Image

افزونه ها سابقه ی وبگردی شما را پیدا کرده و می فروشند!

در ژوئن 2019، سام جدلی محقق چندین افزونه، برای مرورگرهای کروم و فایرفاکس کشف کرد که عده ای تاریخچه ی وبگردی را جمع آوری کرده و  آن را به یک سازمان طرف سوم انتقال می دادند. علاوه بر این، او همچنین پلت فرمی را کشف کرد که در آن چنین اطلاعاتی خرید و فروش می شدند. شاید تا این مرحله از کار فکر کنید که جایی برای نگرانی نیست. اما اگر یک نفر پی ببرد که یکی از کارمندان شما به وبسایت کنتراکتور سر زده یا حتی به اکانت سازمانی در یک شبکه ی اجتماعی لاگین کرده آنوقت چه اتفاقی می افتد؟ همه ی مهاجمین آدرس او را می گیرند. اکنون با خود می گویید آنها نمی توانند به اطلاعات دسترسی پیدا کنند؛ پس اهمیّتش در چیست؟

بسیار خوب، این افزونه ها به صورت دوره ای داده های درون سازمانی را نشت می دهند؛ در ادامه از جزئیات این ماجرا برایتان خواهیم گفت:

 در این اثناء باید بیشتر نگران "صفحات بسته" بود؛ که تنها از طریق لینک های خاص می توانند برای نشت اطلاعات مورد استفاده قرار گیرند. در واقعیت، تنها چیزی که از این صفحات حفاظت می کند، محرمانه بودنشان است. در ادامه چند مثال از این صفحات برایتان آورده ایم:

کنفرانس های آنلاین

فرض کنید شرکت شما از کنفرانس های وبی- جایی که کارمندان دپارتمان های مختلف در مورد برنامه فعلی شان بحث و گفتگو می کند-  نهایت استفاده را می کنید؛ از سازماندهی جلسات مهم و حساس گرفته تا صرفاً یک دریافت اطلاعاتی ساده از سوی مدیریت. بسیاری از پلت فرم ها اساساً برای برگزاری همین نوع کنفرانس هاست که وجود دارند. برای شرکت در برخی، باید رمز داشته باشید ولی در مورد شرکت های کوچک می توانید از آنها به طور رایگان استفاده کنید. شاید هم مجبور شوید از راه حل های مقرون به صرفه ای استفاده کنید که تنها به لینکی، حاوی شناسه ی ویژه ی جلسه نیاز دارند؛ که متصدی این امر آن را برای تمام علاقه مندان ارسال می کند. فکر کنید تمام چیزی که برای شرکت در چنین رویدادهایی لازم است همین هایی است که گفتیم؛ حالا تصور کنید یکی از کارمندانی که این لینک را دریافت کرده است افزونه ای  در مرورگرش نصب شده باشد که قادر باشد این اطلاعات را در اختیار اجنبی ها قرار دهد. به محض اینکه این فرد به کنفرانس ملحق می شود، این plugin بی رحم، URL خود را به بازار ارسال می کند. مهاجمی هم که سعی دارد اطلاعات مربوط به شرکت را جمع آوری کند و یا هم صرفاً به د نبال فرصت است، سابقه ی وبگردی کارمندان شما را می خرد و درست از همین طریق است که می تواند ببیند و در جریان برگزاری جلسات قابل دسترسی قرار گیرد. هیچ چیز نمی تواند جلوی خریدار این لینک را برای پیوستن به این نشت بگیرد. البته شرکت کنندگان دیگر، نوتیفیکیشنی دریافت خواهند کرد مبنی بر اینکه فردی به رویداد ملحق شده است. اما اگر کلی شرکت کننده وجود داشته باشد و هیچکس هم یکدیگر را نشناسد، پس دیگر احتمال اینکه کسی به فردی ناشناس شک کند بسیار کم است. در نتیجه، هر چیزی در کنفرانس مطرح شود در اختیار بیگانگان هم قرار خواهد گرفت.

صورت حساب های آنلاین از سوی تأمین کنندگان

کارمندان شرکت شما ممکن است از سرویس های صورت حساب آنلاین استفاده کنند. برای برخی سرویس ها، می توان با استفاده از لینکی منحصر به فرد (قابل دسترسی برای عموم) به فاکتور های پرداختی دست پیدا کرد. اگر مهاجم به چنین فاکتورهایی دسترسی داشته باشد، می تواند نام و آدرس شرکت تأمین کننده، مبلغ دریافتی و سایر اطلاعات را پیدا کنند. درست است که در برخی موارد، اگر چنین اطلاعاتی به دست افراد بیگانه برسد اتفاق خاصی نخواهد افتاد؛ اما برای کسی که کارش پیاده سازی مهندسی اجتماعی است، این فاکتورها حکم طلا را دارند.

داکیومنت های کاری

بسیاری از شرکت ها همچون گوگل درایو، برای مقاصد مشارکتی از این چنین سرویس های آنلاین استفاده می کنند. به طور نظری، آن ها به شما اجازه می دهند برای اینکه نگذارید بیگانه ها فایل ها را باز کنند، آن ها را محدود کنید. با این حال هر کسی روی فایل های اشتراک گذاری شده چنین محدودیت های اعمال نمی کند. این چنین داکیومنتی ممکن است حاوی هر نوع اطلاعاتی باشد؛ از اطلاعات مربوط به قیمت گرفته تا داده های شخصی پرسنل.

راهکارهایی برای جلوگیری

به منظور کم کردن میزان خطرات افشای چنین لینک هایی، به کارمندان خود متذکر شوید که باید پیش از نصب هر افزونه ی مرورگر، جوانب احتیاط را بسنجند و همچنین اگر سرویس آنلاینی که استفاده می کنند چنین اجازه ای داد، باید پیش از اشتراک گذاری، دسترسی داکیومنت را محدود کند. بهترین روش مدیریت این ماجرا، تأیید فهرستی است از افزونه های مرورگر قابل اطمینان و ممنوع کردن هر چیز دیگری که می تواند نشانی از خطر داشته باشد. علاوه بر این، روی سرویس های آنلاینی که شرکت استفاده می کند تحلیل انجام دهید و آنهایی را که بدون نیاز به احراز هویت، دسترسی را مجاز می کنند شناسایی کنید. اگر سرویسی به فرد دسترسی دارد (به واسطه ی لینک) دنبال جایگزین مطمئن تری باشد.