یک مدیر کافهبازار با تشریح جزئیات آسیبپذیری امنیتی اخیر و اقدامات فنی مقابله با آن، اطمینان داد که این موضوع پایان یافته و نگرانی دیگری دراین باره وجود ندارد.
تایید خبر دسترسی غیرمجاز به سورسکد یکی از زیرسیستمهای وبسایت کافه بازار درست چند روز پس از نفوذ به بخشی از اطلاعات تاکسی اینترنتی تپسی، بازتاب گستردهای داشت. اپلیکیشن بازار آمار بیش از 40 میلیون نصب را دارد.
اگرچه کافه بازار درباره ابعاد آسیبپذیری امنیتی کشف شده شفافسازی کرده اما برخی متخصصان علاقمند نیز وعده دادهاند که ادعای کافه بازار را راستی آزمایی کنند. خبرنگار فارس درباره مسیر آسیبپذیری، میزان آسیب و مقابله با علی وحدانی مدیر محصول کافهبازار گفتوگو کرده است.
*سورسکد یکی از زیرسیستمهای وبسایت کافهبازار از مجموعه خارج شد
وحدانی در پاسخ به این سوال که کافه بازار وقوع دسترسی غیرمجاز به سورسکد یکی از زیرسیستمهای وبسایت را تایید و نشست اطلاعات از این سایت را رد کرده، چه توضیحی برای اینکه اطلاعات نشت نکرده وجود دارد؟ اظهارداشت: در اطلاعیه رسمی به صراحت نوشتیم که بخشهایی از سورس کد دست یکسری افراد افتاده و این را تأیید کردهایم؛ اما افرادی بودند که ادعا میکردند نفوذ کرده و به اطلاعات کاربران دسترسی پیدا کردهاند؛ برای بررسی این ادعا مسیری که از طریق آن توانسته بودند به سورس کد دسترسی پیدا کنند را پیدا کردیم و بستیم؛ سپس بررسی کردیم که آیا از این طریق توانستهاند نفوذ دیگری انجام دهند یا خیر که در نتیجه بررسی مطمئن شدیم تمام ادعاهای دیگر کاملاً غلط است و آنها اگر یک رکورد دیتا داشتند تاکنون منتشر کرده بودند و مطمئن شدیم که دیتایی نداشتهاند.
وی توضیح داد: تمام ردپاهای آنها را جستوجو کردیم و مشخص شد آنچه به دست آوردهاند دیتای کاربران نبوده؛ بلکه از روی وبسرور توانسته بودند یک آسیبپذیری پیدا کرده و سورس کد را دانلود کنند؛ آنها وارد سرور نشدند که بتوانند به دیتایی دسترسی داشته باشند؛ از اینرو در بیانیه به صراحت اعلام کردیم که توانستهاند به سورس کدی دسترسی پیدا کنند اما هیچ دسترسی دیگری نداشتند و همه راهها را بسته و چک کردهایم که مطمئن شویم هیچ دیتایی نشت نکرده است.
*چه بخشی از اخبار و مستندات نفوذ به دیتابیس اطلاعات کاربران صحت دارد؟
وحدانی در پاسخ به این سؤال که اخبار متعددی از ابعاد این آسیبپذیری امنیتی منتشر شده است، کدام یک از این اخبار صحت دارد؟ گفت: معتقد بودیم اگر آسیبپذیری وجود دارد به آن حساس هستیم، باید جلوی آن را بگیریم و درباره اینکه چه خطری وجود دارد اطلاعرسانی کنیم؛ اما مسئله این بود که آنها میخواستند از حداقل چیزی که به دست آوردهاند خبرسازی کنند و اخبار جعلی تا جایی پیش رفت که در رسانههای غیررسمی و حتی کانالهای برانداز از ردپاهایی غیرواقعی در سورسکدهای کافه بازار صحبت کردند. رسانههای بینام و نشان که امروز زیاد شدهاند علاقه دارند سروصدا به راه بیندازند و با برداشت شخصی خود، ولو دروغ خبر جنجالی بزنند؛ در این مسیر از رسانهها انتظار داریم با انتشار اخبار صحیح ما را کمک کنند.
مدیر محصول کافهبازار ادامه داد: نفوذگران توانستند به سورسکد وب سایت دسترسی داشته باشند و به سورس کد اپلیکیشن و سرورها دسترسی نداشتهاند؛ تنها یک عدد از سرورهای غیراصلی وب سایت مورد دسترسی قرار گرفته که سورس کد وب سایت را نگه میدارد و حتی نتوانستند سورس کد سیستمهای اصلی را بدزدند. بخش زیادی از سرورهای ما در حال سرویسدهی به ۴۰ میلیون کاربر کافه بازار هستند که به آنها دسترسی نیافتهاند.
وی ادامه داد: این سورس کد چیزی نیست غیر از سایت کافهبازار که با وارد کردن آدرس سایت یک سری اپلیکیشن نمایش داده میشود. تمام آنچه که به عنوان مصداق نفوذ گذاشته شده بود کد و تنظیمات این سایت بود و هیچ چیزی دیگری نبود که دیتای کاربر یا دیتای اپلیکیشن باشد. با دنبال کردن رد پای جایی که توانسته سورس کد را از آنجا بگیرد، لاگ تمام فایلهایی که موفق شده بود دانلود کند را از سرور نگاه کردیم و اکنون دقیقاً میدانیم که چه چیزی به دست آورده و چه چیزی به دست نیاورده است؛ دیتایی که به دست آورده را تحلیل و تمام ادعاهای مطرح شده در توئیتها و مطالب کانالها را مانیتور کردهایم و با قطعیت میگوییم که صحت نداشته اند. برای مثال یکی ادعا کرده بود که دیتا بیس از کافه بازار دارد و نمونه ارائه کرده بود که فایل ارایه شده خندهدار بود؛ همان سورس کدها را داخل یک فایل ریخته بود و گفته بود دیتابیس است. اصلاً چنین چیزی نبوده و هیچ دیتایی ندارند که بخواهند منتشر کنند که اگر یک رکورد داشتند منتشر میکردند.
*چرا جایزه کشف باگهای امنیتی به کار نیامد؟
وحدانی در واکنش به اینکه طبق اعلام کافهبازار، طرح اعطای پاداش در ازای کشف باگهای امنیتی (Bug Bounty Program) را دارد که این رویه در بسیاری از شرکتهای بزرگ که به خود اطمینان دارند دیده میشود، اما این امکان کافهبازار برای نفوذگران جذاب نبود که کارآمد واقع شود، چرا؟ گفت: اگرچه تمام تلاشمان را میکنیم اما میدانیم مسیرهایی ممکن است باز باشد؛ تمام شرکتها برای شناسایی باگ و راه نفوذ مشوق میگذارند و هکرهایی در این شغل وجود دارند که باگها را به آنها گزارش میکنند؛ ما نیز این کار را کردهایم و به هکری که ادعا کرده بود اعلام کردیم که جایزه گزارش باگ داریم، گزارش کن و جایزه بگیر. اولین برای که خبر منتشر شد در اطلاعیه اول به این موضوع اشاره کردیم که اگر آنها تاکنون نمیدانستند که چنین امکانی داریم مطلع شوند؛ اما مسئله آنها تنها ضربه زدن بود. اگر قصد گزارش و جایزه گرفتن داشتند موافق بودیم.
مدیر محصول کافهبازار اضافه کرد: فارغ از مسئولیتم در کافه بازار حتی از شرکتهای بزرگ در اندازه جهانی نیز انتظار نفوذ و حتی نشت اطلاعات میرود؛ در این زمینه نه تنها از استاندارد جهانی خیلی دور نیستیم بلکه شرایط خوبی در ایران داریم؛ در ایران اطلاعات ۲۰ میلیون مشترک یکی از اپراتورهای تلفن همراه نشت کرد چه اتفاقی افتاد؟ در نتیجه اصلا خود را با شرایط داخل مقایسه نمیکنیم اما در استاندارد جهانی نیز اتفاق اخیر یک حمله در حد نفوذ به سورسکد یکی از زیرسیستمها بود که با سورس کد استخراجی نمیتوانستند کاری کنند.
وی تاکید کرد: جزئیات فنی آسیبپذیری را در بلاگ فنی توضیح میدهیم و تلاش میکنیم در اختیار سایر شرکتها بگذاریم تا در موارد مشابه تجربه داشته باشند.
* نگرانی از انتشار اخبار جدید از نفوذ در روزهای آینده وجود دارد؟
وحدانی در پاسخ به این سوال که علیرغم شفافسازی کافه بازار درباره آسیبپذیری امنیتی، برخی برای راستی آزمایی ادعای کافه بازار و روشن شدن ابهامات درباره میزان نفوذ و رفع آسیب اعلام آمادگی کردهاند، نگرانی بابت اینکه در روزهای آینده اخبار جدیدی از این نفوذ منتشر شود وجود ندارد؟ گفت: تنها نگرانی از خروج این سورس کد که میتوانست وجود داشته باشد و روی آن تمرکز کردیم این احتمال بود که آنها از طریق این سورس کد بتوانند دیتایی پیدا کنند و سپس از طریق آن بتوانند به سرورهای دیگر حمله کنند تا دیتای کاربران را بدزدند که در همان زمان دو کار را برای مقابله انجام دادیم؛ نخست اینکه تمام مسیرهای احتمالی نفوذ را بررسی کردیم و ردپاهایی که حدس زدیم شاید با این دیتا، دیتایی دیگری را بدست آورند را گشتیم؛ دوم اینکه تمام کلیدها و پسوردهای لازم و تنظیمات را از ابتدا انجام دادیم انگار که این تنظیمات لو رفته تا مطمئن شویم خطر امنیتی جدیدی ما را تهدید نمیکند.
وی تأکید کرد: بنابراین تنها کارکرد این سورسکد این احتمال بود که از این دیتا قصد حمله دیگری را داشته که جلوی آن را گرفتهایم.
*افشاکنندگان جدی نبودند بیانیه دوم که تاییدگر نفوذ بود ارایه میشد؟
وی در پاسخ به سؤال فارس که بیانیه اول کافهبازار خیلی زود منتشر شد که البته حاوی اطلاعات مهمی نبود و در واقع گزارش آسیب را رد کرده بود، برخی تصور میکنند اگر ادعا با جدیت مطرح نمیشد شاید کافهبازار بیانیه دیگری ارایه نمیداد که بخواهد در آن آسیبپذیری را بپذیرد، پس از اطلاع از موضوع روند پیگیری توسط تیم امنیتی مجموعه که منجر به صدور بیانیهها میشد، چه بود؟ گفت: همواره شبکههای اجتماعی را مانیتور میکنیم که به محض انتشار خبر در شبکههای اجتماعی بررسی موضوع شروع شد و چند ساعت بعد بیانیه اول منتشر شد؛ پس از انتشار بیانیه اول بررسی را ادامه دادیم و متوجه شدیم قضیه چه بوده و سورسکد از کجا به دستشان رسیده و مقداری طول کشید که بفهمیم آیا با سورسکدی که به دست دارند کار دیگری میتوانند انجام دهند. سپس بیانیه دوم را ارایه دادیم که مجموع اقدامات در حدود 18 ساعت طول کشید.
وحدانی اضافه کرد: در بیانیه اول هنوز با قطعیت نمیدانستیم که چه اتفاقی افتاده است؛ فقط اعلام کردیم که متوجه موضوع هستیم و موضوع در حال بررسی است و در آخر بیانیه اعلام کرده بودیم که اگر کسی دیتایی دارد و به دنبال جایزه است پول را پرداخت میکنیم و آسیبپذیری را اعلام کند؛ البته کار به اینجا نکشید و مشاور امنیتی گرفتیم و همکاران امنیتی مجموعه تحلیل کردند و متوجه شدیم. وقتی شخصی عکس از سورسکد میگذارد حتی ممکن است این عکس از صفحه برنامهنویسی در حال انجام گرفته باشد. در بیانیه اول مسائل از صفر (بهترین حالت) تا 100 (بدترین حالت) پیش رویمان بود؛ از اینکه فقط یک عکس است یا اینکه همه چیز لو رفته است؛ در نهایت تصور میکنم روال معقولی را طی کردهایم.
*چه نظارت بالادستی بر امنیت اطلاعات کاربران در کسبوکارها است؟
مدیر محصول کافهبازار در پاسخ به سؤال دیگر فارس درباره اینکه با رشد کسبوکارهایی که با اطلاعات کاربران سروکار دارند جذابیت این تجارتها برای هکرها بیشتر شده، آیا از سوی حاکمیت دستورالعمل یا گواهی امنیتی برای مشخص کردن چارچوب و الزامات ملاحظات امنیتی در این شرکتها وجود دارد؟ گفت: شرکت خصوصی به دلیل ذات تجارت و درآمد به هر آنچه که به کسبوکار لطمه وارد کند حساس است، حتی حساستر از بخشی غیر خصوصی که ملاحظات امنیتی بیشتری را پشت سر گذاشتهاند. همچنان که در چند روز گذشته در نتیجه نفوذ به سایتی دولتی حداقل تا ۲۴ ساعت پس از انتشار خبر اطلاعات همه کاربران قابل دسترس بود.
وی در واکنش به اینکه شرکتهای بزرگ شاید بتوانند از خود مطمئن باشند اما با رشد بازار کسبوکارهای سرویس و کاربر محور، هر روز برنامههای جدیدی برای ارایه خدمات به مردم ارایه میشوند که در نتیجه نگهداشت اطلاعات کاربران در مجموعههای جدا بیشتر میشود، در این صورت تضمین امنیت اطلاعات کاربران در شرکتهای کوچکتر یا در حال رشد که برای رفع تمامی نیازهای خود به بلوغ نرسیدهاند چیست؟ گفت: البته شرکتهای کوچکتر اطلاعات کمتری دارند و به همین میزان درصد ریسک در آنها در مقایسه با شرکتهایی با چند میلیون کاربر کمتر است؛ مرکز ماهر (در زیرمجموعه وزارت ارتباطات و فناوری اطلاعات) در برخی موضوعات مانند اپلیکیشنها دستورالعملهای ابلاغ کرده که عمل کردهایم اما در حالت کلی اگر دستورالعمل یا گواهی امنیتی برای این موضوع وجود دارد بحث حقوقی است و اطلاع ندارم.
*به کمک مرکز ماهر نیاز پیدا نکردیم
وحدانی در پاسخ به این سوال که آیا در این رخداد به کمک مرکز ماهر نیاز پیدا کردید، گفت: در این مورد و در موقع بحران نیاز به کمک نبود اما در حال مذاکراتی هستیم که بتوانیم از مشاوران امنیتی آنها کمک بگیریم.
مدیر محصول کافهبازار خاطر نشان کرد: البته در حال حاضر با برخی مراکز امنیتی زیرمجموعه ماهر از جمله مرکز آپا شریف همکاری داریم و با مرکز آپای امیرکبیر نیز به زودی همکاری خواهیم داشت.