به گزارش خبرنگار فناوری اطلاعات خبرگزاری فارس، انتشار خبر دسترسی غیرمجاز به سورس و دیتابیس کاربران کافه بازار توسط گروهی از هکرها که بخشهایی از آن در اینترنت منتشر شد، با توجه به جامعه ۴۰ میلیون کاربری این برنامه، بازتاب نسبتا گستردهای داشت.
برخی با انتشار سورسکدهایی در مقام افشای اطلاعات برآمدند و منتظر پاسخگویی کافه بازار یا مسئولان مربوطه ماندند.
*کافه بازار در نخستین بررسی نشت اطلاعات را تایید نکرد
کافه بازار پس از چند ساعت با صدور اطلاعیهای به این موضوع واکنش نشان داد؛ اما وقوع دسترسی غیرمجاز را تایید نکرد.
این شرکت اعلام کرد: «روز شنبه ۷ اردیبهشت گزارشهایی در خصوص وجود یک مشکل امنیتی در بازار در شبکههای اجتماعی منتشر شده است که همچون هشدارهای امنیتی مشابه در گذشته، تیم فنی بازار در حال بررسی همهجانبه موضوع است. تاکنون شواهدی در زمینه نشت اطلاعات حسابهای کاربری به دست نیامده است. چنانچه در ادامه بررسیها نتایج تازهای به دست آید، به طور شفاف به اطلاع کاربران خواهد رسید.
علاوه بر اقدامهای پیوستهای که در راستای حفظ امنیت سیستمها صورت میگیرد، استفاده از دانش کارشناسان امنیتی که به صورت مسئولانه و قانونی، موارد امنیتی را متذکر می شوند از سالها پیش در اولویت کافهبازار بوده است. تخصیص صفحه افشای مسئولانه و طرح اعطای پاداش در ازای کشف باگهای امنیتی (Bug Bounty Program) نیز با همین هدف انجام شده است و کافهبازار همواره از دریافت گزارشهای مسئولانهی امنیتی استقبال میکند. چرا که امنیت در دنیای دیجیتال مطلق نیست و همه شرکتهای نرمافزاری، اعم از کوچک و بزرگ، ممکن است در معرض آسیبپذیریهایی در این حوزه باشند و کافهبازار نیز خود را از این قاعده مستثنی نمیداند.»
*تایید دسترسی غیرمجاز به برخی اطلاعات کافهبازار
با تایید نشدن این موضوع از سوی کافه بازار، ماجرا ادامه یافت و مدعیان افشای اطلاعات بخشی از سورسکدهای اصلی را برای بررسی کارشناسان منتشر کردند.
کافه بازار در دومین اطلاعیه خود بخشی از دسترسی غیرمجاز به اطلاعات را پذیرفت.
در این اطلاعیه اعلام شد: «طبق بررسیهای تیم فنی کافهبازار مشخص شده است که سورسکد یکی از زیرسیستمهای وبسایت کافهبازار به دست افرادی خارج از مجموعه رسیده است؛ در عین حال، همچنان هیچ گونه شواهدی در زمینه نشت اطلاعات حسابهای کاربری به دست نیامده است. تیم فنی این مسئله را از ساعات ابتدایی روز شنبه با جدیت پیگیری کرد و اشکال امنیتی را شناسایی و برطرف کرد.
در عین حال، برای اطمینان خاطر کاربران، ضروری است کافهبازار بر نکات زیر تاکید کند:
- این دسترسی تنها به بخشی از زیرسیستم وبسایت کافهبازار صورت گرفته که تاثیری در امنیت اپلیکیشن بازار و تلفن همراه کاربران ندارد.
- رمز عبور کاربران بازار یا یکبارمصرف (OTP) بوده و امکان ورود شخص ثالث به حسابهای کاربری وجود ندارد، یا به صورت salted، با شیوهی ایمن SHA256، رمزگذاری شده و قابل بازیابی نیست.»
*بررسی ادعای کافهبازار به زودی
علیرغم پذیرش بخش زیادی از موضوع دسترسی غیرمجاز توسط کافه بازار اما گویا این ماجرا هنوز تمام نشده است؛ افرادی که طرح موضوع کردهاند وعده دادهاند ادعای کافه بازار مبنی بر دسترسی غیرمجاز در زیر سیستم، میزان لو رفتن اطلاعات و رفع آسیب پذیری را بررسی و منتشر کنند.
انتهای پیام/آ
M