نوشته‌ها

مجموعه ۴ مطلب – شماره ۱۷

سلام من بهروزم و با مجموعه ۴ مطلب – شماره ۱۷ در خدمتتون هستم.

این هفته برای مطالعه مقاله وقت بیشتری گذاشتم و در نتیجه دست پر اومدم.

 

۱- گزارش باگ ساده

گزارش باگ در فیسبوک

 

همیشه وقتی حرف از باگ بانتی میشه، به بچه‌ها میگم سقف درآمدی حوزه هک و امنیت تو باگ بانتی خیلی بالاست و میشه درآمدای خیلی عالی داشت.

قشنگ احساس می کنم که یه تعدادیشون پیش خودشون میگن “ای بابا ما که نمی‌تونم آسیب پذیری پیدا کنیم”.

حالا این هفته یه گزارش باگ از فیسبوک رو توضیح میدم که ۵۰۰۰ دلار جایزه داشته، تا ببینید چقدر ساده میشه ضعف امنیتی پیدا کرد.

یه نفر به نام abdellah yaala به فیسبوک پیام داده و این باگ رو گزارش کرده.

حالا آسیب پذیری چی بوده؟ Information disclosure

بله افشای اطلاعات.

الان هنوز هیچی نگفتم پیش خودت نشینی فکر و خیال کنی که افشای اطلاعات محرمانه و خفنی بوده.نه عزیز من.

اگر دقت کرده باشین وقتی حساب فیسبوک داری مدام برات ایمیل‌های  notifications میاد که مثلا فلانی شمارو دنبال کرده و …

ابن بین بعضی مواقع ایمیل میاد که اگر دوست داری می‌تونی این قابلیت رو غیر فعال کنی.

حالا این دوستمون اون ایمیل رو باز کرده و کد html رو نگاه کرده.

یه همچین لینکی رو پیدا کرده :

https://www.facebook.com/o.php?k=AS3fdO_cSPoc5dlMxoE&u=userid&mid=midparameter

بعد متوجه شده اگر ایمیل دیگه‌ای رو داخل اون لینک بزاره، در صورتی که اون ایمیل در فیسبوک حساب داشته باشه به صورت نرمال لینک کارش رو انجام میده ولی اگر اون ایمیل در فیسبوک حساب کاربری نداشته باشه پیغام میاد که :

this page isn’t available

خب! خب همین دیگه.منتظر بقیشی؟؟تموم شد.

۵۰۰۰ دلار بهش دادن چون فیسبوک تایید کرده که این نشت اطلاعات حساب میشه.

پس این تفک که برای باگ بانتی باید معجزه کنی رو از سرت خارج کن. 😉 

 

۲- گزارش باگ ساده + ویدیو ۲ 😀 

از abdellah yaala داره کم کم خوشم میاد 😆 

یه باگ دیگه از فیسبوک ارائه کرده و ۱۰۰۰ دلار گرفته.

روال کار اینطوریه که فیسبوک یه بخشی داره به نام shop.

این دوستمون متوجه شده وقتی یک حساب کاربری بخش shop رو فعال می‌کنه، شخصی دیگه با استفاده از بررسی response خاصی در burp suite می‌تونه ایمیل شخصی اون کاربر رو به دست بیاره.

همین دیگه.بازم به نوعی افشای اطلاعات داره.

حالا هی بگو نمیشه از باگ بانتی پول به دست آورد.

این یکی رو فیلم هم گذاشته که می‌تونید اینجا مشاهده کنید.

 

۳- مراقب باشید

این مورد مربوط به افشای اطلاعات و علم osint میشه.

خیلی چیز پیچیده‌ای نیست پس سعی می‌کنم ساده توضیح بدم که راحت درکش کنید.

ببینید وقتی شما عکس میگیرید، حالا با گوشی یا با دورین فرقی نداره، ممکنه اطلاعات جغرافیایی هم داخل عکس ذخیره بشه.

البته چیزی نیست که روی عکس درج بشه.بلکه با استفاده از یکسری ابزار و وب‌سایت میشه این مورد رو دید.

برای نمونه این سایت : http://metapicz.com

من یک عکس از خودم رو. آپلود می کنم و نتیجه میشه این:

مجموعه 4 مطلب – شماره 17

 

الان تو این مورد خاص جز نوع گوشی اطلاعات مهم دیگه‌ای فاش نمیشه.البته پایین‌تر تاریخ دقیق گرفته شدن عکس هم زده بود(که بیشتر برای تحلیل در پرونده‌های اوسینتی مناسبه).

اما در نظر بگیرید اگر location هم مشخص میشد خیلی جالب نبود.

چون شاید من دوست نداشته باشم، شخصی بفهمه کجا زندگی می‌کنم.

حالا برای این که بیشتر این موضوع رو متوجه بشید این مقاله رو بخونید چون کامل‌تر توضیح داده شده.

 

۴- شاید یک شوخی

حالا که ۳ موضوع اول رو مقاله کار کردیم به نظرم بد نباشه که این مورد رو اختصاص بدیم به ایمیلی که پنجشنبه صبح دریافت کردم.

کار در بلاروس

 

وقتی ایمیل رو دیدم بیشتر به نظرم شوخی اومد تا درخواست!

آخه کجای دنیا وقتی شما سایت شرکت رو هک کنید میگن آفرین عجب پسری!!!بیا شرکت ما کار کن.

تازه اگر اینطوری هم باشه که نیست، شما قراره استخدام بشی نه من.

کاری که از اول بخواد با دروغ شروع بشه رو نمیپسندم حالا هر کاری می‌خواد باشه.

 

آخر هفته خوبی داشته باشید

 

مجموعه ۴ مطلب – شماره ۱۷

 

 

 

 

رسوایی‌های فیس‌بوک همچنان ادامه دارد!

رسوایی‌های فیس‌بوک همچنان ادامه دارد!

متخصصان فعال در حوزه امنیت سایبری در جدیدترین گزارش خود اعلام کرده‌اند که اطلاعات شخصی و حریم خصوصی بیش از ۳ میلیون کاربر فیس‌بوکی که از تست شخصیت myPersonality استفاده کرده‌اند، در معرض خطر قرار دارد و ممکن است آن‌ها با دست خود، پای هکرها و مجرمان سایبری را به اطلاعات شخصی و ذخیره شده رایانه خود باز کرده باشند.

رسوایی‌های فیس‌بوک همچنان ادامه دارد!

این تست شخصیتی و روانشناسانه که به گفته کارشناسان امنیت سایبری، دارای حفره‌های امنیتی و آسیب‌پذیری است به هکرها امکان می‌دهد تا به اطلاعات مورد نظر کاربران از جمله نام، نام خانوداگی، شماره تماس، آدرس ای‌میل و منزل، شماره ملی و غیره دسترسی پیدا کنند.

البته نکته مهم‌تر آن است که اطلاعاتی که کاربران در این تست شخصیتی وارد فیس‌بوک کرده‌اند، خطرناک‌تر از اطلاعات پایه و هویت آن‌هاست چراکه در تست‌های شخصیتی، افراد به بیان نقاط قوت و ضعف خود نیز اذعان می‌کنند و این امر می‌تواند هکرها را در دستیابی به داده‌های موردنظر خود یاری کند.

این در حالیست که هنگام پر کردن و انجام این تست شخصیتی، به کاربران اعلام شده بود که نتایج این تست کاملا محرمانه بوده و تنها در اختیار محققان روانشناس مربوطه قرار خواهد گرفت. اما حالا محققان ادعا کرده‌اند که اطلاعات مربوط به کاربران تنها با یک جست‌وجوی ساده در محیط وب و اینترنت در دسترس همگان قرار خواهد گرفت و هر کسی می تواند این اطلاعات محرمانه و خصوصی را به راحتی دانلود کند.

این نحوه دسترسی و افشای اطلاعات دقیقا ماجرای رسوایی فیس بوک و همکاری با یک نهاد مشاوره دولتی و سیاسی به نام کمبریج انالتیکا را یادرآور می‌شود و نشان می‌دهد که فیس بوک در تعهد خود مبنی بر محافظت از حریم شخصی کاربرانش کوتاهی و سهل‌انگاری‌های فراوانی کرده است.

حدودا دو ماه پیش بود پس از آنکه وب سایت‌ها و رسانه‌های خبری بسیاری گزارش کردند که شبکه اجتماعی فیس‌بوک با یک موسسه تحقیقاتی و مشاوره سیاسی انگلیسی تحت عنوان کمبریج آنالیتیکا در انتشار اطلاعات شخصی و خصوصی کاربرانش همکاری داشته، مردم و منتقدان بسیاری فیس‌بوک را به خیانت در امانت و همکاری با نهادهای دولتی و تحقیقاتی و همچنین نقض حریم شخصی کاربران متهم کردند.

این شبکه اجتماعی به سرعت در آماج حملات شدید کاربران بسیاری در سراسر جهان قرار گرفت، به‌گونه‌ای که تعداد کثیری از شرکت‌ها و افراد معروف به بستن و غیرفعال کردن صفحات مجازی خود در فیس‌بوک اقدام کرده و استفاده از این شبکه اجتماعی را ننگی برای دنیای مجازی توصیف کرده‌اند.

طبق گزارش‌های منتشره، فیس بوک می‌گوید اطلاعات بالغ بر ۸۷ میلیون نفر از کاربرانش به صورت نادرست و ناخودآگاه در اختیار موسسه کمبریج آنالتیکا قرار گرفته است.

پس از انتشار خبر رسوایی فیس بوک و نقض حریم شخصی کاربرانش، افراد مشهور و شرکت‌های کوچک و بزرگ بسیاری اقدام به حذف صفحه کاربری خود در این شبکه اجتماعی کرده‌اند تا بدین ترتیب، اعتراض خود را نسبت به سهل انگاری فیس بوک نشان دهند.

با اینکه فیس بوک در تمامی روزنامه‌ها و شبکه‌های اجتماعی از تمامی کاربرانش در این خصوص عذرخواهی کرد و در بیانیه‌ای نیز احتمال هرگونه جاسوسی و افشای اطلاعات آنها را رد کرد، اما همچنان خشم عموم مردم در سراسر جهان نسبت به این شبکه اجتماعی محبوب و پرطرفدار فروکش نکرده است.