یک گروه نفوذگر به نام GhostShell اقدام به انتشار تصاویری از داده های حساس نموده که ادعا می کند آنها را از بانک های اطلاعاتی صدها سایتی که توانسته به آنها نفوذ کند جمع آوری کرده است.
این گروه “هکتیویست” یا Hacktivist از تعدادی از فعالان اجتماعی و سیاسی تشکیل شده اند که با نفوذ و حمله به مراکز خاص، سعی در نشان دادن اعتراض و مخالفت خود با قانونگذاران و سیاستمداران مختلف دارند.
گروه GhostShell در سال 2012، نفوذ به سازمان های دولتی، آژانس های امنیتی و شرکتهای فعال در صنایع مختلف را آغاز کردند ولی در مارس 2013 اعلام نمودند که فعالیت خود را بطور موقت و داوطلبانه متوقف می کنند. اما در 8 تیر ماه، در شبکه Twitter، با ارسال اسامی سایت هایی که به گفته این گروه مورد نفوذ قرار گرفته اند، نفوذگران GhostShell بازگشت خود را اعلام کردند.
بر اساس اطلاعات منتشر شده توسط GhostShell، قربانیان این گروه شرکت ها، مؤسسات آموزشی و سازمان های دولتی در کشورهای مختلف می باشند. بنابراین به نظر می رسد این گروه، به صورت تصادفی هر نوع سایت آسیب پذیر را هدف قرار داده است.
در پیامی که گروه GhostShell در Twitter منتشر نمود هدف از این حملات را آگاهی رسانی و نشان دادن وضعیت واقعی امنیت سایبری، علیرغم ورود انبوهی از فناوری ها و محصولات امنیتی در سال های اخیر بیان کرده است.
هر چند این گروه تنها بخشی از اطلاعات جمع آوری شده از سایت های مورد نفوذ شده را منتشر کرده اما بسیاری از این اطلاعات نیز حساس تلقی می شوند. در میان این اطلاعات، نشانی های ایمیل، نام های کاربری، نشانی های پستی، شماره های تلفن، شناسه های Skype، تاریخ های تولد و حتی گذرواژه (بصورت متن ساده و یا رمز شده، بسته به نحوه ذخیره سازی سایت) دیده می شود.
هنوز میزان خسارت ناشی از درز این اطلاعات روشن نشده است. اما تردیدی نیست که تبهکاران سایبری از این اطلاعات فاش شده حداکثر استفاده را خواهند کرد.
و اما چند توصیه به کاربران
- برای هر سایت از گذرواژه ای استفاده شود که در هیچ سایت دیگری از آن استفاده نشده است. در این صورت، در زمان وقوع چنین حملاتی، حداقل این اطمینان وجود دارد که اطلاعات فاش شده منجر به دسترسی نفوذگران به حساب کاربری کاربر در سایت های دیگر نخواهد شد.
- استفاده از روش اصالت سنجی با دو مولفه (Two-Factor Authentication) در سایت هایی که از آن پشتیبانی می کنند.
و چند توصیه به مدیران سایت:
- ارائه روش اصالت سنجی دو مولفه ای
- پالایش داده های وارد شده توسط کاربر در سایت سازمان پیش از ارسال شدن به پایگاه داده ها. برای مثال، اگر فیلدی مربوط به ایمیل است، پیش از ارسال، از عدم وجود نویسه غیر مجاز در متن وارد شده در آن فیلد اطمینان حاصل شود.
- استفاده از تجهیزات امنیتی مجهز به دیواره آتش برای برنامه های تحت وب (Web Application Firewall)
- به حداقل رساندن دسترسی به بانک داده ها بر اساس نوع عملکرد هر بخش از برنامه های تحت وب
با توجه به اینکه بسیاری از این گونه نفوذها، از طریق حملات SQL Injection صورت می پذیرد، مطالعه مقاله زیر به تمامی برنامه نویسان توصیه می شود:
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet