درگاه واسط پی پینگ چگونه هک شد؟


سلام

خدمت دوستان عزیز من سعی کردم پست های مفیدی برای شما عزیزان قرار بدم تو این پست من میخوام راجب درگاه واسط پی پینگ صحبت کنیم مطلبی که براتون میزارم منبعش سایت اولترا سکوریتی هستش.

یک نکته مهم اینکه امنیت صدردصد نیست و سایت های بزرگی مثل گوگل ناسا فیس بوک توییتر و... هرکدوم یکبار هک شدن و این پستی که من میزارم دلیل بر این نیست درگاه واسط پی پینگ امن نیست و استفاده نکنید به نظر من یکی از درگاه های خیلی خوب معتبر ایرانه تیم خیلی خوبی هم داره این مطلب فقط جنبه آموزشی برای تخریب برند پی پینگ نیست.

پی پینگ چگونه هک شد ؟

درحال بررسی وبسایت پی پینگ بودم که ناگهان متوجه یکسری اطلاعات با فرمت XML در یکی از صفحات پی پینگ شدم که حاوی یک لیست عظیم از آیدی و آدرس فایل های آپلود شده روی سرور بود. میدانستم این اتفاق بر اثر بی دقتی تیم فنی سایت رخ داده و یک حفره بزرگ امنیتی نیست و وجود آن در اکثر وبسایت ها مانعی ندارد و مشکلی به وجود نمی آورد اما این مورد برای سایت ها و سرویس های امثال پی پینگ صدق نمی کند.
کمی با اطلاعات موجود در آن صفحه بازی کردم و متوجه شدم که این اطلاعات می توانند با ارزش و حیاتی باشند؛ پس به کمک پایتون یک اسکریپت برای پردازش آیدی ها و آدرس ها و در نهایت دانلود فایل های آپلود شده نوشتم، البته به دلیل عظیم بودن لیست فایل ها فقط به دانلود تصاویر و فایل های PDF , DOCX و XLS بسنده کردم و تا حد امکان به دانلود ادامه دادم و پس از متوقف کردن اسکریپت، شروع به بررسی فایل های دانلود شده کردم.
بعد از یک نگاه اجمالی به فایل ها شگفت زده شدم! اطلاعات به دست اومده حاوی فاکتور های پرداخت کاربران، واریز ها، شماره تلفن ها، شماره های شبا و شماره حساب بانکی کاربران، به همراه نام و تعدادی از اطلاعات شخصی افراد، ایمیل ها و لینک های برگشتی خرید و همچنین برخی تصاویر که کارمندان پی پینگ داخل یا خارج شرکت از خود گرفته اند بود، میان آنها تصاویر و اطلاعاتی از زمان مراحل ساخت و طراحی سرویس پی پینگ نیز وجود داشت؛ بهتر است بگوییم هر اطلاعاتی که باید مخفی باشد و حتی کارمندان پی پینگ هم به آن دسترسی نداشته باشند، حالا در درایو D سیستم بنده همسایۀ فایل اسکریپت بود. اطلاعات به قدری کافی بود که حتی شماره تلفن، شماره حساب بانکی، تاریخ تولد، کد ملی و حتی نام پدر مدیر عامل پی پینگ نیز به دست آمد.
همانطور که گفتم وجود این بی دقتی در خیلی از سایت ها مشکلی به وجود نمی آورد اما از آنجا که پی پینگ با اینکه مجوز فعالیت دارد و تماما قانونی عمل می کند چند باری فیلتر شد، هر بار هم تنها به دلیل اینکه یکی از کاربران آن تخلفی کرده بود، حال اگر پی پینگ تنها با تخلف یکی از کاربرانش فیلتر می شود قطعا با افشای اطلاعات ذکر شده تا مرز نابودی پیش خواهد رفت.
ابتدا این موضوع را با چند نفر از دوستانم در میان گذاشتم و بعضا می گفتند “تا میتونی با این اطلاعات ازشون بِکَن!”، شاید هم کار درست همین بود اما شخصا این که آن ها را مجبور کنم تا حتما مبلغی در ازای نقص امنیتی پرداخت کنند و اگر پرداخت نکنند بدبخت خواهند شد را غیراخلاقی میدانم، و ترجیح دادم این موضوع را به خود پی پینگ بسپارم که اگر پاداشی میخواهند بدهند با رضایت کامل باشد؛ پس به سراغ پشتیبانی پی پینگ رفتم و با ایشان گفتگو کردم تا هرچه سریع تر این نقص را برطرف کنند؛ و خوشبختانه افراد ماهری در تیم فنی پی پینگ حضور دارند و تنها ظرف چند ساعت این نقص امنیتی را برطرف کردند.
البته آن ها هم کم لطفی نکردند و یکی از پلن های پی پینگ رو با کارمزد رایگان برای قدردانی به بنده هدیه دادند و نه تنها مثل بعضی از سایت ها ناراحت نشدند و برخورد نامناسب نداشتند بلکه بسیار استقبال هم کردند. این یعنی امنیت برای پی پینگ از اهمیت زیادی برخوردار است و میتوانیم مطمئن شویم که بعد از این اتفاق امنیت رو در درجه اول اهمیت قرار دهند و اجازه بروز مجدد همچین اتفاقی را ندهند.
البته این اتفاق مربوط به دی ماه ۱۳۹۷ است و ما صبر کردیم تا پی پینگ از امنیت خود به طور کامل اطمینان حاصل کند و بعد این مطلب را منتشر کنیم.

لازم به ذکر هست که الان این اتفاق نه تنها از اعتبار پی پینگ کم نمی کند بلکه در حال حاضر پی پینگ از امنیت بالایی برخوردار است و بنده شخصا به پی پینگ که یکبار امنیت آن نقض شده و استرس آن را چشیده و درس عبرت گرفته بیشتر اعتماد دارم تا دیگر سرویس های مشابه و از همان زمان هم بنده برای پرداخت ها از سرویس پی پینگ استفاده می کنم و تا به الان هیچ مشکلی پیش نیامده و بسیار عالی بوده؛ و فکر میکنم پی پینگ در آینده ای نزدیک به دلیل داشتن سادگی و در عین حال داشتن خدمات بسیار، جایگاه ویژه ای میان سرویس های ارائه درگاه پرداخت کسب خواهد کرد.


امیدوارم براتون مفید باشه و تمام استارت آپ های فعال تو هر حوزه ای رفتارشون مثل وب سایت پی پینگ حرفه ای باشه