تلگرام ، برنامه پیام و گفتگوی نیمه رمزگذاری شده که به عنوان رقیبی برای واتساپ دیده می شود ، همیشه به عنوان یک بندر امن و ابزاری ضروری برای گروه های نفرت افراطی ، نظریه پردازان توطئه ، پورنوگرافی کودکان و غیره ، مورد توجه منفی بسیاری قرار گرفته است.
اکنون ، به نظر می رسد مجرمان اینترنتی نیز به تلگرام سرازیر می شوند تا نشت گسترده داده ها را در معرض میلیون ها نفر در معرض سطح بی سابقه ای از کلاهبرداری ، هک و حمله آنلاین قرار دهد.
vpn امنیت سایبری mentor تیم تحقیقاتی به چندین گروه و کانال تلگرامی متمرکز بر جرایم اینترنتی پیوست تا اطلاعات بیشتری در مورد چگونگی و دلیل محبوبیت این برنامه در میان هکرها و بازیگران تهدید کسب کند.
ما را کشف کردیم که شبکه گسترده ای را منتشر می کند که نشت داده ها را از بین می برد. 1000000 نفر و به طور آشكار در مورد چگونگي بهره برداري از آنها در شركتهاي مختلف جنايي بحث مي كنند.
هكرها چگونه از تلگرام استفاده مي كنند؟
هكرها نشت داده ها را در تلگرام به دو صورت به اشتراک می گذارند راههای متفاوت.
اول ، کانال های تلگرامی وجود دارد ، جایی که هکرها با توضیحات مختصر درباره آنچه مردم می توانند در داخل پیدا کنند ، اطلاعات را ارسال می کنند. این کانالها با حداقل مکالمه در آنها منفعل تر هستند. بعضی از کانال ها 10،000 هزار دنبال کننده دارند.
روش دیگری که هکرها استفاده می کنند گروه های هک اختصاصی است که صدها عضو به طور فعال در مورد جنبه های مختلف جرایم اینترنتی بحث می کنند [
و نحوه بهره برداری از داده های به اشتراک گذاشته شده.
به طور کلی ، به نظر می رسد بیشترین نشت و هک داده ها فقط پس از فروش در وب تاریک در تلگرام به اشتراک گذاشته شد – یا هکر موفق به یافتن خریدار نشد و تصمیم گرفت اطلاعات را به صورت عمومی به اشتراک بگذارد و ادامه دهد.
برخی از اطلاعات نشت ماه ها بود ، اما بسیاری از آنها به همین ترتیب بود
هکرها از تلگرام به عنوان بخشی از حملات سایبری و طرح های باج خواهی نیز استفاده کرده اند. پس از آنکه هکرها یک پایگاه داده از شرکت اسرائیلی شیربیت دزدیدند ، آنها یک گروه تلگرامی ایجاد کردند و شروع به اشتراک گذاری اطلاعات حساس به عنوان نوعی اخاذی علیه این شرکت کردند.
چرا نشت در تلگرام ارسال می شود؟
به طور سنتی ، هکرها به شبکه تاریک اعتماد می کردند یا سایر انجمن های ناشناس برای به اشتراک گذاشتن ، بحث و فروش اطلاعات مربوط به نشت داده ها و هک های موفق.
با این حال ، تلگرام مزایای بی شماری را ارائه می دهد. تنها چیزی که برای پیوستن به آن نیاز دارید یک شماره تلفن همراه است که گویا از سایر کاربران پنهان است ، اما برای تأیید تلگرام و پیامک قابل مشاهده است. از لحاظ تئوری ، اجرای قانون می تواند شماره تلفن یک کاربر تلگرام را درخواست کند ، یا هکرها می توانند آن را وارد کنند و آن را سرقت کنند.
ایجاد کانال ها و گروه های تلگرامی همچنین موجب می شود مجرمان از ثبت نام در یک میزبان وب یا سرویس دامنه ، محافظت از آنها در برابر حملاتی مانند DDoS ، و نیاز به محافظت از عملیات آنها در برابر اسکنرهای آنلاین و ابزارهای امنیتی را کاهش می دهد.
تلگرام همچنین مانع ورود بسیار کمتری برای افراد توزیع کننده داده و افراد امیدوار دریافت آن دسترسی تلگرام به مراتب بیشتر از وب تاریک است که برای دستیابی و پیمایش به دانش فنی خاصی نیاز دارد و اقدامات ایمنی و حریم خصوصی قوی تری را نیز در پی دارد. هکرها می توانند به مخاطبان گسترده تری دسترسی پیدا کنند و اطلاعات را خیلی سریعتر به اشتراک بگذارند روی برنامه نصب شده روی دستگاه یا رایانه.
در طول تحقیقات ما ، اعضای این گروه ها شاهد بارگیری پرونده های zip از محل تخلیه داده ها و سپس پرسیدن چگونگی باز کردن آنها یا اینکه به چه ابزارهایی برای استفاده از آنها نیاز دارند. این نشان می دهد که حتی افرادی که سواد رایانه ای بسیار کمی دارند (و احتمالاً در وب تاریک نیستند) به اطلاعات فوق العاده حساس متعلق به میلیون ها نفر دسترسی پیدا می کنند.
به احتمال زیاد ، آنها همچنین این داده ها را به هیچ وجه امن ذخیره نمی کنند. ، مجموعه دیگری از مسائل و نگرانی ها را ایجاد می کند.
تلگرام همچنین به هکرهای مخرب و مجرمان سایبری دامنه قابل توجهی برای خودکار کردن فعالیت هایشان ارائه می دهد. ربات های تلگرام به توسعه دهندگان این امکان را می دهند تا برنامه های شخص ثالث را در سیستم عامل اجرا کنند. معمولاً شرکت ها از این فناوری برای تبلیغات و کمپین های بازاریابی استفاده می کنند. هکرها می توانند از ربات ها برای اجرای عملیات خود استفاده کنند در حالی که در سایه هستند و نفوذ خود را به راحتی در چت ها و گروه ها گسترش می دهند.
سرانجام ، تلگرام در مقابله با میزان غیرقانونی و غیرقانونی بسیار کند عمل کرده است فعالیت خطرناکی در برنامه اتفاق می افتد. هکرها می دانند که به احتمال زیاد می توانند ناشناس و مصون از نظارت یا پاسخگویی اساسی باشند.
تلگرام برای مقابله با این گروه ها چه کاری انجام می دهد؟
تلگرام اقدامات محدودی برای خاموش کردن این گروه ها انجام داده است ، اما برخی از آنها ماه ها قبل از هرگونه فعالیتی فعالیت می کنند اقدام صورت گرفته است. در آن زمان ، آنها می توانند به طور آشکار داده های خصوصی میلیون ها نفر را به اشتراک بگذارند.
برخی از سرپرستان گروه نیز یک گروه "پشتیبان" ایجاد می کنند که آماده پذیرش اعضای جدید است و در بالای گروه قرار می گیرد. به این ترتیب ، اعضا می دانند که اگر گروه اصلی خاموش شود ، به گروه "پشتیبان" بپیوندند. بنابراین ، آنها می توانند پشتیبان گیری را ادامه دهند و گویی هیچ اتفاقی نیفتاده است.
در مقابل ، تلگرام اشتیاق بسیار بیشتری نسبت به تعطیلی گروه های مشکل دار در مناطق دیگر مانند دزدی دریایی نشان داده است. این شرکت به طور مداوم هر گروه یا کانال مشترک مطالب دارای حق چاپ توسط کاربران را تعطیل می کند.
بنابراین ، به نظر می رسد که وقتی به دلیل فعالیت در برنامه ، نسبت به اقدامات قانونی احساس مسئولیت می کنند ، دارندگان تلگرام خوشحال می شوند که وارد شوند –
تلگرام آنطور که ادعا می کند خصوصی نیست
علی رغم محبوبیت روزافزون به عنوان یک برنامه ارتباطی متمرکز بر حریم خصوصی ، بیشتر ادعاهای تلگرام برای رعایت استانداردهای بالا برای حفظ حریم خصوصی گمراه کننده هستند.
تلگرام فوق العاده پنهانی است و با شفافیت صفر کار می کند. دو برادر روسی این شرکت را تأسیس کردند ، قبل از اینکه در دبی مستقر شوند ، سالها در شهرهای مختلف رفت و آمد کردند. این شرکت رسماً محل استقرار اعضای تیم یا دفاتر خود را فاش نمی کند.
رمزگذاری آنها توسط «بنیانگذاران» «خانگی» است و مورد انتقاد گسترده کارشناسان قرار گرفته است. این شرکت ادعا می کند منبع باز است که در بهترین حالت اغراق است. مهمترین قسمت سیستم آن – سرورها – همچنان یک جعبه سیاه بسته است.
و سرانجام ، تلگرام اطلاعاتی را که از کاربران جمع می کند ، نحوه استفاده و یا آنها را با چه کسانی به اشتراک می گذارد ، فاش نمی کند. "گزارش شفافیت" وعده داده شده آنها با وجود درخواست های متعدد داده ها از دولت های مختلف ، تا امروز خالی است.
اینها تنها برخی از پرچم های قرمز اطراف این شرکت است. اگر شرکت هرگز تصمیم بگیرد از دسترسی خود به داده ها ، هویت و فعالیت آنها سوit استفاده کند ، می تواند نامشخص بودن شبه در تلگرام نتیجه معکوس بدهد . یا اگر تخلف دیگری در خود برنامه رخ داده باشد. این اتفاق قبلاً یک بار رخ داده است ، یعنی در سال 2020 ، وقتی میلیون ها کاربر تلگرام در معرض دید قرار گرفتند.
نمونه هایی از آنچه تیم ما در تلگرام دید
موارد زیر نمونه ای از بزرگترین و نگران کننده ترین داده های تخلیه شده است که تیم ما در شش ماه گذشته به عنوان اعضای گروه های تلگرامی مشاهده کرده است.
سلب مسئولیت: ما این نقض داده ها را کشف نکردیم. آنها در حال حاضر بصورت آنلاین در Telegram و به طور بالقوه در سیستم عامل های دیگر به اشتراک گذاشته می شوند. هر کسی که فکر می کند ممکن است تحت تأثیر قرار بگیرد باید درمورد تهدیدات احتمالی ، مانند تصاحب حساب ، کلاهبرداری فیشینگ ، سرقت هویت ، حمله ویروسی و کلاهبرداری ، کاملاً مراقب و هوشیار باشد.
اگر نگران این نقض اطلاعات هستید ، ورود به سیستم خود را تغییر دهید اعتبار نامه برای هر حساب آنلاین ، یاد بگیرید که چگونه ایمیل های فیشینگ را ردیابی کنید و برخی اقدامات را برای بهبود حریم خصوصی آنلاین خود انجام دهید.
Playbook Sports
از: در 24 فوریه 2021
در تلگرام ظاهر شد حجم: 800 مگابایت
وب سایت: http://playbooksports.com/cepts19659002] داده از 100000 هزار نفر از شهروندان ایالات متحده ، از جمله اطلاعات مربوط به فعالیت قمار آنلاین و خریدهای انجام شده در فروشگاه وب سایت .
داده های در معرض شامل:
- نام های کاربری
- گذرواژه ها
- نام های کامل
- آدرس های ایمیل
- آدرس های خانه و مشاغل
4 به اشتراک گذاشته شده
از: ظاهر شد در تلگرام در تاریخ 10 آوریل 2021
وب سایت : 4shared.com
4Shared یک وب سایت اشتراک فایل است که در آن کاربران می توانند برای بارگیری فایل های رسانه ای به یکدیگر پیوند ارسال کنند.
یک هکر توانست لیستی از 3.5 میلیون پرونده بارگذاری شده در 4Shared را بدست آورد.
اینها شامل فیلم های دزدی دریایی ، موسیقی ، کتاب ، همراه با وسایل شخصی مانند عکس و فیلم بود.
همچنین پیوندهایی به پروفایل های کاربر 4Shared وجود داشت. نمایه ها فقط شامل نام کاربری بودند ، اما هنوز هم می توان از آنها برای یافتن اطلاعات اضافی استفاده کرد. چند روز پس از اشتراک گذاری در تلگرام ، URL ها غیرفعال شدند و دیگر امکان دسترسی به محتوا وجود نداشت.
تیم ما حتی کشف کرد "کیت های فیشینگ" بین افرادی که موسسات مالی را به دلیل کلاهبرداری در میان پرونده های موجود در داده های تخلیه شده به اشتراک می گذارند ، به اشتراک گذاشته شده است. این بسته های غیرقانونی فیشینگ نام شخص را در پشت کلاهبرداری و چگونگی برنامه ریزی برای هدف قرار دادن م institutionsسسات در یک طرح جنایی قرار داده است.
بانک ملی و اعتماد کیمن (جزیره من)
از: در اصل در سال 2019 فاش شد ؛ در سال 2021 مجدداً در تلگرام ظاهر شد
در سال 2019 ، فینیاس فیشر ، متخلف ، تخلیه داده های "Sherword" را منتشر کرد که حاوی لیست مشتری یک بانک خارج از ساحل مستقر در جزایر کیمن و جزیره من (همراه با سایر مقاصد) است. [19659002] نقض داده ها اخیراً بار دیگر در تلگرام به اشتراک گذاشته شد. این نمونه ای از نقض داده های قدیمی است که برای دسترسی به مخاطبان بسیار گسترده تر از زمانی که در ابتدا در تلگرام به اشتراک گذاشته شده است.
Click.org
از: در اصل در دسامبر سال 2020 فاش شده است. در آوریل 2021 در
اندازه: 35 GB
وب سایت: click.org
Click یك نرم افزار بازاریابی است كه در اواخر دسامبر سال 2020 نقض شده است. این نقض از آن زمان در یک گروه تلگرامی رخ داده است.
داده تخلیه شامل 35 گیگابایت داده بود ، از جمله تخلیه SQL با 2.7 میلیون گزارش معاملات انجام شده توسط کاربران click.org.
اطلاعات درج شده شامل: [19659047] نامهای کامل
Meet Mindful
از: در ژانویه 2021 در تلگرام ظاهر شد [19659002] وب سایت: https://www.meetmindful.com/cepts19659002] یک هکر داده ها و اطلاعات حساب شخصی 2.28 میلیون کاربر را در سایت همسریابی Meet Mindful در وب تاریک منتشر کرد و بعداً ظاهر شد در تلگرام.
داده های در معرض شامل:
- نام های واقعی [19659048] آدرس های ایمیل
- شهر ، ایالت و جزئیات ZIP
- ویژگی های ظاهری
- ترجیحات دوست یابی
- وضعیت تاهل
- تاریخ تولد
- طول و عرض جغرافیایی
- آدرس های IP
- رمزگذاری- گذرواژه های حساب هش شده
- شناسه های کاربر فیس بوک
- نشانه های احراز هویت فیس بوک
Facebook Data Dump
از: در ابتدا در سال 2019 فاش شد ، در آوریل 2021 در تلگرام ظاهر شد
بسیاری از افراد اکنون از نقض گسترده داده در فیس بوک که در سال 2019 رخ داده است. در آن زمان ، این شرکت از این تخلف آگاه بود اما ترجیح داد این گزارش را به کاربران یا مقامات گزارش ندهد.
داده های 533 میلیون کاربر فیس بوک توسط هکرها در آوریل 2021 در دسترس قرار گرفت
با این وجود ، قبل از ویروسی شدن داستان ، امکان بارگیری داده ها از تلگرام نیز وجود داشت.
منبع ناشناخته
از: در اصل حدوداً درز کرده بود. 12 آوریل 2021 در تاریخ 23 آوریل 2021 در تلگرام ظاهر شد
اندازه: 26 گیگابایت
یک پایگاه داده از یک منبع ناشناخته ، با پرونده های دقیق تا 250 میلیون شهروند ایالات متحده. (بستگی به ورودی های تکراری دارد). داده ها در مجموعه داده های مبتنی بر خانوارها مرتب شده اند ، که حاکی از آن است که آنها به عنوان بخشی از یک پروژه تحقیقاتی یا پیمایشی در مقیاس بزرگ جمع آوری شده اند.
هر مجموعه داده حاوی مقدار زیادی اطلاعات فوق العاده دقیق درباره افراد درون یک خانواده بود.
اطلاعات درج شده شامل:
- مشخصات کامل تماس (نام ، آدرس ، ایمیل ، تلفن ، dob) ؛
- سرگرمی ها
- وابستگی ها و کمک های سیاسی ؛
- بیماری ها و بیماری ها
- وضعیت ازدواج
- ] تعداد فرزندان
- درآمد (ها)
- قیمت خانه
- قومیت
- مختصات مکان
- حیوانات خانگی
در زیر تصویر صفحه ای از یک گروه تلگرامی است که در آن تخلیه داده به صورت پرونده CSV برای خواندن هر کسی.
Mega-Dump: "open data.7z"
یکی از بزرگترین موارد نقض داده ها که در تحقیقات خود مشاهده کردیم ، یک داده واقعاً گسترده از 670 وب سایت ، از جمله شبکه ای از وب سایت های پورنو و شرکت های وابسته به آنها.
هکر مسئول بیش از 515 مگابایت داده از شرکت Effex Media به اشتراک گذاشت. دامپ داده غول پیکر حاوی صدها تخلیه کوچکتر از وب سایت های مختلف تحت مدیریت و متعلق به Effex Media و وب سایت های وابسته به فروش محصولات این شرکت ها بود.
هر یک از این تخلیه ها اطلاعات خصوصی ده ها نفر را نشان می داد در وب سایت ها ثبت نام کرده بود یا از یکی از فروشگاه های آنلاین خود محصولات خریداری کرده بود.
Effex Media دارای چندین وب سایت پورنو کمتر شناخته شده ، مانند seymourbutts.com ، airerose.com و bustynetwork.com است. هر یک از این موارد ، و موارد دیگر ، در نقض داده ها گنجانده شده است.
Effex Media همچنین با شبکه ای از فروشگاه های "dropshipping" همکاری می کند تا محصولات خود را به صورت آنلاین بفروشد. فروشگاه های Dropshipping خرده فروشان آنلاین هستند که هرگز هیچ کالایی را ذخیره نمی کنند بلکه به سادگی به عنوان واسطه ای ارتباط برقرار می کنند که مصرف کننده سعی در خرید کالایی با تأمین کننده ای دارد که آن را می فروشد (در این مورد Effex Media).
3 راه اصلی که هکرها می توانند هویت شما را بدزدند
احساس غرق شدن است ، وقتی یک روز صبح از خواب بیدار می شوید و می بینید که کارت اعتباری شما تخلیه شده است. هر دلار که توسط کسی که تکنیک های پیشرفته ای را برای کنترل اطلاعات شما به کار گرفته ، خرج کرده و هزینه کرده است ، از آنها به نفع خود استفاده می کند و در پایان کار شما را خشک و بلند می کند. این مانند زندگی در یک کابوس بد است و از همه بدتر اینکه می توانستید برای محافظت از خود گام بردارید – اما وقت نگذاشتید که راهنمای جامع ما را در مورد چگونگی ایمن نگه داشتن هویت خود در حالی که به صورت ناشناس در اینترنت مرور می کنید ، بخوانید!
شبکه های Wi-Fi
یكی از بی ضررترین روش هایی كه مهاجمان برای كاوش در گنجینه اطلاعات كارت اعتباری ، لیست سفارشات Amazon.com و ارائه سندنگار Google از طریق به اشتراک گذاری نقاط داغ Wi-Fi عمومی استفاده می کنند. هر زمان که به استارباکس محلی خود متصل می شوید ، رایانه خود را به تعداد زیادی از مشکلات باز می کنید ، از جمله این موارد شامل هنرمندان کرک در دنیای واقعی می شود که در شبکه های معروف شکار می کنند و به اطلاعات شخصی افراد علاقه مند می شوند.
حملات فیشینگ
یکی از قدیمی ترین ترفندهای کتاب ، حملات فیشینگ از طلوع اولین شبکه جهانی وب وجود داشته است. به محض وجود صفحات وب ، افرادی در حال ایجاد نسخه های جعلی از پورتال های اینترنتی مورد علاقه شما برای دسترسی به اطلاعات حساس و اطلاعات شخصی بودند. هکرها می توانند با استفاده از این سایتهای مصنوعی ، شما را وارد کنند تا نامهای کاربری و رمزهای عبور مخفی را وارد کرده و به آنها اجازه دسترسی کامل به تمام اطلاعات حساب شما و همچنین امکان شارژ کارتهای نقدی شما با هر خرده فروش آنلاین را بدهند. مطمئناً ساده ترین روش معمولاً بهترین روش است و اغلب هکرها نمی توانند اطلاعات شما را از طریق برخی بدافزارهای قدیمی و قدیمی که با جدیدترین نسخه فتوشاپ که با شرایطی کمتر از قانون بارگیری کرده اید ، بسته بندی کنند. ما هر وقت تصمیم گرفتیم قانون را کوتاه کنیم و کمی آنلاینتر از قیمت تبلیغ شده به دنبال فیلم ها ، بازی ها و نرم افزارهای مورد علاقه خود در اینترنت بگردیم ، خود را در معرض خطر قرار می دهیم. بسیاری از تورنت ها در پرونده های .zip ، .rar و .exe پیچیده می شوند که همه آنها به عنوان وکتورهای حمله موثر برای آلوده کردن حیاتی ترین و سطح پایین مناطق لپ تاپ یا دسک تاپ شما در خانه شناخته می شوند.
گرچه اینگونه نیست همه این مسائل را می توان با VPN حل کرد ، مواردی که می توانند شما را در بالاترین میزان خطر قرار دهند ، به همین دلیل ثبت نام در یکی از ده ها ارائه دهنده موجود همیشه ایده ای هوشمندانه و سرمایه گذاری مطمئن در آینده است امنیت پرونده شما.
آیا VPN از شما در برابر هکرها محافظت می کند؟ [Expert’s Guide for 2020]
در این روزگار ، استفاده از Wi-Fi عمومی تقریباً غیرممکن است.
شاید دوست دارید در کافی شاپ محلی کار کنید ، یا هنگام انتظار در صف ، وب را مرور کنید. نقاط داغ رایگان و عمومی به معنای واقعی کلمه در همه جا وجود دارد ، جستجوی بازی ها یا بازی کردن یا پیگیری پیام ها به راحتی امکان پذیر است. یک هکر از داده های محافظت نشده شما .
یکی از رایج ترین روش های هک در سال 2020 استفاده از حملات MITM غیر مجاز یا WAP های جعلی است و هر دو این روش ها بستگی دارد شما از Wi-Fi عمومی استفاده می کنید.
حمله غیرمجاز Man-In-the-Middle (یا ، MITM) هنگامی رخ می دهد که هکر خود را به عنوان واسطه بین شبکه Wi-Fi عمومی و رایانه شما قرار دهد بدون رضایت شما بنابراین ، همه فعالیت های آنلاین شما ابتدا از طریق کامپیوتر هکر قبل از رسیدن به اینترنت انجام می شود.
طه Smily و جدید نسل های اخلاقی هکرها با استفاده از مهارت های خود را اینترنت امن
در نشسته اخیرا با طه Smily پژوهشگر مستقل امنیت سایبری به صحبت کردن در مورد نقش او و دیگر اعضای نسل جدیدی از اخلاقی است هکرها این بازی که در سایت های امن نگه داشتن.
لطفا به من بگویید کمی درباره خودتان و چگونه شما را در امر پژوهش امنیت سایبری کردم.
اسم من طاها Smily است; من تحلیلگر مستقل امنیت محقق و رمزنگاری از مراکش . من خود آموخته در چند زبان برنامه نویسی (HTML, پی اچ پی، جاوا اسکریپت، CSS، و پایتون)، رمزنگاری و همچنین شبکه های اساسی پنهان نگاری های پزشکی قانونی. من هم جذب بازیکن پرچم.
در کار در پلت فرم باز اشکال فضل که در آن من کشف آسیب پذیری مورد 3.000 در وب سایت های مختلف که در آن گزارش به صاحبان سایت های. نتیجه کار من در تالار مشاهیر بزرگ چند شرکت ها و سازمان ها از جمله مایکروسافت اپل نوکیا Pivotal و Cert اروپا من.
برخی از پروژه های امنیتی اخیر شما چیست؟
من در حال حاضر درگیر در پروژه های امنیتی متعددی از جمله توسعه وب سرور ابزار تست. علاوه بر این، من فقط برای نوشتن کتاب “روش های نرم افزار امنیت وب” که به زودی منتشر خواهد شد به پایان رسید.
شما همچنین “امنیتی آسیب پذیری فضل شکارچی” است-چه می کند که به معنی?
شکارچیان بخشش آسیب پذیری امنیتی نسل جدید هکرها اخلاقی است که کمک به شرکت های کشف و رفع اشکالات امنیتی خود است.
“فضل اشکال” معامله ارائه شده توسط شرکت به هکرها اخلاقی مثل من مقابل اشکالات امنیتی uncovering است. این برنامه ها فضل اشکال این است که برای این اکتشافات در مقیاس متناسب با شدت مشکلات پرداخت.
بستر های نرم افزاری openbugbounty.org چیست و چگونه کار می کند?
بستر های نرم افزاری باز اشکال فضل توسط گروه محققان مستقل امنیت در ژوئن سال 2014 آغاز شد. این پلت فرم غیر انتفاعی طراحی شده برای اتصال امنیت محققان و صاحبان وب سایت در شیوه ای شفاف و با احترام و متقابلا با ارزش است. هدف ما این است که وب را محل امن تر برای همه.
در حال حاضر هیچ منافع مالی یا تجاری در پروژه. علاوه بر این، ما میزبانی وب و هزینه های توسعه هزینه پرداخت از جیب ما و صرف شب ما تایید مطالب ارسالی جدید.
چگونه سایت های که به test برای نقص های امنیتی را تصمیم شما?
در فقط دو test سایت های محبوب و سایتهایی که مه به نظر می رسد به قوی و امن . البته من به ویژه علاقه مند به نگاه کردن به سایت های که نگران امنیت خود و کسانی که نعمت را ارائه می دهیم.
شما آن را برای تفریح و یا سود انجام دهید؟
از آنجا که من لذت بردن از چالش های جدید, اما بله، همچنین برای سود آن برای تفریح کنم!
زمانی که شما گزارش آسیب پذیری شما اکثر شرکت ها سپاسگزار پیدا کنم؟
بله. امنیت و حفاظت از اطلاعات و داده های شخصی تبدیل شده است یک نگرانی بزرگ برای شرکت های این روزها.
آسیب پذیری های رایج ترین برخورد می کنید؟
رایج ترین مسائل مربوط به من است صلیب سایت برنامه نویسی (XSS)، صلیب سایت درخواست جعل. (CSRF) و دامنه فرعی takeovers.
هنگامی که اسکریپت های مخرب را در غیر این صورت خوش خيم و قابل اعتماد وب سایت های تزریق کراس سایت اسکریپت (XSS) است. این حملات معمولا در قالب اسکریپت مرورگر صفحه است و می تواند دسترسی به تمام کوکی های جلسه نشانه یا سایر اطلاعات حساس توسط مرورگر حفظ و با آن سایت استفاده می شود. این اسکریپت ها حتی می تواند محتوای صفحه HTML را بازنویسی.
صلیب سایت درخواست جعل. (CSRF) حمله که کاربر نهایی به اجرای اقدامات ناخواسته در برنامه تحت وب است که آنها در حال حاضر معتبر می است. در حالی که نه واقعی سرقت از داده ها، حمله CSRF موفق می تواند نیروی کاربر برای انجام تغییر حکومت درخواست مثل انتقال وجوه و آدرس ایمیل خود را تغییر و غیره. CSRF قادر به سازش سراسر وب نرم افزار می توانید اگر قربانی حساب اداری.
دامنه فرعی تصاحب نوع آسیب پذیری است که به نظر می رسد که ورود دی ان اس (دامنه فرعی) سازمان را به یک سرویس خارجی اشاره می کند اما این سرویس دیگر در مورد استفاده است. مهاجم می تواند ثبت نام برای خدمات خارجی و ادعای زیر دامنه آسیب دیده. در نتیجه، مهاجم می تواند میزبان کد مخرب (ex. برای سرقت کوکی های HTTP) در سازمان را زیر دامنه و استفاده از آن کاربران مشروع حمله.
چه هستند برخی از جدی ترین آسیب پذیری شما را دیده اند
جدی ترین آسیب پذیری من مواجه می شوند تزریق SQL برای دامپینگ، و از راه دور کد اجرای بانک های اطلاعاتی هستند.
گذاشتن تزریق است روش تزریق کد، موجب آن نابکار اظهارات SQL را در قسمت ورود برای اعدام به منظور تخلیه محتویات پایگاه داده را به حمله درج می شود.
اجرای کد از راه دور مهاجم توانایی اجرای هر دستور حمله را انتخاب بر روی دستگاه مورد نظر و یا در فرایند مورد نظر است. از آنجا که اجازه می دهد تا مهاجم به طور کامل بیش از فرایند “vulnerable.txt” یکی از قوی ترین اشکالات است. از آنجا حمله بالقوه کنترل کاملی بر روی دستگاه روند را می توانید حال اجرا، اجازه می دهد مخرب برای اجرا بر روی کامپیوتر بدون رضایت مالک.
از تجربه خود را به عنوان پژوهشگر امنیت سایبر چه توصیه شما به توسعه دهندگان نرم افزار امروز می افتد؟
مهم ترین توصیه من بدهید همگام با شکاف های امنیتی و آخرین به روز رسانی در زمینه امنیت اطلاعات است. علاوه بر این، بسیار مهم برای کار با محققان در امنیت سایبری برای شناسایی و رفع هر گونه مسائل امنیتی قبل از محصولات نورد به عموم مردم است.
که در آن شما را مشاهده کنید نرم افزار امنیتی در آینده عنوان
مشکل واقعی با نرم افزار امنیتی حتی عمیق تر از توان خطاب با بهترین شیوه و تخصصی است زبان. طراحی مجدد کامل از نرم افزار معماری از سطح سیستم عامل تا احتمال مورد نیاز برای حل مشکلات سیستمیک با اینترنت چیزها و فراتر از .