[[{"content_id":438160,"content_number":0,"portal_id":184,"lang_id":"fa","content_title":"وصله‎ حفره‌ی اینستاگرام","content_rtitr":"","content_short_title":null,"content_summary":"","content_summary_fill":0,"content_body":"وصله‎ی حفره‌ی اینستاگرام که ۲۰ میلیون حساب کاربری را در معرض خطر قرار می‌داد.\r\n\r\n\r\n\r\nبه گزارش واحد متخصصین سایبربان؛ مشاوره امنیتی به نام آرن سوینن، می‌گوید اینستاگرام حفره‌های احراز هویت brute force را که موجب سرقت ۲۰ میلیون حساب کاربری این شبکه اجتماعی می‌شد، وصله کرده است. \r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\nاین کارمند شرکت امنیت اطلاعات NVISCO گفته است که نبود کنترل‌کننده‌هایی برای احراز هویت به همراه آسیب‌پذیری مستقیم اشیاء ناامن موجب می‌شد که مهاجمان بتوانند حدود ۴ درصد از حساب‌های این شبکه را در وضعیت قفل موقت نگه‌دارند. \r\n\r\nفیس‌بوک که صاحب شبکه‌ی اینستاگرام است مبلغ ۵۰۰۰ دلار پاداش را برای گزارش این حفره‌ها به سویین پرداخت و ظرف مدت ده روز پس از دریافت گزارش، در اوایل ماه حفره‌ها را وصله کرد. \r\n\r\nسوینن یک پیوند تأیید حساب کاربری را که برای حساب آزمایشی خودساخته بود، پیدا کرد و سپس شروع به شمارش حساب‌های کاربری در نشانی آدرس برای آزمایش یک‌میلیون حساب کرد. \r\n\r\nفرم تأییدیه برای حساب‌های متعدد متفاوت بود. برخی از آن‌ها آسیب‌پذیری امنیتی نداشتند و درحالی‌که برخی دیگر به مهاجم اجازه دسترسی به‌حساب را می‌دادند. \r\n\r\nاز این حساب‌های مورد آزمایش قرارگرفته، حدود ۳۹۰۰۰ مورد با تغییر شماره تلفن مربوط به‌حساب قابل‌دسترسی بودند، شاهکاری که علاوه بر آن موجب نشان داده شدن شماره تلفن کاربر در فرم از قبل پرشده می‌شد. \r\n\r\nمهاجم می‌توانست نشانی‌های رایانامه ۱۷۰۰ حساب کاربری را تغییر دهد. \r\n\r\nسوینن می‌گوید:‌ «این مورد می‌تواند هنگامی وحشتناک‌تر شود که مهاجم ازیک‌طرف اطلاعات مهم و حساس حساب کاربری را جمع‌آوری کند (نظیر شماره تلفن‌ها) و از طرف دیگر به‌راحتی شماره تلفن مرتبط با حساب کاربری شخص را به‎روزرسانی کند. بعدازاینکه او موفق شد یک شماره تلفن جدید را وارد کند، می‌تواند رمز عبور را با گزینه‌ی «تنظیم مجدد رمز عبور با پیامک» عوض کند و کاملاً حساب کاربری شخص قربانی را به دست گیرد». \r\n\r\nسوینن می‌گوید که یک بررسی دستی سریع نشان داد که بسیاری از این شماره تلفن‌های در معرض قرارگرفته «شماره‌های شخصی افراد» بودند که حساب‌های آن‎ها با داشتن «تعداد زیادی» دنبال کننده، چند هفته غیرفعال بوده است. \r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\nمنبع: \r\n\r\n\r\nnews.asis.io","content_html":"

وصله‎ی حفره‌ی اینستاگرام که ۲۰ میلیون حساب کاربری را در معرض خطر قرار می‌داد.<\/h1>\n\n
\n
\n
به گزارش واحد متخصصین سایبربان؛ مشاوره امنیتی به نام آرن سوینن، می‌گوید اینستاگرام حفره‌های احراز هویت <\/span>brute force<\/span> را که موجب سرقت ۲۰ میلیون حساب کاربری این شبکه اجتماعی می‌شد، وصله کرده است. <\/span><\/div>\n<\/div>\n<\/div>\n\n
\n
\n
\n
\n

این کارمند شرکت امنیت اطلاعات NVISCO<\/span> گفته است که نبود کنترل‌کننده‌هایی برای احراز هویت به همراه آسیب‌پذیری مستقیم اشیاء ناامن موجب می‌شد که مهاجمان بتوانند حدود ۴ درصد از حساب‌های این شبکه را در وضعیت قفل موقت نگه‌دارند. <\/p>\n\n

فیس‌بوک که صاحب شبکه‌ی اینستاگرام است مبلغ ۵۰۰۰ دلار پاداش را برای گزارش این حفره‌ها به سویین پرداخت و ظرف مدت ده روز پس از دریافت گزارش، در اوایل ماه حفره‌ها را وصله کرد. <\/p>\n\n

سوینن یک پیوند تأیید حساب کاربری را که برای حساب آزمایشی خودساخته بود، پیدا کرد و سپس شروع به شمارش حساب‌های کاربری در نشانی آدرس برای آزمایش یک‌میلیون حساب کرد. <\/p>\n\n

فرم تأییدیه برای حساب‌های متعدد متفاوت بود. برخی از آن‌ها آسیب‌پذیری امنیتی نداشتند و درحالی‌که برخی دیگر به مهاجم اجازه دسترسی به‌حساب را می‌دادند. <\/p>\n\n

از این حساب‌های مورد آزمایش قرارگرفته، حدود ۳۹۰۰۰ مورد با تغییر شماره تلفن مربوط به‌حساب قابل‌دسترسی بودند، شاهکاری که علاوه بر آن موجب نشان داده شدن شماره تلفن کاربر در فرم از قبل پرشده می‌شد. <\/p>\n\n

مهاجم می‌توانست نشانی‌های رایانامه ۱۷۰۰ حساب کاربری را تغییر دهد. <\/p>\n\n

سوینن می‌گوید:‌ «این مورد می‌تواند هنگامی وحشتناک‌تر شود که مهاجم ازیک‌طرف اطلاعات مهم و حساس حساب کاربری را جمع‌آوری کند (نظیر شماره تلفن‌ها) و از طرف دیگر به‌راحتی شماره تلفن مرتبط با حساب کاربری شخص را به‎<\/span>روزرسانی کند. بعدازاینکه او موفق شد یک شماره تلفن جدید را وارد کند، می‌تواند رمز عبور را با گزینه‌ی «تنظیم مجدد رمز عبور با پیامک» عوض کند و کاملاً حساب کاربری شخص قربانی را به دست گیرد». <\/p>\n\n

سوینن می‌گوید که یک بررسی دستی سریع نشان داد که بسیاری از این شماره تلفن‌های در معرض قرارگرفته «شماره‌های شخصی افراد» بودند که حساب‌های آن‎<\/span>ها با داشتن «تعداد زیادی» دنبال کننده، چند هفته غیرفعال بوده است. <\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n

\n
\n
منبع: <\/div>\n\n
\n
news.asis.io<\/div>\n<\/div>\n<\/div>\n<\/div>","content_source":"","content_url":"","content_date_start":"2016-05-28 10:05:44","content_date_event":"2016-05-28 10:05:44","content_date_event_start":null,"content_date_event_end":null,"content_show_title_slider":1,"content_date_last_edit":"2016-05-28 10:06:41","content_date_register":"2016-05-28 10:06:41","content_columns":0,"content_show_img":1,"content_show_details":0,"content_show_related_img":0,"content_show_slider":1,"content_comment":1,"content_score":0,"tag_id":0,"score_average":null,"score_count":null,"score_date_last":null,"uid":15356,"eid":0,"attach_title":null,"attaches":[{"sizes":{"150":".\/cache\/184\/attach\/201605\/42000_2852999116_150_104.webp","300":".\/cache\/184\/attach\/201605\/42000_2852999116_260_180.webp","400":".\/cache\/184\/attach\/201605\/42000_2852999116_260_180.webp","600":".\/cache\/184\/attach\/201605\/42000_2852999116_260_180.webp","900":".\/cache\/184\/attach\/201605\/42000_2852999116_260_180.webp","1200":".\/cache\/184\/attach\/201605\/42000_2852999116_260_180.webp"},"ext":"png","file_media":1,"token":2852999116,"files":{"original":{"url":".\/file\/184\/attach\/201605\/42000_2852999116.png","width":260,"height":180,"size":0}}}]}]]