فیسبوک به عنوان بزرگترین شبکهی اجتماعی مجازی جهان، همیشه در معرض خطر نفوذ توسط هکرها بوده است. به همین دلیل، این شرکت در برنامههای مختلفی، جوایزی برای هکرهایی که بتوانند باگهای امنیتی سیستمهایش را کشف کنند، در نظر میگیرد. هکری به نام اورنج تسای (Orange Tsai) به تازگی خبری جالب و البته نگرانکننده در مورد کشف حفرههای امنیتی فیسبوک منتشر کرده که نشان میدهد حسابهای کارمندان این شرکت در معرض نفوذ جدی قرار داشته است.
تسای در پست وبلاگی خود عنوان کرده که در خلال برنامههایش برای کشف باگهای امنیتی و کسب جایزهی فیسبوک به این نکته پی برده است که هکری دیگر در حدود ۸ ماه در سرورهای این شرکت نفوذ داشته و اطلاعات کاربری بسیاری از کارمندان این شرکت را جمعآوری کرده است.
تسای در ادامه توضیح میدهد که با استفاده از گوگل و اطلاعاتی که در اینترنت پیدا کرده است، توانسته یکی از دامنههای شبکهی داخلی فیسبوک با آدرس tfbnw.net که مخفف The Facebook Network است را شناسایی کند. او از طریق این دامنه توانسته است ۵ سرور دیگر فیسبوک را شناسایی کند. یکی از این سرورها در دامنهی files.fb.com قرار داشته که تسای مطمئن بوده مربوط به سرویس اشتراک امن فایل شرکت Accellion است. او با استفاده از روش هک سادهی SQL injection هفت حفرهی امنیتی در این سرویس پیدا کرده و طبق وظیفهی اخلاقیاش به فیسبوک و تیم پشتیبانی Accellion اطلاع داده است. تسای با استفاده از یکی از این حفرههای امنیتی وارد این سرور شده و کنترل ماشین را در دست گرفته است. البته شرکت Accellion نیز پس از اطلاع از این حفرهها سریعا پچ امنیتی مورد نظر را برای رفع آنها در اختیار کاربران قرار داده است.
داشتن چنین حفرههای امنیتی برای فیسبوک که سرورهایش مملو از اطلاعات شخصی افراد است، بسیار خطرناک است. اطلاعات موجود در سرورهای فیسبوک آن قدر گسترده هستند که میتوان آنها را غیر قابل تصور نامید. اما این حفرههای امنیت پایان کار نبودند. تسای در ادامهی بررسیهایش برای گردآوری مدارک به منظور ارائه به فیسبوک، اصطلاحا یک Backdoor پیدا میکند و به این نکته پی میبرد که هکر دیگری از این قسمت به سرورها نفوذ کرده است. هکر مورد نظر پس از نفوذ به سرور، یک کیلاگر (Keylogger) بر روی آن نصب کرده است. کیلاگر نوعی برنامهی مخرب است که دکمههای فشرده شده روی کیبورد کاربر را در فایلی ذخیره میکند. طبق گزارش تسای این هکر ناشناس تمامی این اطلاعات ذخیره شده را در مسیری در سرور ذخیره میکرده که فقط خودش به آنها دسترسی داشته است.
این هکر ناشناس در مدت زمان مشخصی کنترل کامل سرور را به دست داشته است. این قسمت از گزارش تسای باعث شده تا بسیاری از کارشناسان امنیت به این عبارت اشاره کنند که فیسبوک به طور کامل تحت کنترل هکر درآمده است.
اما پاسخ فیسبوک چند روز بعد از انتشار پست تسای منتشر شد. زمانی که بحثها در مورد مشکلی که تسای عنوان کرده بود زیاد شد، یکی از کارمندان بخش امنیت فیسبوک Reginaldo Silva در مطلبی عنوان کرد که این Backdoor کشف شده توسط تسای، توسط یکی دیگر از محققانی که مانند او به دنبال حفرههای امنیتی برای دریافت جایزه بودهاند، باز گذاشته شده است. او در ادامه به این نکته اشاره میکند که این سرور به طور کاملا مجزا از سرورهای اصلی که حاوی اطلاعات کاربران هستند کار میکرده است. بعلاوه او از این اتفاق به عنوان یک پیروزی برای فیسبوک یاد میکند. طبق گفتهی سیلوا، این که دو محقق بتوانند یک حفرهی امنیتی را کشف کنند و هیچکدام نتوانند فرآیند نفوذ را تشدید کنند، نکتهی مثبتی برای امنیت فیسبوک است.
او در ادامه میگوید هکر دیگری توانسته به مدت حدود یک سال به اطلاعات کاربری بیش از ۳۰۰ کارمند فیسبوک دسترسی داشته باشد، اما نتوانسته حملهی خود را تشدید کند. حتی اگر صحبتهای سیلوا در مورد جدا بودن سرور مورد نظر از ساختار کلی فیسبوک صحیح باشد، این نکته که این هکر توانسته باشد با استفاده از رمزهای عبور کارمندان به اطلاعات بیشتری دسترسی پیدا کند، برای بسیاری نگرانکننده است.
نکتهی دیگر این که جمعآوری اطلاعات ورود کاربران و کارمندان، جزو فعالیتهایی است که فیسبوک به شرکتکنندگان در برنامهی جایزهی امنیت اجازهی آن را نمیدهد. این بدان معناست که هکر ناشناس به دنبال کشف باگ و گرفتن جایزه نبوده است. بعلاوه صحبتهای سیلوا نیز به عنوان یک کارمند فیسبوک (طبق قوانین نیروی انسانی فیسبوک) قابل استناد نیست.
جایزهی بیارزش
نکتهی قابل توجه دیگر این است که جایزهای که فیسبوک به تسای پرداخت کرد، تنها ۱۰ هزار دلار بود. بسیاری از کارشناسان که گزارش تسای در مورد این اتفاق را مطالعه کردهاند، بر این باورند که این مبلغ در برابر کشف بزرگ این هکر محقق بسیار ناچیز بوده است. فیسبوک برای هکری که توانسته بود باگ امنیتی سادهتری را کشف کند، جایزهی بیشتری در نظر گرفته بود. آناند پراکاش (Anand Prakash) به این نکته پی برده بود که هر فردی میتواند با حملات مختلف و استفاده از بخش فراموشی رمز عبور در اپلیکیشن و وبسایتهای تست اپلیکیشن فیسبوک، حسابهای کاربری افراد را هک کند. او برای این کشف جایزهی ۱۵ هزار دلاری دریافت کرده بود در حالی که تسای توانسته بود به یکی از سرورهای مهم نفوذ کند و حتی کنترل سرور را در دست بگیرد و نفوذ هکری دیگر را گزارش کند و تنها ۱۰ هزار دلار جایزه دریافت کرد.
این اولین بار نیست که جایزهی نفوذ و کشف باگ، تیم امنیتی فیسبوک را به خطر میاندازد. البته این تیم همیشه بازخوردهای نسبتا نامناسبی نسبت به این گزارشها داشتهاند. سال گذشته هکری به نام وزلی واینبرگ (Wesley Wineberg) توانسته بود در خلال تحقیقاتش به این نکته پی ببرد که از طریق فیسبوک میتواند به ایسنتاگرام نیز نفوذ کند. او با ادامه دادن حملاتش توانست به بسیاری از اطلاعات حیاتی (حتی سورسکدها) دسترسی پیدا کند. اما تیم امنیتی فیسبوک تنها ۲۵۰۰ دلار به او جایزه داد و مدیر تیم امنیتی، به جای این که با واینبرگ ارتباط برقرار کند و در مورد نحوهی نفوذ و سری باگهایی که او پیدا کرده بود صحبت کند، تنها دستور شکایتهای قانونی علیه وی را داده بود. این حرکت او دیدی بسیار بد از فیسبوک در بین هکرها ایجاد کرد و آنها امنیت خود را در خلال برنامههای جایزهی امنیت فیسبوک، در خطر میبینند.
به هر حال اتفاقی که تسای گزارش کرده است، در دنیای هکرها اصلا اتفاق کوچکی نیست و نشان میدهد که تیم امنیتی فیسبوک اصلا درسهای مناسبی از گزارش سال گذشتهی واینبرگ نگرفته است. به هر حال به نظر میرسد تیم امنیتی این شرکت بزرگ باید تغییرات اساسی در سیاستهایش و برخورد با محققانی که به آنها کمک میکنند داشته باشد.