رفتن به محتوای اصلی
ثبت گزارش
ثبت گزارش
۱۳۹۷-۱۱-۱۳ ۱۲:۱۵
تنظیم اندازه قلم

پ

۲:۰۸

نوکیا کلمات عبور و مقادیر امنیتی زیادی را در سیستم داخلی خود افشا می‌کند

روزی دیگر و نقض اطلاعاتی دیگر... این بار نوکیا این شرکت بزرگ در حوزه تکنولوژی با در معرض دسترس قرار دادن اطلاعات حساس، امنیت خود را زیر سؤال برد. این مشکل امنیتی توسط مدیر بخش پژوهش خطرات سایبری در Hacken و همچنین توسط شخصی با نام Bob Diachenko در ۱۳ دسامبر کشف شد.

شرکت Hacken در پست وبلاگ خود اعلام کرد که این اطلاعات شامل چند پایگاه داده محلی، کلمات عبور و مقادیر امنیتی دیگری می‌باشد که به‌راحتی در سیستم داخلی نوکیا قابل‌مشاهده است. بعد از تحقیقات بیشتر Diachenko متوجه شد که اطلاعات گفته‌شده شامل مشخصات کاربری Heketi، مشخصات کاربری با دسترسی مدیر سیستم، کلمات عبور Weave، یک کلید رمزنگاری‌شده k8s ‪(Kubernetes)‬، یک کلید خصوصی کاربری Gluster، کلید خصوصی RSA و SSH، یک کلید مخفی از Amazon S3 و مواردی از این قبیل است.

nokia exposes-passwords1_6.jpg

تصویری از اطلاعات گفته‌شده

وی در ادامه گفت: " از بخش تماس در سایت نوکیا این آسیب‌پذیری را به آن‌ها اطلاع دادم ولی هیچ پاسخی از جانب آن‌ها دریافت نکردم سپس موضوع را در ۱۷ دسامبر از طریق توییتر به یکی از مسئولین مربوطه گزارش دادم. پس از مدتی تیم نوکیا آسیب‌پذیری گفته‌شده را تائید کرد اما ادعا کرد که این آسیب‌پذیری صرفاً مربوط به یک محیط آزمایشی بوده است."

(محیط آزمایشی (Testing Environment) محیطی است که در آن نرم‌افزار و سخت‌افزار توسط یک فرد و یا یک گروه مورد آزمایش و بررسی قرار می‌گیرد. به‌بیان‌دیگر یک محیط آزمایشی شرایطی را محیا می‌کند که بتوان در آن سخت‌افزار و نرم‌افزار را مورد آزمایش و بررسی قرار داد.)

سپس مسئولین نوکیا در ادامه افزودند: "آسیب‌پذیری گفته‌شده مربوط به یک سرور AWS ‪(Amazon Web Services)‬ است که چندین سال پیش توسط یکی از توسعه‌دهندگان ما تنها برای اهداف آزمایشی خریداری شد که ما از آن فقط برای آموزش و آگاهی کارکنان خود و همچنین امور تحقیق و توسعه استفاده می‌کردیم و اطمینان می‌دهیم که این سرور حاوی هیچ اطلاعات حساسی نیست."

nokia exposes-passwords2_4.jpg
بااین‌حال Diachenko ادعای نوکیا را رد کرد و گفت: "بااینکه به‌طور دقیق مشخص نیست داده‌های کاربران با سوءاستفاده از این آسیب‌پذیری در معرض خطر است یا خیر، اما احتمال این خطر وجود دارد که این اطلاعات در یک سرور آنلاین محافظت نشده نگهداری شوند."

سپس وی در ادامه افزود: "ما نمی‌توانیم ۱۰۰ درصد اطمینان داشته باشیم که این اطلاعات مختص یک محیط آزمایشی است، چراکه با توجه به ماهیت فایل‌های کشف‌شده و تعداد کلمات عبور موجود در آن‌ها، نمی‌توان ادعای نوکیا را در خصوص اینکه این اطلاعات تنها برای محیط آزمایشی بوده است را تائید کرد."

در پایان قابل‌ذکر است که تاکنون یافته‌های Diachenko از حریم خصوصی میلیون‌ها کاربر اینترنت در سراسر جهان محافظت کرده است. بطوریکه وی در اوایل ماه جاری نیز یک آسیب‌پذیری در سرورهای ElasticSearch که دارای بیش از ۷۳ گیگابایت اطلاعات شخصی بیشتر از ۸۲ میلیون شهروند آمریکایی بود را کشف کرد.

ترجمه: عماد عابدینی

کلمات کلیدی :

افزودن دیدگاه جدید

700X100.gif

اخبار مرتبط