چرا فیسبوک پسوردهای دزدی را میخرد؟
آیتیایران: روز گذشته اعلام شد که فیسبوک قصد دارد پسوردهای هک شده را از بازار سیاه خریداری کند؛ اما دلیل اصلی این کار چیست؟ الکس استاموس(مدیر امنیتی فیسبوک) در نشست روز چهارشنبه در لیسبون گفت: فیسبوک بهدنبال خریداری پسوردهای فروخته شده در بازار سیاه آنلاین است. با خرید این اطلاعات از کلاهبرداران میتوان پسوردهای سرقت شده را که کاربرانش دوباره از آنها استفاده میکنند، از دسترس خارج کرد.
بنا به گزارشها، فیسبوک در حال بررسی متقابل پسوردهای خریداری شده و پسوردهای مختلف کاربران است که شاید از این طریق بتواند به نمونه مشابهی برخورد کند.
آیتیایران: روز گذشته اعلام شد که فیسبوک قصد دارد پسوردهای هک شده را از بازار سیاه خریداری کند؛ اما دلیل اصلی این کار چیست؟ الکس استاموس(مدیر امنیتی فیسبوک) در نشست روز چهارشنبه در لیسبون گفت: فیسبوک بهدنبال خریداری پسوردهای فروخته شده در بازار سیاه آنلاین است. با خرید این اطلاعات از کلاهبرداران میتوان پسوردهای سرقت شده را که کاربرانش دوباره از آنها استفاده میکنند، از دسترس خارج کرد.
بنا به گزارشها، فیسبوک در حال بررسی متقابل پسوردهای خریداری شده و پسوردهای مختلف کاربران است که شاید از این طریق بتواند به نمونه مشابهی برخورد کند. استاموس گفت این کار از نظر محاسباتی بسیار سنگین است؛ اما موجب هشدار به دهها میلیون کاربر فیسبوک به منظور تقویت پسوردشان میشود. قبل از این میدانستیم که فیسبوک اطلاعات کاربر را در مقابل انباری از پسوردهای سرقت شده آنلاین بررسی میکند. این قضیه در سال ۲۰۱۳ و پس از رخنه در شرکت «Adobe» آشکار شد، زمانی که تیم امنیتی فیسبوک در حال بررسی اطلاعات لو رفته بهمنظور یافتن کاربری بود که مرتکب گناه کبیره امنیتی یعنی استفاده از پسورد یکسان برای ورود به «Adobe» و فیسبوک شده بود. فیسبوک به محض اینکه موارد مشابه را پیدا میکند، کاربران را مخفی میکند و اکانتها را از دسترس عموم خارج میکند و تا زمانی که صاحبان اکانت پسوردشان را تغییر نمیدادند این کار را ادامه میداد.
در همین حال بسیاری در شگفت بودند که فیسبوک چگونه قادر است کسانی را که از پسورد مشابه در اکانتهای مختلف استفاده میکنند، شناسایی کند آن هم بدون داشتن حروف و اعداد پسوردها یا شکل رمزگذاری شده (Hashing) آنها چگونه میتواند این موضوع را تشخیص دهد. دیگران هم ممکن است این سوال را در مورد پسوردهای خریداری شده از بازار سیاه داشته باشند. آنچه را که درباره موضوع شرکت «Adobe» در سال ۲۰۱۳ گفتیم دوباره بازگو میکنیم: فیسبوک نیازی به بررسی اطلاعات بهصورت محافظتی و نظارتی ندارد. کریس لانگ، یکی از مدیران امنیتی فیسبوک به این شکل توضیح داد: ما پسوردهای متنی را که قبل از آن از سوی محققان یافت شده بودند، مورد استفاده قرار دادیم. ما پسوردهای متنی بازیابی شده را درون همان کدی قرار دادیم که برای چک کردن پسورد شما هنگام ورود استفاده میکنیم. به بیان واضحتر فیسبوک پسورد کاربران را در اختیار ندارد. بهجای این کار پسوردها را هنگام ثبت نام کاربران از درون «سیستم یک طرفه رمزگذاری» ( one-way hashing function) پسوردها عبور میدهد و نتایج بهدست آمده را نزد خود نگه میدارد. البته این سیستم یک طرفه است و پسوردهای رمزگذاریشده را نمیتوان به پسورد اولیه تبدیل کرد.
وقتی کاربر وارد فیسبوک میشود با پسوردی که میزند وارد این سیستم میشود، اگر پسورد وارد شده با همان کد رمزدار شده که فیسبوک در اختیار دارد همخوانی داشته باشد، کاربر وارد اکانت خواهد شد. فیسبوک از همین پروسه برای پسوردهای بهدست آمده از اطلاعات شرکت «Adobe» استفاده کرد. برای پسوردهای خریداری شده از بازار سیاه هم به همین شکل عمل کرده است. اگر پسورد خریداریشده از بازار سیاه یا پسورد به دست آمده از شرکت «Adobe» بعد از عبور از سیستم رمزگذاری نتیجهای مشابه با پسورد رمزشده کاربران در فیسبوک داشته باشد، فیسبوک متوجه استفاده مجدد از همان پسوردی میشود که از دزدان خریده است. با اینکه میدانستیم فیسبوک از کاربرانش محافظت میکند؛ اما نمیدانستیم که به کلاهبرداران پول پرداخت میکند تا این کار را برایش انجام دهند. بد نیست کمی در باره این فکر کنیم که به چه روشهای دیگری فیسبوک میتواند به پسوردها دسترسی پیدا کند؟ همواره این سوال وجود دارد که آیا جلوگیری و محافظت از پسوردها این حق را به آنها میدهد که به کلاهبرداران سایبری پول پرداخت کنند؟
میتوان این مساله را با پرداخت به نرمافزارهای باجگیرنده مقایسه کرد که قانون قاطعانه در مورد آن برای نجات قربانیان از این سیستم صحبت کرده است. در حقیقت جولای امسال پلیس آلمان و اروپا پرتالی را با نام «باجگیری کافی است» راهاندازی کردند، با این هدف که به قربانیان کمک کنند بدون پرداخت باج به کلاهبرداران، اطلاعات خود را بازیابی کنند. درحالی که کلاهبرداران پس از دریافت پولهای هنگفت در چند نوبت، فایلها را بازگردانی میکردند. نظر این مراجع قانونی در مورد پولی که فیسبوک در جیب این کلاهبرداران میریزد، چیست؟ با این عقیده که فیسبوک به منظور محافظت از کاربرانش در مقابل این تهدیدها این پولها را پرداخت میکند چه فکری در این زمینه باید کرد؟
ارسال نظر