اگر نام و آدرس خودتان را در پستی اینترنتی مشاهده کردید، چگونه متوجه می شوید که از کجا آمده است؟ بیایید با همین ایده جلو برویم، بخشی از داده های شخصی و هویتی شما نظیر نام، نام خانوادگی، جنسیت، شماره ملی، تاریخ تولد، شماره تلفن همراه، سوابق تحصیلی و بیش از 10 مورد دیگر از اطلاعات شما. اینها از کجا آمده اند؟ حالا، فکر کنید که این اطلاعات صرفا مربوط به شما نیست، بلکه مربوط به بیش از 800 هزار نفر دیگر هم خواهد شد. به دنیای ما خوش آمدید.
این داستان در مورد مجموعه عظیمی از داده های یک وبسایت فریلنسری ایرانی و کار آنلاین به نام پونیشا است. مدیران این سایت، بر اساس ماهیت کسب و کار خود حجم نسبتا زیادی از داده ها را از کاربران دریافت و پردازش می کنند، آیا همه آن موارد لازم و ضروری اند؟ آیا نظارتی بر این روند وجود دارد؟ آیا این داده ها در جای امنی نگه داری می شوند؟ چه کسانی به آن ها دسترسی دارند؟ آیا این داده ها بعد از حذف حساب به صورت همیشگی حذف خواهند شد؟ پاسخ این سوالات و سوالات دیگر را نمیدانیم و فعلا از آن ها گذر می کنیم...
اجازه دهید به ابتدا برگردیم:
سه شنبه، 10 بهمن 1399
کمی بیشتر از دوسال پیش، ایمیلی از یکی از کاربران مورد اعتماد که قبلا نیز گزارشات درستی را برای ما ارسال کرده بود با این مضمون دریافت کردیم:دیتای پونیشا رو دیدید؟ من از دوستم گرفتم اما ظاهرا توی یکی از انجمنها داره فروش میره. اگر هنوز نگرفتیدش میتونم براتون آپلودش کنم. البته حجمش کمی زیاده، حدود 1 گیگ.محتویات ایمیل، خبر از مجموعه تقریبا بزرگی از دادههای یک سایت نام آشنا را میداد که برای ما جالب بود، پس موضوع را پیگیری کردیم و پس از بررسی دادهها متوجه شدیم که این اطلاعات حدود چند ماه قبل یعنی حوالی خرداد تا تیر 1399، بر روی یک کلاستر ElasticSearch قرار گرفته بود که پیکربندی مناسبی نداشت و در دسترس عموم قرار گرفته بود. این اتفاق کافی بود تا موتور های جستجوی اینترنت اشیا آدرس آن را ثبت و افراد سودجو را به دنبال این دادههای رایگان و در دسترس بکشانند. یکی از این افراد هکری پرتغالیزبان بود که این داده ها را جمع آوری و در کنار سایر داده های خود بر روی یکی از انجمن ها برای فروش قرار داده بود.
با دیدن این موضوع تصمیم به تماس با منبع نشت گرفتیم، اما چون طی یک سال فعالیت خود (تا آن زمان) معمولا یا هیچ پاسخی دریافت نمی کردیم و یا پاسخی غیر قابل قبول و نامحترمانه دریافت می کردیم، اینبار به سراغ منبع نشت نرفتیم و گزارش موضوع را مستقیما به منابع قابل اعتماد خود ارسال کردیم تا موضوع را پیگیری کنند، در این حین ما نیز خبری بعد از گذشت چند روز مبنی بر نشت اطلاعاتی از این سایت که حاوی بیش از 270 هزار خط داده بود در کانال تلگرامی خود منتشر کردیم.
خب خبر پخش شد و بازخورد مثبت بود، زیرا اینبار نه با تهدید بلکه با لحنی نسبتا محترمانه از طرف سمت تیم پونیشا با ما ارتباط گرفته شد که تقاضای اطلاعات بیشتری از این موضوع را داشتند. ما هم بررسی ها، اطلاعات فروشنده و داده های نمونه ای را که در اختیار داشتیم با آن ها به اشتراک گذاشتیم. مدتی بعد توسط گزارش برخی کاربران، مطلع شدیم که پونیشا در رابطه با این نشت اطلاعات، بیانیهای را منتشر کرده، خب، خبر امیدوار کننده بود. چون معمولا شرکت های ایرانی علاقه ای به شفاف سازی و ورود به این نوع موضوعات را ندارد و روال کار همواره سکوت، تکذیب و انکار بوده. بیانیه اولیه را خواندیم، و در کانال لیکفا هم منتشر کردیم، در بیانیه از طرف تیم پونیشا، در رابطه با نشت اطلاعات ابراز ناراحتی و تاسف کردند و تیم فنی اعلام کرد که این نشت مربوط به یکی از صفحات و یا Endpoint های وبسایت بوده که البته همچنان در حال پیگیری موضوع بوده و در صورت پیدا کردن جزئیات جدید آن ها را با کاربران به اشتراک خواهند گذاشت. چند روز بعد، بیانیه بروزرسانی شد:
پیرو بیانیه قبلی، اطلاعات نشت شده مربوط به ۲۱ ماه پیش و از الستیک سرچ سرور دولوپمنت پونیشا است که اطلاعات محدودی در آن نگهداری میشود و بخشی از آن فیک و برای تست محصول است. اینکه چطور این اطلاعات نشت پیدا کرده اطلاعات دقیقی نداریم، حدس ما زمانی است که مجبور شدیم از سرورهای دیجیتال اوشن به سرورهای داخل ایران مهاجرت کنیم، این اتفاق افتاده است.معمولا بروزرسانی ها حاوی اطلاعات بیشتر و دقیق تری هستند اما این مورد اینطور نبود. "نمیدادیم چطور این اطلاعات نشت پیدا کرده" حدس هایی زده شد، اما منبع نشت اعلام نشد! "بخشی از آن فیک و برای تست محصول است" این بخشی، چقدر است؟ زیرا برخی از اعضای بخت برگشته تیم که زمانی در این سایت فعال بودند توانستند اطلاعات خود را در میان داده های افشا شده پیدا کنند! موارد افشا شده چه شدند؟ و سوال های دیگر که بی پاسخ ماندند...
شنبه، 16 مهر 1401
یکسال و اندی بعد، گزارشی از اعضای تیم رصد، مبنی بر افشای اطلاعات جدیدی از همان سرور و با همان وضعیت قبلی! دریافت کردیم. اطلاعات در دسترس محدود بود زیرا توسط یک ربات، قبل از کشف توسط تیم رصد، پاکسازی و پشتیبانی گرفته شده بودند. اینبار ابتدا به تیم پونیشا در این رابطه اطلاع رسانی کردیم.. اما درنهایت پاسخی دریافت نکردیم...
جمعه، 28 بهمن 1401
از سمت تیم رصد گزارش دیگری دریافت شد، اینبار اما داده ها جزئی و پاکسازی شده نبودند. حدود 5 گیگابایت داده که اطلاعات بیش از 800 هزار کاربر را در خود جای داده بود. خوشبختانه یا متاسفانه اینبار از سروری دیگر که اطلاعات آن توسط یکی از محققان امنیتی برای ما ارسال شده بود، اما نوع آسیب پذیری، همان نوع قبلی بود، یعنی پیکربندی نامناسب (Next, Next, Next) تنظیمات امنیتی و عدم احراز هویت کاربر که منجر به در دسترس قرار گرفتن دادههای موجود در ElasticSearch به صورت عمومی شده بود. مگر نه اینکه مومن از یک سوراخ دوبار گزیده نمیشود؟!
بعد از بررسی و صحت سنجی داده ها با تیم پونیشا مجددا ارتباط گرفتیم و تقاضا کردیم که سریعا دسترسی عمومی به این داده ها مسدود و در این رابطه اطلاع رسانی شود، زیرا همچنان قابل دسترس بودند و ظاهرا از آنجایی که این سرور جز و یا یکی از کلاستر های اصلی بوده حتی بعد از حذف (Drop) مجددا ایندکس ها ساخته و داده های جدیدی بر روی آن اضافه و بروزرسانی میشد. و این ها همه در حالی بود که اطلاعات این سرور حداقل از تاریخ 21 بهمن 1401، در موتورهای جستجو ثبت شده بودند.
تاکنون (لحظه نگارش این پست) دو روز از این حادثه گذشته، هرچند مانند گذشته هیچ پاسخی از تیم پونیشا دریافت نکردیم، اما ساعاتی پس از اطلاع رسانی ما، سرور از دسترس عموم خارج شد که خبر خوشحال کنندهای بود، اما انتظار ما برای اطلاع رسانی عمومی، تاکنون، منجر به نتیجهای نشد که درنهایت تصمیم به نگارش گرفتیم. و این رویکرد جدیدیست که در رابطه با نشت های جدید در پیش گرفته ایم.
بروزرسانی شماره 1...
دوشنبه، 1 اسفند 1401
با گذشت یک روز از انتشار این مطلب و پخش شدن خبر نشت مجدد پونیشا در رسانههای مختلف، ماهنامه پیوست پیگیر این ماجرا شد. مدیر عامل جدید پونیشا، آقای مسعود حمیدزاده، در گفتگو با پیوست میزان نشت اطلاعات حساس را کمتر از یک دهم این میزان (اعلام شده) دانست و در مورد دلایل این اتفاق گفت:طی یک ماه گذشته میزان حملهها به پونیشا بسیار افزایش یافت و متاسفانه جمعه پیش پس از حملههای مختلف هکرها توانستند به الستیک سرچ این شرکت و بخشی از اطلاعات کاربران دسترسی پیدا کنند. این گروه هکری برای مدتی در مپینگ الستیک سرچ این شرکت اختلال ایجاد کردند و همین امر موجب از دسترس خارج شدن سایت برای مدت کوتاهی شد اما در نهایت تیم این پلتفرم موفق شد تا حمله را کنترل کند و جلوی نفوذ را بگیرد و مسیر نفوذ شناسایی شود.حمیدزاده با اشاره به اینکه این مجموعه در حال مهاجرت از بستر قدیمی به بستر جدید بود گفت: ”بستری که پونیشا روی آن قرار داشت قدیمی شده بود و برای مدتی توسعه پیدا نکرده بود و ما بطور موازی بستر دیگری را با تکنولوژی روز توسعه داده بودیم که برنامهی مهاجرت به آن برای نیمهی بهمن بود، منتها به دلایل مشکلات نتوورکی این مهاجرت به تاخیر افتاد و در هفتهی آتی انجام میپذیرید.“ او تاکید کرد که هماکنون راههای نفوذ بسته شده است و کارشناسان این مجموعه در حال بررسی ابعاد این حمله هستند.
بروزرسانی شماره 2...
چهارشنبه، 3 اسفند 1401
با گذشت پنج روز از اطلاع رسانی اولیه ما به تیم پونیشا، پاسخی در رابطه با گزارش ارسالی دریافت کردیم. پاسخ، مفصل بود اما بطور خلاصه، آنها علت این اتفاق را خاموش شدن سرویس فایروال در پی جابه جایی سرورها توسط ارائه دهنده سرویس زیرساخت، بدون هیچگونه اطلاعی اعلام و در ادامه اضافه کردند: پس از اطمینان از عدم وجود دیتاهای شخصی افراد، رفع مشکلات سیستم و دردسترس قرار گرفتن مجدد سرویس ها، پیگیری دلیل این سانحه در اولویت قرار گرفت.نظر نهایی تیم رصد لیکفا از اتفاقات اما این گونه بود:
بدون بررسی لاگهای سیستمی نمیتوان در مورد وقوع حملهای نظر داد اما این را میدانیم که هیچ حملهای با در دسترس عموم قرار گرفتن سرور آن هم به مدت بیش از ده روز همخوانی ندارد! در مورد بزرگی نشت، گزارش دهنده، دادههای اصلی مربوط به کاربران را مدتی قبل از دسترس خارج شدن سرور برای جلوگیری از عدم افشا و یا دسترسی دیگر افراد، حذف (Drop) کرده بود، اما چون دادهها مربوط به سرور اصلی جستجو بودند، ایندکسها مجددا ساخته و دادههای دیگری به مرور به آن اضافه میشد. حدس ما این است که همین موضوع ممکن است تیم فنی پونیشا و در نهایت مدیرعامل را در اعلام میزان نشت داده ها دچار اشتباه کرده باشد زیرا زمانی که آنها در حال پیگیری موضوع بودند، سایت از دسترس خارج و داده های اندکی از کاربران تا آن زمان به سرور اضافه شده بود.درنهایت اما با همکاری محققان امنیتی توانستیم بخش زیادی از دادههای نشت پیدا کرده را برای استعلام قربانیان به سامانه جستجوی نشت اضافه کنیم. این دادهها نام، نام خانوادگی، جنسیت، شماره ملی، تاریخ تولد، نام کاربری، شناسه کاربری، تلفن همراه و دیگر اطلاعات بیش از 770 هزار کاربر پونیشا را شامل میشد که 77% آنها در نشتهای گذشته نیز بودهاند. با توجه به بسته شدن یکی از بازارهای اصلی دادههای سرقتی در وب تاریک، تاکنون هیچ گزارشی از فروش و یا عمومی شدن این دادهها را دریافت نکرده ایم اما همچنین، پونیشا نیز تاکنون هیچ اطلاعیه رسمی در این خصوص برای کاربران خود منتشر نکرده که انتظار ما از یک شرکت خصوصی فعال در بستر وب بسیار بیشتر از این است.