کیوسک

ضعف امنیتی در حوزه کودکان

10 سال پیش ( 1394/9/18 )

شرکت آمریکایی تولید اسباب‌بازی وی تک (Vtech) متهم شده است که رمز ورودی مشتریانش را در بانک اطلاعاتی‌اش ایمن‌سازی نکرده‌است. ماه گذشته هکرها به اطلاعات حساب بیش از 6 میلیون کودک از مشتریان این شرکت دسترسی پیدا‌کردند. محققان امنیتی بر این باور هستند که وی‌تک مراحل معمول حفاظت از رمز ورودی مشتریانش را در مواقعی که احتمال نفوذ وجود دارد، رعایت نکرده ‌است. یک متخصص امنیتی این غفلت وی‌تک را «نابخشودنی» خوانده‌است.

روز دوشنبه شرکت وی‌تک طی ایمیلی با مشتریانی که اطلاعات آنها حک شده بود تماس گرفت و به‌ آنها اعلام ‌کرد رمز ورودشان رمزگذاری شده است اما در عین حال گفت احتمال آنکه هکرها اطلاعات‌شان را رمزگشایی کرده‌باشند وجود دارد.

در همین حین ریک فرگوسن، از شرکت امنیت سایبری‌ترند میکرو (Trend Micro) گفته است وی‌تک رمزهای ورودی مشتریان را در داده‌های اطلاعاتی‌اش جابه‌جا نکرده‌است و حتی سوالات امنیتی مشتریان و پاسخ‌های آنها را در صفحه‌های ساده نگهداری می‌کرده‌است.

چگونه وب‌سایت‌ها باید رمز ورودی شما را نگهداری کنند؟

وب‌سایت‌های مورد اطمینان هیچ‌گاه رمزهای انتخابی شما را به درحالی‌که قابل خواندن باشند نگهداری نمی‌کنند. به جای آن الگوریتم‌‌های ریاضیاتی رمز شما را به دسته‌ای از کدها تبدیل می‌کنند و تنها مخلوطی از رمز شما در آن وب‌سایت‌ها ذخیره‌می‌شود. با آنکه وی‌تک رمز مشتریان خودرا مخلوط کرده‌بود، اما با این حال این روش به‌تنهایی از دستیابی هکرها به رمزهای ذخیره شده جلوگیری نمی‌کند.

برای پیچیده‌تر کردن مراحل مخلوط ساختن رمزها، متن‌هایی به‌صورت تصادفی، به نام سالت (Salt) ایجادشده و قبل از مخلوط شدن به رمزهای‌ورودی اضافه‌می‌شود. اضافه‌کردن این متن‌ها سبب می‌شود هر مخلوط رمزی با دیگر مخلوط‌ها متفاوت باشد، حتی اگر افراد مختلف از رمز‌های یکسان استفاده کنند. این امر باعث می‌شود تا دسترسی به رمزها برای هکرها بسیار وقت‌‌گیر و حتی غیرعملی‌باشد. وی‌تک با کوتاهی در امنیت‌سازی رمز‌های ورودی مشتریانش، این رمزها را در معرض هک شدن قرار داده‌است.