثرت تم عزل من الشبكة، وأجرينا أثر شامل للشفرة الهجوم من خلال كومة بأكمله الذي كشف عن السبب الجذري: لا Shellshock. تدع هذا يكون درسا للمدافعين والمهاجمين على حد سواء: لمجرد استغلال أعمال رمز لا يعني أنه تسبب في خلل هو متوقع!
الأهم من ذلك، بالنسبة للملايين من مستخدمي ياهو، وجدت الشركة أي دليل على أن بيانات المستخدمين قد تأثرت وأن خوادم المعنية لم تقم بتخزين بيانات المستخدم.
ذهب ياهو اليكس تايمز فى لتذكير الباحثين أن أفضل طريقة للاتصال الشركة يجب أن لا تحتاج إلى أن تكون من خلال إسقاط الرئيس التنفيذي خط، ولكن بدلا من ذلك إلى الزيارة التي قامت بها صفحة ويب علة باونتي أو البريد الإلكتروني security@yahoo.com .
لما يستحق، أدرك ياهو العام الماضي أنه أخطأ بمجرد تقدم مجانا تي شيرت لأولئك الذين كشف الثغرات الأمنية.
كان شخص واحد الذي لم بالاطمئنان استجابة ياهو CISO، وربما لا يثير الدهشة، الباحث الذي نبهت لهم خرق في المقام الأول.
في آخر لمتابعة الموقع مستقبل الجنوب، وادعى جوناثان هول هذا التحليل ياهو القضية ليس معنى كبير ، ولم تخطر على كلماته عندما وصف شعوره ياهو تم التعامل مع المشكلة:
عند هذه النقطة، وأنا غير مقتنع يرد المشكلة، كما أنني مقتنع المستخدمين بيانات غير آمنة ... وأنا خارج الشقة متهما ستاموس، وياهو، كونها غير شريفة وغير دقيقة في تقاريرها من هذا الخرق، فضلا كما الإهمال الفادح للمستخدمين والمساهمين من خلال تسريب معلومات غير دقيقة ومضللة. يا رفاق قد ترغب في المضي قدما وسحب ملابسك حتى الآن.
للأسف للقاعة، أية مخاوف خطيرة أثارتها الاكتشافات تعرض له وربما طغت بالمناسبة عاطفي الذي يعرب فيه عن لهم. وهناك حالة من الغضب يغرق كثيرا من العلم، في رأيي.
ياهو، ومع ذلك، يبدو على ثقة من أن مستخدميها لا يملكون أي شيء للخوف. في بيان إضافي حاولت الشركة لطمأنة مستخدميها:
"بعد التحقيق في الوضع بالكامل، اتضح أن الملقمات كانت في الواقع لا تتأثر مباشرة Shellshock، ولكن بسبب خطأ بسيط في السيناريو الاعراب ... وبعد تحقيق شامل، وجدنا أي دليل على أن معلومات المستخدم تأثر من هذا الحادث ".
من جانب الطريق، وفقا للباحث، لم يكن مجرد ياهو التي كانت تعاني نتيجة لعلة Shellshock باش. ويدعي لايكوس و برنامج لضغط الملفاتكما تم المساس بها.
0 التعليقات