الکس استاموس(مدیر امنیتی فیسبوک) در نشست روز چهارشنبه در
لیسبون گفت: فیسبوک بهدنبال خریداری پسوردهای فروخته شده در بازار سیاه
آنلاین است. با خرید این اطلاعات از کلاهبرداران میتوان پسوردهای سرقت
شده که کاربرانش دوباره از آنها استفاده میکنند را از دسترس خارج کند.
بنا به گزارشها، فیسبوک در حال بررسی متقابل پسوردهای
خریداری شده و پسوردهای مختلف کاربران است که شاید از این طریق بتواند به
نمونه مشابهی برخورد کند. استاموس گفت این کار از نظر محاسباتی بسیار سنگین
است اما موجب هشدار به دهها میلیون کاربر فیسبوک به منظور تقویت پسورد
شان میگردد.
به گزارش سافت گذر و به نقل ازآی تی ایران؛ قبل از این میدانستیم که فیسبوک اطلاعات کاربر را در مقابل
انباری از پسوردهای سرقت شده آنلاین بررسی میکند. این قضیه در سال 2013 و
پس از رخنه در شرکت Adobe"" آشکار شد، زمانی که تیم امنیتی فیسبوک در حال
بررسی اطلاعات لو رفته به منظور یافتن کاربری بود که مرتکب گناه کبیره
امنیتی یعنی استفاده از پسورد یکسان برای ورود به "Adobe" و فیسبوک شده
بود. فیسبوک به محض اینکه موارد مشابه را پیدا میکند، کاربران را مخفی
میکند و اکانتها را از دسترس عموم خارج میکند و تا زمانی که صاحبان
اکانت پسوردشان را تغییر نمیدادند این کار را ادامه میداد.
در همین حال بسیاری در شگفت بودند که فیسبوک چگونه قادر است
کسانی که از پسورد مشابه در اکانتهای مختلف استفاده میکنند را شناسایی
کند آن هم بدون داشتن حروف و اعداد پسوردها یا شکل رمزگذاری شده(Hashing)
آنها چگونه میتواند این موضوع را تشخیص دهد. دیگران هم ممکن است این سوال
را در مورد پسوردهای خریداری شده از بازار سیاه داشته باشند.
آنچه را که درباره موضوع شرکت "Adobe" در سال 2013 گفتیم
دوباره بازگو میکنیم: فیسبوک نیازی به بررسی اطلاعات بهصورت محافظتی و
نظارتی ندارد.
کریس لانگ(یکی از مدیران امنیتی فیسبوک) به این شکل توضیح
داد: ما پسوردهای متنی که قبل از آن توسط محققین یافته شده بودند را مورد
استفاده قرار دادیم. ما پسوردهای متنی بازیابی شده را درون همان کدی قرار
دادیم که برای چک کردن پسورد شما هنگام ورود استفاده میکنیم. به بیان
واضحتر فیسبوک پسورد کاربران را در اختیار ندارد. بهجای این کار پسوردها
را هنگام ثبت نام کاربران از درون "سیستم یک طرفه رمزگذاری"( one-way
hashing function) پسوردها عبور میدهد و نتایج بدست آمده را نزد خود نگه
میدارد. البته این سیستم یک طرفه است و پسوردهای رمزگذاری شده را نمیتوان
به شکل پسورد اولیه تبدیل کرد.
وقتی کاربر وارد فیسبوک میشود با پسورد ی که میزند وارد این
سیستم میشود، اگر پسورد وارد شده با همان کد رمزدار شده که فیسبوک در
اختیار دارد همخوانی داشته باشد، کاربر وارد اکانت خواهد شد.
فیسبوک از همین پروسه برای پسوردهای بهدست آمده از اطلاعات
شرکت "Adobe" استفاده کرد. برای پسوردهای خریداری شده از بازار سیاه هم به
همین شکل عمل کرده است. اگر پسورد خریداری شده از بازار سیاه یا پسورد به
دست آمده از شرکت "Adobe" بعد از عبور از سیستم رمزگذاری نتیجهای مشابه با
پسورد رمز شده کاربران در فیسبوک داشته باشد، فیسبوک متوجه استفاده مجدد
از همان پسوردی میشود که از دزدان خریده است.
با اینکه میدانستیم فیسبوک از کاربرانش محافظت میکند، اما
نمیدانستیم که به کلاه برداران پول پرداخت میکند تا این کار را برایش
انجام دهند. بد نیست کمی در باره این فکر کنیم که به چه روشهای دیگری
فیسبوک میتواند به پسوردها دسترسی پیدا کند؟
همواره این سوال وجود دارد که آیا جلوگیری و محافظت از پسوردها این حق را به آنها میدهد که به کلاهبرداران سایبری پول پرداخت کنند؟
میتوان این مسئله را با پرداخت به نرمافزارهای باجگیرنده
مقایسه کرد که قانون قاطعانه در مورد آن برای نجات قربانیان از این سیستم
صحبت کرده است. در حقیقت جولای امسال پلیس آلمان و اروپا پرتالی را با نام
"باج گیری کافی است" را راه اندازی کردند، با این هدف که به قربانیان کمک
کنند بدون پرداخت باج به کلاهبرداران، اطلاعات خود را بازیابی کنند. درحالی
که کلاهبرداران پس از دریافت پولهای هنگفت در چندین نوبت، فایلها را
بازگردانی میکردند.
نظر این مراجع قانونی در مورد پولی که فیسبوک در جیب این
کلاهبرداران میریزد چیست؟ با این عقیده که فیسبوک به منظور محافظت از
کاربرانش در مقابل این تهدیدها این پولها را پرداخت میکند چه فکری در این
زمینه باید کرد؟