Jannah Theme License is not validated, Go to the theme options page to validate the license, You need a single license for each domain name.
أخبار التقنية

يُظهر خرق Reddit هذا الأسبوع أن أمان الشركة (لا يزال) غير كافٍ بشكل محزن


GettyImages

أثبت موقع النقاش الشهير Reddit هذا الأسبوع أن أمانه لا يزال غير كافٍ عندما كشف عن خرق أمني آخر كان نتيجة لهجوم نجح في خداع بيانات اعتماد تسجيل دخول الموظف.

في منشور نُشر يوم الخميس ، قال كبير المسؤولين التقنيين في Reddit ، كريس “KeyserSosa” Slowe ، إنه بعد خرق حساب الموظف ، تمكن المهاجم من الوصول إلى كود المصدر والمستندات الداخلية ولوحات المعلومات الداخلية وأنظمة العمل وتفاصيل الاتصال بمئات من موظفي Reddit. قال Slowe إن التحقيق في الاختراق خلال الأيام القليلة الماضية لم يكشف عن أي دليل على أن أنظمة الإنتاج الأساسية للشركة أو أنه تم الوصول إلى بيانات كلمة مرور المستخدم.

كتب Slowe: “في أواخر (PST) في 5 فبراير 2023 ، علمنا بحملة تصيد احتيالية معقدة استهدفت موظفي Reddit”. “كما هو الحال في معظم حملات التصيد الاحتيالي ، أرسل المهاجم مطالبات تبدو معقولة توجه الموظفين إلى موقع ويب استنساخ سلوك بوابة إنترانت الخاصة بنا ، في محاولة لسرقة بيانات الاعتماد ورموز العامل الثاني.”

وقع موظف واحد في عملية الاحتيال ، وبهذا ، تم اختراق Reddit.

ليست هذه هي المرة الأولى التي تؤدي فيها حملة تصيد بيانات الاعتماد الناجحة إلى اختراق شبكة Reddit. في عام 2018 ، أدى هجوم تصيد احتيالي ناجح على موظف آخر في Reddit إلى سرقة جبل من بيانات المستخدم الحساسة ، بما في ذلك بيانات كلمات المرور المملحة والمجزأة ، وأسماء المستخدمين المقابلة ، وعناوين البريد الإلكتروني ، وجميع محتويات المستخدم ، بما في ذلك الرسائل الخاصة.

في هذا الخرق السابق ، كان حساب الموظف المخادع محميًا بواسطة شكل ضعيف من المصادقة الثنائية (2FA) التي تعتمد على كلمات مرور لمرة واحدة (OTP) مرسلة في رسالة نصية قصيرة SMS. استاء ممارسو الأمن من استخدام 2FA المستند إلى الرسائل القصيرة لسنوات لأنه عرضة للعديد من تقنيات الهجوم. أحدهما هو ما يسمى بتبديل بطاقة SIM ، حيث يتحكم المهاجمون في رقم الهاتف المستهدف عن طريق خداع شركة الجوال لنقله. الاحتيالات الأخرى OTP.

عندما كشف مسؤولو Reddit عن خرق 2018 ، قالوا إن التجربة علمتهم أن “المصادقة المستندة إلى الرسائل القصيرة ليست آمنة تقريبًا كما نأمل” و “نشير إلى ذلك لتشجيع الجميع هنا على الانتقال إلى 2FA المستند إلى الرمز المميز. “

تقدم سريعًا بضع سنوات ، ومن الواضح أن Reddit لم يتعلم بعد الدروس الصحيحة حول تأمين عمليات مصادقة الموظفين. لم يكشف Reddit عن نوع نظام 2FA الذي يستخدمه الآن ، ولكن الاعتراف بأن المهاجم نجح في سرقة الرموز المميزة للعامل الثاني للموظف يخبرنا بكل ما نحتاج إلى معرفته – أن موقع المناقشة يستمر في استخدام 2FA الذي يُحزن عليه هجمات تصيد بيانات الاعتماد.

يمكن أن يختلف سبب هذه الحساسية. في بعض الحالات ، تعتمد الرموز على الدفعات التي يتلقاها الموظفون أثناء عملية تسجيل الدخول ، وعادةً ما يتم ذلك فورًا بعد إدخال كلمات المرور الخاصة بهم. يتطلب الدفع أن يقوم الموظف بالنقر فوق ارتباط أو زر “نعم”. عندما يقوم موظف بإدخال كلمة المرور في موقع تصيد ، يكون لديه كل التوقعات بتلقي الدفع. نظرًا لأن الموقع يبدو أصليًا ، فليس لدى الموظف سبب لعدم النقر فوق الارتباط أو الزر.

كلمات المرور التي تم إنشاؤها بواسطة تطبيق المصادقة مثل Authy أو Google Authenticator معرضة للخطر بالمثل. لا يقوم الموقع المزيف بالتلاعب بكلمة المرور فحسب ، بل أيضًا في كلمة المرور لمرة واحدة. يقوم المهاجم السريع ، أو الترحيل الآلي على الطرف الآخر من موقع الويب ، بإدخال البيانات بسرعة في بوابة الموظف الحقيقية. مع ذلك ، يتم اختراق الشركة المستهدفة.

يتوافق أفضل شكل من أشكال المصادقة الثنائية المتاحة الآن مع معيار الصناعة المعروف باسم FIDO (الهوية السريعة عبر الإنترنت). يسمح المعيار لأشكال متعددة من المصادقة الثنائية (2FA) التي تتطلب قطعة مادية من الأجهزة ، غالبًا هاتف ، لتكون بالقرب من الجهاز الذي يقوم بتسجيل الدخول إلى الحساب. نظرًا لأن المخادعين الذين يقومون بتسجيل الدخول إلى حساب الموظف على بعد أميال أو قارات بعيدًا عن جهاز المصادقة ، يفشل 2FA.

يمكن جعل FIDO 2FA أقوى إذا ، بالإضافة إلى إثبات حيازة الجهاز المسجل ، يجب على المستخدم أيضًا توفير مسح ضوئي للوجه أو بصمة لجهاز المصادقة. يسمح هذا الإجراء بـ 3FA (كلمة مرور ، وحيازة مفتاح مادي ، وبصمة الإصبع أو مسح الوجه). نظرًا لأن القياسات الحيوية لا تترك جهاز المصادقة أبدًا (نظرًا لأنها تعتمد على بصمة الإصبع أو قارئ الوجه على الهاتف) ، فلا يوجد خطر على خصوصية الموظف.

في العام الماضي ، حصل العالم على دراسة حالة واقعية في التناقض بين 2FA و OTPs و FIDO. استخدم محتالو بيانات الاعتماد محتالًا مقنعًا لبوابة الموظف لشركة الأمان Twilio وترحيل في الوقت الفعلي لضمان إدخال بيانات الاعتماد في موقع Twilio الحقيقي قبل انتهاء صلاحية OTP (عادةً ما تكون OTPs صالحة لمدة دقيقة أو أقل بعد ذلك صادر). بعد خداع موظف أو أكثر لإدخال بيانات اعتمادهم ، دخل المهاجمون وشرعوا في سرقة بيانات المستخدم الحساسة.

في نفس الوقت تقريبًا ، تعرضت شبكة توصيل المحتوى Cloudflare لنفس حملة التصيد الاحتيالي. بينما تم خداع ثلاثة موظفين لإدخال بيانات اعتمادهم في بوابة Cloudflare المزيفة ، فشل الهجوم لسبب واحد بسيط: بدلاً من الاعتماد على OTPs لـ 2FA ، استخدمت الشركة FIDO.

لكي نكون منصفين لـ Reddit ، لا يوجد نقص في المنظمات التي تعتمد على 2FA المعرضة للتصيد الاحتيالي للاعتماد. ولكن كما لوحظ بالفعل ، كان Reddit يسير في هذا الطريق من قبل. تعهدت الشركة بالتعلم من اقتحام 2018 ، لكن من الواضح أنها استخلصت الدرس الخطأ. الدرس الصحيح هو: FIDO 2FA محصن ضد التصيد الاحتيالي. OTPs وعمليات الدفع ليست كذلك.

لم يرد ممثلو Reddit على رسالة بريد إلكتروني تطلب تعليقًا على هذا المنشور.

الأشخاص الذين يحاولون تحديد الخدمة التي يجب استخدامها ويتم الحكم عليهم من قبل فرق المبيعات أو الإعلانات من عدة مزودين منافسين ، من الأفضل أن يسألوا ما إذا كانت أنظمة المصادقة الثنائية (2FA) الخاصة بالمزود متوافقة مع FIDO. مع تساوي كل شيء آخر ، فإن المزود الذي يستخدم FIDO لمنع اختراق الشبكة هو الخيار الأفضل.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى

What Are the Secrets Behind Billy Gardell’s Weight Loss in 2024? 5 Scientifically-Backed Ways to Lose Weight Best Appetite Suppressants for Hunger Control and Weight Loss in 2022 Top 5 Christina Aguilera Weight Loss Secrets: What Worked for Her Do Keto ACV Gummies Really Work? A Comprehensive Look Honest and Comprehensive Review of Biopure Keto Gummies Where to Buy Keto Gummies: Your Guide to the Best Products Your Guide to Walmart Keto ACV Gummies: Benefits, Reviews, and More! How Slim Plus Keto ACV Gummies Can Transform Your Weight Loss Journey Transform Your Body with Ripped Results Keto Gummies: The Tasty Way to Keto Success The Ultimate Guide to Total Fit Keto ACV Gummies for Weight Loss The Ultimate Guide to 1st Choice Keto + ACV Gummies The Ultimate Guide to Optimal Keto + ACV Gummies: Benefits and Usage Unraveling the Truth Behind ProFast Keto ACV Gummies: A Comprehensive Review Why You Need Keto and ACV Gummies: Discover Their Benefits Is the Keto + ACV Gummies Scam Real? Let’s Investigate! How Jonah Hill’s Weight Loss Journey Transformed in 2024 Why Anant Ambani’s Weight Loss Approach Worked: Detailed Insights and Methods How Jelly Roll’s 2024 Weight Loss Journey Transformed His Life Kelly Clarkson Weight Loss Secrets: How She Did It in 2024 Simple and Easy Tips from Melissa McCarthy’s Weight Loss Success Best Peptides for Weight Loss in 2024: Easy Choices, Proven Solutions, and Benefits How Lizzo’s Weight Loss Journey Evolved in 2024: Facts and Insights How Rebel Wilson Achieved Her Weight Loss Goals: Steps and Secrets Ultimate Facts About Weight Loss Drugs for Alzheimer’s: Latest 2024 Analysis Berberine Weight Loss: Latest Insights & Benefits for 2024 Why Semaglutide Dosage Matters for Effective Weight Loss: Tips and Insights Leanbean Review 2022: Ingredients, Effectiveness, and Side Effects