هکرها پیامک های ۲۶ میلیون آمریکایی را دزدیدند
تاریخ انتشار
سه شنبه ۲۹ آبان ۱۳۹۷ ساعت ۱۸:۳۹
آیتیمن - بررسی ها نشان می دهد که پایگاه داده شرکت ووکسوکس (Voxox) مورد حمله هکرها قرار گرفته است که این پایگاه شامل اطلاعات بسیاری از کاربران آمریکایی و شماره موبایل آنها می شود و هکرها به راحتی می توانند داده های مورد نیازشان را در این پایگاه جست وجو کنند. یک محقق امنیتی آلمانی به نام سباستین کائول این ماجرا را کشف کرده است.
به گفته کائول، هر کاربری می تواند به صورت همزمان شخص خاصی را زیر نظر بگیرد و با استفاده از کد احراز هویت دو مرحله ای وارد پروفایلش شود و اطلاعات حساسش را بدزدد.
گفتنی است که پایگاه داده شرکت کالیفرنیایی ووکسوکس شامل کدهای دو مرحله ای زیادی می شد که شرکت هایی چون گوگل، آمازون و مایکروسافت برای احراز هویت مشتریان شان برای آنها می فرستند. به گفته کائول، نکته جالب اینجاست که هکرها برای ورود به این پایگاه داده اصلا نیازی به کلمه عبور نداشتند. کدهای دو مرحله ای یکی از بهترین و امن ترین روش های ممکن برای جلوگیری از دسترسی هکرها به اطلاعات است.
در این شرایط، حتی اگر شخصی نام کاربری و رمز عبور افراد را هم داشته باشد، بدون کد احراز هویت دو مرحله ای قادر نخواهد بود به اکانت دیگران وارد شود.
این شرکت بعد از باخبر شدن از این هک عظیم، تلاش کرده پایگاه داده اش را از دسترس هکرها خارج کند.
شاید اغلب ندانند زمانی که پیامکی از یک شرکت می گیرند، چه اتفاقی می افتد؛ شاید این پیامک از شرکت آمازون باشد آن هم زمانی که فرد کالایی را سفارش داده و پیامک استعلام آن را دریافت کرده است. اغلب برنامه نویسان مانند HQ Trivia و Viber از فناوری هایی بهره می گیرند که توسط شرکت های «تله ساین» و «نکسمو» ارایه می شوند. این خدمات در ازای ارسال کد تایید هویت دو مرحله ای در اختیار این افراد قرار می گیرد. در واقع «تله ساین» و «نکسمو» کد احراز هویت را به شماره موبایل آنها ارسال می کند. اما شرکت هایی مانند ووکسوکس همانند یک دروازه عمل می کند و این کدها را به پیام متنی تبدیل می کند و به شبکه های موبایلی ارسال می کند تا این کدها به گوشی موبایل کاربران ارسال شوند.
بررسی های تک کرانچ نشان می دهد که پایگاه داده ووکسوکس فعلا به صورت آفلاین درآمده است. اما در همین حالت نیز به نظر می رسد که شامل ۲۶ میلیون پیامک بوده باشد. البته برخی معتقدند که این میزان بیشتر است. زیرا هر کدام از این پیامک ها شامل اطلاعات دیگری نیز هستند که از میان آنها می توان به شماره موبایل فرستنده، متن پیامک و اطلاعات مشتری ووکسوکس است.
به گفته کائول، هر کاربری می تواند به صورت همزمان شخص خاصی را زیر نظر بگیرد و با استفاده از کد احراز هویت دو مرحله ای وارد پروفایلش شود و اطلاعات حساسش را بدزدد.
گفتنی است که پایگاه داده شرکت کالیفرنیایی ووکسوکس شامل کدهای دو مرحله ای زیادی می شد که شرکت هایی چون گوگل، آمازون و مایکروسافت برای احراز هویت مشتریان شان برای آنها می فرستند. به گفته کائول، نکته جالب اینجاست که هکرها برای ورود به این پایگاه داده اصلا نیازی به کلمه عبور نداشتند. کدهای دو مرحله ای یکی از بهترین و امن ترین روش های ممکن برای جلوگیری از دسترسی هکرها به اطلاعات است.
در این شرایط، حتی اگر شخصی نام کاربری و رمز عبور افراد را هم داشته باشد، بدون کد احراز هویت دو مرحله ای قادر نخواهد بود به اکانت دیگران وارد شود.
این شرکت بعد از باخبر شدن از این هک عظیم، تلاش کرده پایگاه داده اش را از دسترس هکرها خارج کند.
شاید اغلب ندانند زمانی که پیامکی از یک شرکت می گیرند، چه اتفاقی می افتد؛ شاید این پیامک از شرکت آمازون باشد آن هم زمانی که فرد کالایی را سفارش داده و پیامک استعلام آن را دریافت کرده است. اغلب برنامه نویسان مانند HQ Trivia و Viber از فناوری هایی بهره می گیرند که توسط شرکت های «تله ساین» و «نکسمو» ارایه می شوند. این خدمات در ازای ارسال کد تایید هویت دو مرحله ای در اختیار این افراد قرار می گیرد. در واقع «تله ساین» و «نکسمو» کد احراز هویت را به شماره موبایل آنها ارسال می کند. اما شرکت هایی مانند ووکسوکس همانند یک دروازه عمل می کند و این کدها را به پیام متنی تبدیل می کند و به شبکه های موبایلی ارسال می کند تا این کدها به گوشی موبایل کاربران ارسال شوند.
بررسی های تک کرانچ نشان می دهد که پایگاه داده ووکسوکس فعلا به صورت آفلاین درآمده است. اما در همین حالت نیز به نظر می رسد که شامل ۲۶ میلیون پیامک بوده باشد. البته برخی معتقدند که این میزان بیشتر است. زیرا هر کدام از این پیامک ها شامل اطلاعات دیگری نیز هستند که از میان آنها می توان به شماره موبایل فرستنده، متن پیامک و اطلاعات مشتری ووکسوکس است.
مرجع : TechCrunch