باگ یک وبسایت منجر به سوء استفاده از موقعیت مکانی کاربرانش شد

باگ یک وبسایت منجر به سوء استفاده از موقعیت مکانی کاربرانش شد

یک کمپانی که در سن دیگو (San Diego) به نام LocationSmart که در شهر Carlsbad فعالیت می‌کند، در حال جمع آوری اطلاعات زنده یا به روز، با استفاده از دستگاه های موبایلی که از وایرلس بهره می‌برند می‌باشد. یک دانشجوی رشته‌ی علوم کامپیوتری در طی گزارشی، امروز ابراز داشت که یک نقصان در وبسایت این شرکت باعث چنین مشکلی شده و هم اکنون برای همگان آشکار و واضح است. مشکل به وجود آمده از این قرار است که موقعیت مکانی کاربرانی که بر روی گوشی‌های هوشمند خود از سرویس‌های شرکت‌های خدمت رسان اینترنتی چون Verizon, AT&T, T-Mobile و یا Sprint بهره می‌بردند، برای همگان آشکار شده بود و این اطاعات درز کرده تا شعاع چند هزار یاردی از هر مخاطب به شدت دقیق و واضح خواهد بود.

اگر برای شما هم سوال شده است که شرکت‌هایی مانند LocationSmart با اطلاعات مکانی مخاطبان خود چه کاری انجام می‌دهند باید این گونه به سوالتان پاسخ بگوییم که این دسته شرکت‌ها اطلاعات مخاطبان خود را به شرکت‌هایی می‌فروشند که موقعیت مکانی کارکنانشان برای آن‌ها مهم و حیاتی است. بخش دیگر استفاده از این اطلاعات، باز می‌گردد به پیام‌های تبلیغاتی و پیام‌هایی که مشتریان را از تخفیف‌های فروشگاه‌ها مطلع می‌سازد. به مشتریانی که به فروشگاه‌های خاصی نزدیک هستند یا درون آن فروشگاه‌ها در حال خریدند. از شرکت‌هایی که از این قابلیت LocationSmart بهره می‌برند می‌توان به AAA, FedEx, و Allstate اشاره کرد.

اگر چنین خبری به نظر شما آشنا می‌آید، شاید شما هم در مورد خبری که از شرکت Securus Technologies در طی هفته‌ی پیشین به بیرون درز کرده بود اطلاع داشته باشید. این شرکت که به دستور کلانتر یک محله‌ی کوچک، تلفن‌هایی که متعلق به گشت بزرگراهی بودند را در طی بازه‌ی سال ۲۰۱۴ تا ۲۰۱۷ میلادی رد یابی می‌کرد. و طبیعتا چنین کاری را بدون دریافت هیچ گواهینامه ای انجام دادند. بین دو رویداد رخ داده یک ارتباط وجود دارد; بنا به اطلاعات به دست آمده از ران وایدن (Sen. Ron Wyden ) یکی از قربانیان اتفاقات اخیر، شرکت Securus اطلاعات وی را از طریق شرکتی به نام ۳Cinterative دریافت کرده است و بر اساس تحقیقات انجام شده شرکت ۳Cinterative ،یکی از مشتریان شرکت LocationSmart است.

در طی چهارشنبه‌ی هفته‌ی گذشته، رابرت ژاو (Robert Xiao ) ،دانشجوی علوم کامپیوتری دانشگاه Carnegie Mellon، این شکاف را در وبسایت شرکت LocationSmart پیدا کرد. بر اساس گفته ژاو، این باگ نرم افزاری به هر کسی در پهنه‌ی این کره ی خاکی اجازه می‌داد تا بتواند مکان تلفن‌هایی که در ایالات متحده فعال هستند را پیدا کند. فرضا شما می‌توانستید با وارد کردن ده عدد تصادفی یا هر عددی که می‌خواستید مکان شخص مورد نظرتان را بیابید. در حالی که این سایت بر اساس قواعد باید این گونه می‌بود که تا به کاربران خود در عوض دریافت شماره‌ی تلفنشان این اجازه را بدهد تا از خدمات شرکت LocationSmart استفاده کنند، و این عمل تنها و فقط در صورتی اتفاق می‌افتاد که رضایت نامه از طریق تماس یا پیامک از طرف مصرف کنندگان فرستاده می‌شد تا این سیستم بتواند مکان آن‌ها را بیابد (و باز هم تکرار می‌کنیم که بنا بر این بود که این سیستم تنها محل حدودی کاربران خود را که شعاع چند هزار یاردی آنها را شامل می‌شد، داشته باشد.)

این شکاف در پلتفرم دمو‌ی LocationSmart، این اجازه را به هر کسی می‌داد تا مکان هر تلفن همراهی را که از سیستم‌های خدمات اینترنتی Verizon, AT&T, T-Mobile or Sprint استفاده می‌کردند پیدا کند.

ژاو ،دانشجوی تیز بین ماجرای ما، این باگ نرم افزاری LocationSmart را تنها در طول ۱۵ دقیقه پیدا کرد. این باگ به وی این اجازه را می‌داد تا فرم رضایت نامه را دور بزند که بر اساس تئوری، چنین کاری این اجازه را به او می‌دهد تا هر تلفن همراهی را که تحت پوشش وایرلس این چهار خدمت رسان اینترنتی بزرگ هستند را در سر تا سر ایالت متحده پیدا کند. این قضیه جایی فاجعه بار می‌شود که وی در اعلامیه‌اش ذکر می‌کند “این کار برای هرکسی که دانش کافی در حوزه‌ی تکنولوژی داشته باشد میسر است و زمان زیادی هم برای پیدا کردن آن صرف نخواهد شد.”

سخنگوی شرکت Verizon ،ریچارد یانگ (Rich Young) اعلام کرد که این شرکت دسترسی Securus را نسبت به اطلاعات کاربرانش قطع خواهد کرد و در مورد روابط آینده اش با شرکت LocationSmart ،محتاطانه تر رفتار خواهد کرد. AT&T and Sprint هر کدام جداگانه اعلام کردند که به شرکت‌های ثرد پارتی این اجازه را نمی دهند تا بدون داشتن رضایت نامه ،حکم دادگاهی و یا گواهی نامه‌ای، به اطلاعات کابرانشان دسترسی داشته باشند.

به لطف این کشف آقای ژاو، شرکت LocationSmart، این صفحه‌ که باعث ایجاد چنین اختلالی می‌شد را در روز پنجشنبه از روی وبسایت خود حذف کرد. در این سایت هم اکنون بیانیه‌ای از سوی شرکت وجود دارد که ابراز می‌دارد، این نقطه‌ی ضعف که در مکانیزم گرفتن توافقنامه از مشتریان در نسخه‌ی دمو به کار رفته بود، کاملا حل شده و تا تاریخ شانزدهم ماه می از آن بهره وری نشده بود. این شرکت همچنین اعلام کرد، هیچ کدام از اطلاعات مشتریان استفاده کننده از این سرویس بدون گرفتن اجازه‌ی مستقیم از آن‌ها ذخیره سازی نشده و افزود که نسخه‌ی دمو هم اکنون غیر فعال شده است. متن کامل این بیانیه را می‌توانید در زیر مطالعه کنید:

LocationSmart فراهم کننده‌ی یک پلتفرم پوبا است که می‌کوشد تا یک محیط کارا و امن را برای کابرانش مهیا کند. تمام افشاء‌های اطلاعاتی که درباره محل حضور کاربران از طریق پلتفرم LocationSmart به وقوع پیوست، به طور مستقیمی به توافقنامه‌ای ارتباط دارد که در ابتدای کار از افرادی که سعی در فعالیت در این پروژه داشتند گرفته شده بود. این شکاف و ضعف مکانیزم توافنامه‌ی ما به تازگی توسط آقای رابرت ژاو ،یک محقق امنیت سایبری، شناسایی شده به طور کامل این مشکل از سوی ما حل شده است و همچنین این دمو در حال حاضر غیر فعال می‌باشد. ما علاوه بر این ابراز می‌داریم که این شکاف به وجود آمده در پلتفرم تا قبل از تاریخ شانزدهم ماه می باعث ایجاد هیچگونه سوء استفاده‌ای نشده و منجر به دریافت و ذخیره سازی اطلاعات مشتریان بدون دریافت اجازه نامه از آن‌ها نشده است. در آن روز مقداری به میزان ۲۰۰۰ نفر از کاربران این سرویس توسط آقای ژاو توسط این شکاف بهره برداری شدند. بنا به اطلاعیه‌ی عمومی که آقای ژاو منتشر کرده است، ما مطلع هستیم که موقعیت مکانی این افراد تنها زمانی شناسایی شد که آقای ژاو ،شخصا شروع به جمع آوری توافقنامه‌ی آن‌ها کرده بود. LocationSmart به تلاش‌های خود ادامه می‌دهد تا موقعیت مکانی هیچ کاربری از این سرویس بدون دریافت موافقت نامه از وی، قابل دسترس نباشد و تضمین می‌کند که تمام شکاف‌ها و خلاء‌های موجود در سیستم خود را پوشش داده و همه‌ی آن‌ها را مرتفع سازد. LocationSmart در جهت ارتقاء سطح امنیتی و پیشرفت در قوانین محافظت از اطلاعات کابران خود تلاش کرده و تجارب به دست آمده‌ی خود در حوادث و اتفاقات پیشبینی نشده‌ در آینده بهره برداری خواهد کرد.

0

ارسال یک دیدگاه