بسمه تعالی

خبرنامه وکیل سایبری

آخرین اخبار روز حقوق سایبری و جرایم سایبری جهان را با وکیل سایبری دنبال کنید.

این خبرنامه زیرنظر مستقیم علیرضا طباطبایی وکیل متخصص حوزه جرایم سایبری آماده می شود.

09 مرداد 1402

خبر اول:

قدم به قدم بسوی امنیت سایبری

همچنان که در مورد امنیت سایبری فکر می کنید، تصور کنید که به دلیل یک حمله سایبری چقدر زمان یا پول ممکن است از دست دهید. درک کامل این مسائل می تواند به تعیین اقدامات امنیتی سایبری برای به حداقل رساندن تهدیدها کمک کند.

با بیشتر شدن استفاده و وابستگی به رایانه ها و نرم افزارها، تهدیدات ناشی از هک شدن یا قربانی شدن توسط باج افزارها هم برای کسب و کارها افزایش می یابد. در این نوع تهدید، یک شرکت تا زمانی که باج پرداخت نکند، سیستمش قفل می شود. در برخی موارد، حتی اگر شرکتی مبلغ باج را بپردازد، ممکن است آسیب های جبران ناپذیری به سیستم، شبکه و اعتبارش وارد شده باشد.

بر اساس گزارش مرکز شکایات جرایم سایبری (IC3) اداره فدرال تحقیقات، باج‌افزار یکی از بزرگ‌ترین و رایج‌ترین تهدیدها برای کسب‌وکارها در ایالات متحده محسوب می شود. علاوه بر این، تعداد شکایات و ضررهای مالی سرسام آور می باشد.

در سال 2021، IC3 ، 847.376 شکایت دریافت کرد که بیانگر رکورد و افزایش 7 درصدی نسبت به سال قبل می باشد. از میان این شکایات، دسته‌های اصلی حملات سایبری شامل باج‌افزار، طرح‌های به خطر افتادن ایمیل تجاری (BEC) و استفاده مجرمانه از ارزهای دیجیتال بوده است.

هزینه های ناشی از یک حمله سایبری

از بین 847.376 شکایت، شکایات مربوط به BEC، 2.4میلیارد دلار را به خود اختصاص داده است. در سازمان‌هایی که با حمله باج‌افزار مواجه شده اند، مطالعات نشان می دهد که 50 تا 80 درصد این سازمان‌ها مبلغ باج را پرداخت می‌کنند و برخی از نهادها مجدد قربانی می‌شوند.

حتی اگر یک شرکت هزینه حملات سایبری را مستقیماً پرداخت نکند، بدون شک هزینه‌های غیرمستقیم متحمل می شود. از جمله اینکه وظایف بصورت دستی انجام می‌شوند، از کار افتادن سیستم‌ها منجر به توقف عملیاتی می‌شود و حجم تولید کاهش می‌یابد. در واقع این مسئله می تواند بر روی کل زنجیره تامین تاثیر بگذارد.

حتی پس از اجرای اقدامات امنیت سایبری، بررسی ها و ارزیابی های دوره ای همیشه توصیه می شود.

آسیب پذیری بیشتر، ریسک بیشتر

از آنجایی که صنایع قابلیت های داده های بلادرنگ و دستگاه های الکترونیکی را به شبکه خود اضافه می کنند، حوادث امنیت سایبری هم افزایش می یابند. افزودن دستگاه ها و قابلیت های بیشتر همگی با خطرات و آسیب پذیری های اضافی همراه می باشد. هنگامی که پرسنل بیشتری می توانند به اطلاعات موجود در یک شبکه دسترسی داشته باشند، یافتن نقاط ورود به یک سیستم برای مجرمان سایبری آسان تر می شود. هر دستگاه جدید در یک شبکه به معنای نقطه ورود تازه ای برای مجرم می باشد.

یکی دیگر از آسیب پذیری های رایج در این زمینه، خطای انسانی می باشد. شروع با فرآیندها و رویه های دقیق امنیت سایبری می تواند به کاهش این خطر کمک کند.

همچنین بسیاری از تاسیسات تولیدی با سیستم های قدیمی کار می کنند. این موارد دارای آسیب پذیری های داخلی هستند زیرا ممکن است قابلیت پشتیبانی نداشته باشند. برخی از کنترل کننده های منطقی قابل برنامه ریزی (PLC) و سیستم های کنترل ممکن است از طریق طراحی شان ایمن نباشند. تسهیلات یا باید امنیت ایجاد کنند یا از برنامه ها با کنترل های دیگر محافظت کنند.

هر گونه آسیب‌پذیری به مجرمان سایبری دسترسی آسان به سیستم‌ها را می‌دهد که منجر به خطرات بیشتر می‌شود.

قدم به قدم، بسوی امنیت سایبری

ایجاد یک طرح امنیت سایبری با توسعه یک طرح چارچوب آغاز می شود. این طرح باید برای تغییرات آتی انعطاف پذیر باشد و ریسک شما را ارزیابی کند. بین ایالت ها اغلب توسعه یک طرح امنیت سایبری را بر اساس چارچوب های صنعتی آغاز می کنند. ما هم تلاش می‌کنیم که سیاست‌های امنیتی فناوری اطلاعات موجود را تغییر دهیم تا در محیط OT(فناوری عملیات) قرار بگیرند.

هنگامی که این چارچوب آماده شد، این شش مورد عملی را برای کمک به اجرای اقدامات امنیت سایبری خود در نظر بگیرید:

یک لیست موجودی تهیه کنید. این فهرست دقیق باید شامل تمام سخت افزار، نرم افزار و دارایی های مبتنی بر ابر مورد استفاده در تاسیسات شما باشد که نیاز به حفاظت دارند. مانند: نرم افزار مدیریت وصله و آنتی ویروس، تکنیک های دستی.

جهت حفاظت در برابر بدافزار سرمایه گذاری کنید. سرمایه گذاری بر روی برنامه های محافظت در برابر بدافزار را جدی بگیرید. این نرم افزار می تواند به سرعت شرکت شما را از حملات آگاه کرده و به محافظت در برابر آنها کمک کند. مانند: McAfee، Symantec، CrowdStrike، Cylance.

بهبود کنترل دسترسی. تعیین یک گروه منتخب از افراد با دسترسی مجاز و اعتبار برای دسترسی به سخت افزار و برنامه های خاص را در نظر بگیرید. همچنین شرکت‌ها ممکن است بخواهند بر اساس مسئولیت‌های کارمند، دسترسی سخت‌افزار و نرم‌افزار را در صورت نیاز اعطا کنند. مانند: اکتیو دایرکتوری، ADManager، Group Manager.

پشتیبان گیری از داده ها و سیستم را انجام دهید. این طرح باید شامل تهیه نسخه پشتیبان از برنامه های کاربردی حیاتی و سیستم های داده به صورت دوره ای باشد. اگر حمله سایبری رخ دهد، این پشتیبان‌گیری‌ها به یک مرکز اجازه می‌دهد تا قبل از آلوده شدن یا آسیب‌دیدگی سیستم، قسمتی را پس گرفته و جدا نمایند. همچنین می تواند به جلوگیری از تاخیرهای قابل توجه در آنلاین شدن سیستم و عملکرد آن کمک کند. مانند: نرم‌افزار Veeam، Commvault، Unitrends، vRanger و Acronis.

پیاده سازی مدیریت پچ. توسعه‌دهندگان نرم‌افزار تغییرات یا به‌روزرسانی‌های خاصی را برای رفع آسیب‌پذیری‌های امنیتی یا ارائه ویژگی‌های جدیدی به نام «پچ» ارائه می‌کنند. مدیریت پچ شامل استقرار این به‌روزرسانی‌ها در نقاط پایانی مختلف مانند دستگاه‌های تلفن همراه، سرورها و رایانه‌های رومیزی می باشد. ولی، وصله‌ها راهکار بلندمدتی نمی باشند و تا زمانی که نسخه نرم‌افزار بعدی منتشر نشده، نباید تنها به آن‌ها اعتماد کرد. مانند: سرویس‌های به‌روزرسانی سرور ویندوز (WSUS)، BigFix و Altiris.

بر روی آموزش امنیت سایبری کارکنان سرمایه گذاری کنید. کارکنان یک دارایی اصلی برای یک شرکت محسوب می شوند و سرمایه گذاری در آموزش امنیت سایبری مناسب می تواند به محافظت در برابر حوادث امنیت سایبری کمک کند. در زیر به چند عنصر از یک برنامه امنیت سایبری اشاره می کنیم:

ایجاد یک پروتکل مناسب برای کارمندان، توسعه و اجرای سیاست‌هایی برای ذخیره‌سازی داده‌های حساس، آموزش کارکنان در مورد تهدیدات سایبری، اجازه دادن به افرادی که مجاز به استفاده از دستگاه‌های حیاتی هستند، نیاز به پشتیبان‌گیری از همه داده‌های مهم، آموزش استفاده صحیح از ایمیل، ایجاد رمزهای عبور قوی که مرتباً باید تغییر کنند، ممنوعیت نرم افزارهای غیرمجاز و حصول اطمینان از اینکه افرادی که وب سایت را به روز می کنند، این کار را بصورت ایمن انجام می دهند.

با توجه به اهمیت امنیت سایبری، تکمیل این شش مرحله می تواند منجر به امنیت قوی تر شود، اما شرکت ها باید به طور منظم، همه این موارد را بررسی کنند. شرکت ها باید به طور مداوم مراقب باشند و در مورد حفاظت سایبری هیچ وقت احساس رضایت نداشته باشند.

منبع خبر : automationworld

خبر دوم:

سازنده ورلد کوین یعنی خالق ChatGPT، تحت بررسی مقامات فرانسوی قرار دارد...

ارز دیجیتال ورلدکوین (Worldcoin) به دو دلیل در سرتاسر جامعه ارزهای دیجیتال خبرساز شده است. اول اینکه سم آلتمن، خالق ChatGPT سازنده آن می باشد. دوم، رویکرد نوآورانه است که به ایجاد هویت دیجیتال می پردازد. اما به نظر می‌رسد که دلیل دوم، نگرانی مقامات را برانگیخته تا حدی که در حال حاضر، تحت نظر مقامات قرار گرفته است..

سرمایه گذاری فرانسوی ها بر روی وردکوین

ورلدکوین، ارز دیجیتالی می باشد که با رویکرد جدیدی جهت ایجاد هویت‌های دیجیتال آمده و از اسکن عنبیه (iris scans) صاحبان توکن‌ها برای تأیید هویت استفاده می‌کند. این ایده ممکن است به نظر آینده‌نگرانه و جذاب به نظر برسد، اما مقامات بخاطر اینکه یک تیم، اطلاعات چشمی میلیون‌ها نفر را در اختیار دارد، نگران هستند. این نگرانی نسبت به این موضوع می‌تواند به دلیل مسائل امنیتی و حفظ حریم خصوصی باشد.

مطابق گزارش رویترز، سازمان نظارتی فرانسه بر حریم خصوصی، کمیسیون ملی اطلاعات و آزادی (CNIL)، به نظر می‌رسد در حال بررسی وضعیت رمزارز ورلدکوین می باشد. این ناظر در پاسخ به یک ایمیل از سوی رویترز اظهار کرد که این موضوع در دست بررسی قرار دارد،

" قانونی بودن این مجموعه و همچنین شرایط ذخیره سازی داده های بیومتریک، مشکوک به نظر می رسد."

سازمان نظارتی (CNIL) همچنین اعلام کرد که قبلا تحقیقاتی را آغاز کرده که این تحقیقات تحت کنترل مقامات بایرن (ایالتی آلمانی) انجام می‌شود. با این حال، بنیاد ورلدکوین معتقد می باشد که این سازمان فرآیندهای خود را با رعایت قوانین و مقررات انجام می‌دهد.

سازمان مستقر در جزیره کیمن اعلام کرد،

"بنیاد ورلدکوین از تمام قوانین و مقررات مربوط به پردازش داده‌های شخصی در بازارهایی که ورلدکوین در دسترس می باشد، پیروی می‌کند.. این پروژه به همکاری با نهادهای نظارتی برای درخواست‌های بیشتر درباره روش‌ها و محافظت اطلاعات شخصی خود ادامه خواهد داد."

بر اساس گزارش درباره ارز دیجیتال غیرمتمرکز (altcoin) به نام "ورلدکوین" (WLD)، از زمان راه‌اندازی این ارز در هفته‌های اخیر، بیش از 2.1 میلیون نفر به این پروژه پیوسته‌اند. ارز ورلدکوین، از طریق آزمایش‌های انجام شده در گذشته، افرادی را که تمایل دارند در آن شرکت کنند را جذب کرده است.

علاوه بر این، ارز دیجیتال ورلدکوین به کاربران در بسیاری از کشورها امکان ایجاد هویت دیجیتال می‌دهد و همچنین به عنوان پاداش، ارز دیجیتال رایگان را به کاربران اهدا می‌کند. این پاداش‌ها به عنوان مقابله‌ای برای داده‌های بیومتریکی که توسط کاربران جمع‌آوری می‌شود، ارائه می‌شود.

در حال حاضر با قیمت 2.194 دلار، این ارز دیجیتال غیرمتمرکز (altcoin) توانسته باعث تعجب سرمایه‌گذاران شود، بدون اینکه خیلی زود پس از راه‌اندازی اش افت کند. با این حال، انتظار می‌رود انگیزه بازاریابی این ارز دیجیتال تنها به مدت محدودی برای معامله‌گران باقی بماند، زیرا علاوه بر رویکرد تکنیکال نوآورانه، هیچ چیز جدیدی به سرمایه‌گذاران یا توسعه‌دهندگان ارائه نمی‌دهد.

ارز دیجیتال ورلدکوین بعد از راه‌اندازی اش، با قیمت پایداری مواجه شده و با اینکه این ارز تکنولوژی نوآورانه‌ای دارد، اما ویژگی‌هایی که متمایزش کند و توانایی جذب سرمایه‌گذاران و توسعه‌دهندگان را داشته باشد را دارا نمی باشد.

ارتباط خالق ChatGPT با این مسئله، ممکن است موجب ادامه این روند گردد و در هفته آینده کاربران بیشتری جذب شود، اما سرعت رشد شبکه (و ایجاد آدرس‌های جدید) در نهایت کاهش خواهد یافت.

منبع خبر : fxstreet

خبر سوم:

فناوری نظارت تصویری، روند کاری مجریان قانون ایالات متحده را متحول کرده است...

فناوری نظارت تصویری (Video surveillance technology) یک رویداد تحول آفرین برای سازمان‌های مجری قانون در سراسر ایالات متحده محسوب می شود. ظهور این فناوری شیوه عملکرد مجریان قانون را متحول کرده است و ابزاری ارزشمند در جهت پیشگیری از جرم، جمع آوری شواهد و تضمین امنیت عمومی محسوب می شود.

استفاده از فناوری نظارت تصویری در اجرای قانون مفهوم جدیدی نیست. ولی، پیچیدگی و قابلیت های این سیستم ها به طور قابل توجهی در طول سال ها تکامل یافته است. امروزه دوربین‌های با کیفیت بالا، نرم‌افزار تشخیص چهره و تجزیه و تحلیل‌های لحظه ای تنها تعدادی از پیشرفت‌هایی هستند که چشم‌انداز مجریان قانون را متحول کرده‌اند.

یکی از مهمترین تأثیرات فناوری نظارت تصویری بر اجرای قانون، نقش آن در پیشگیری از جرم می باشد. دوربین های نصب شده در مکان های عمومی به عنوان یک عامل بازدارنده عمل و مجرمان را از ارتکاب فعالیت های غیرقانونی منصرف می کند. علاوه بر این، وجود دوربین‌های نظارتی نیز می‌تواند حس امنیت را برای مردم ایجاد کند، زیرا می‌دانند که مجری قانون مراقب و ناظر می باشد.

علاوه بر پیشگیری از جرم، فناوری نظارت تصویری نقش مهمی در جمع آوری شواهد ایفا می کند. دوربین‌های با کیفیت بالا می‌توانند تصاویر و فیلم‌های واضح را ضبط کنند و شواهد ملموسی را برای اجرای قانون جهت حل جرایم ارائه کنند. این فناوری به ویژه در حل مواردی که شاهدان عینی وجود ندارد یا گزارش‌های شاهدان عینی غیرقابل اعتماد هستند، مفید می باشد.

علاوه بر این، ادغام نرم افزار تشخیص چهره با سیستم های نظارت تصویری، حل و فصل جرم و جنایت را به سطح جدیدی رسانده است. این فناوری می تواند افراد را در فضاهای عمومی شلوغ شناسایی و به مجریان قانون کمک کند تا مظنونان یا افراد گمشده را ردیابی کنند. البته با اینکه فناوری فوق العاده مفیدی می باشد، اما بحث هایی هم در مورد حریم خصوصی و آزادی های مدنی در این زمینه وجود دارد.

تجزیه و تحلیل لحظه ای یکی دیگر از پیشرفت های پیشگامانه در فناوری نظارت تصویری می باشد. این ویژگی به مجریان قانون اجازه می دهد تا فیلم زنده را زیر نظر داشته و هشدارهای فوری در مورد فعالیت های مشکوک دریافت کند. به عنوان مثال، اگر یک کیف در یک مکان عمومی بدون صاحب رها شده باشد، سیستم می تواند به مقامات هشدار دهد و به طور بالقوه از یک موقعیت خطرناک جلوگیری کند.

استفاده از فناوری نظارت تصویری شفافیت و پاسخگویی را در اجرای قانون بهبود بخشیده است. به عنوان مثال، دوربین‌های نصب شده در بدن، تعاملات بین افسران پلیس و مردم را ضبط می‌کنند. این ضبط‌ها می‌توانند از افسران در برابر اتهامات نادرست محافظت کنند و آنها را در قبال اقدامات خود مسئول نگه دارند.

با این همه، استفاده گسترده از فناوری نظارت تصویری بدون چالش هم نیست. مسائلی مانند ذخیره سازی داده ها، نگرانی های مربوط به حریم خصوصی و احتمال سوء استفاده از جمله موارد مهم در این زمینه محسوب می شوند. سازمان‌های مجری قانون باید تعادلی بین استفاده از این فناوری برای امنیت عمومی و احترام به حقوق شهروندان جهت حفظ حریم خصوصی ایجاد کنند.

در نتیجه، فناوری نظارت تصویری به طور غیرقابل انکاری روند کاری مجری قانون ایالات متحده را متحول کرده است. اقدامات پیشگیری از جرم، جمع‌آوری شواهد و شفافیت و پاسخگویی را افزایش داده است. همچنان که این فناوری به تکامل خود ادامه می دهد، بدون شک آینده مجریان قانون را هم شکل خواهد داد. همزمان با استقبال از این پیشرفت ها، چالش ها و ملاحظات اخلاقی آنها هم باید مورد توجه قرار بگیرد.

منبع خبر : fagenwasanni

خبر چهارم:

سرقت اطلاعات میلیون ها نفر به خاطر فراموشی در بررسی مجوزهای دسترسی

به گفته آژانس‌های امنیت سایبری در ایالات متحده و استرالیا، اطلاعات شخصی، مالی و سلامتی متعلق به میلیون‌ها نفر از طریق یک طبقه خاص از آسیب‌پذیری وب‌سایت به سرقت رفته است. آن‌ها از توسعه‌دهندگان می‌خواهند که کد خود را بازبینی کنند و این اشکالات را برای همیشه برطرف کنند.

این نقاط ضعف به عنوان "مراجعات مستقیم ناامن" یا IDOR شناخته می‌شوند. اساساً وقتی اتفاق می‌افتد که برنامه وب یا پشتیبانی وب API به درستی بررسی نمی‌کند که آیا کاربر واجد شرایط می باشد که به یک بخشی از اطلاعات از پایگاه داده یا منبع دیگری دسترسی داشته باشد یا خیر.

برخی از مشکلات IDOR ممکن است در شرایطی به وجود آید که دسترسی به اطلاعات براساس ورودی کاربر، به جای بررسی حقوق دسترسی آن فرد، اجازه دسترسی می‌دهد. به عبارت دیگر، برنامه برای تعیین مجوزهای کاربر از ورودی‌هایی که کاربران درخواست می‌دهند، به جای استفاده از چک کردن حقوق دسترسی واقعی آن کاربر، استفاده می‌کند. این فرایند باعث می‌شود که کاربران بتوانند به اطلاعاتی دسترسی داشته باشند که مجاز به دیدن آن‌ها نیستند و از این طریق حفاظت از اطلاعات حساس و حقوق کاربران به خطر بیفتد. برای پیشگیری از این نقاط ضعف، باید اطمینان حاصل شود که برنامه به درستی حقوق دسترسی کاربران را بررسی می‌کند و از ورودی‌های کاربران به‌طور کامل و امن استفاده می‌شود.

یک مثال از آسیب‌پذیری IDOR می‌تواند یک وبسایت با یک ساختار URL مشابه زیر باشد:

در این مثال، وبسایت قرار است اطلاعات یک تراکنش با شماره شناسایی 12345 را نمایش دهد. بهترین روش، این است که برنامه وب فقط تراکنش‌های متعلق به کاربر وارد شده را نمایش دهد، اما اگر به طور کورکورانه هر شماره شناسایی را قبول کند و تراکنش مربوطه را به هر کسی که وارد شده نمایش دهد، این روند یک آسیب‌پذیری IDOR محسوب می شود. کسی که تلاش کند، می‌تواند تمام محدوده شماره‌های شناسایی یا چند شماره انتخابی را تست کند و جزئیات تراکنش‌های افراد دیگر را مشاهده کند. این اطلاعات ممکن است حاوی اطلاعات شخصی و خصوصی کاربران باشند.

بنابراین، این IDOR ها می توانند منجر به نقض امنیت داده در مقیاس وسیع شوند.

در هفته‌ گذشته، CISA (آژانس امنیت سایبری و زیرساخت‌ها) همراه با NSA (سازمان امنیت ملی ایالات متحده) و مرکز امنیت سایبری استرالیا هشدار داد که "افراد مخرب می توانند به‌طور "مکرر" از این نقاط ضعف استفاده می‌کنند "چون این نقض ها، نقاط ضعف رایجی هستند، خارج از فرآیند توسعه به‌راحتی قابل جلوگیری نیستند و می‌توانند به طور گسترده‌ای مورد سوء استفاده قرار بگیرند."

درباره این نقاط ضعف، CISA توضیح می‌دهد که: "به طور معمول، این آسیب‌پذیری‌ها به این دلیل وجود دارند که شناسه یک شیء آشکار می‌شود، به صورت خارجی انتقال می‌یابد یا به راحتی حدس زده می‌شود. این امر به هر کاربر اجازه می‌دهد تا از شناسه استفاده کند یا آن را تغییر دهد."

این مسئله می تواند عواقب ناگواری داشته باشد زیرا مجرمان می توانند از نقص های IDOR برای سرقت، تغییر یا حذف داده های حساس، دسترسی بدون اجازه به دستگاه ها یا ارسال بدافزار برای قربانیان ناآگاه سوء استفاده کنند.

اولین نقض امنیت مالی آمریکا در سال 2019 اتفاق افتاد که در آن 800 میلیون پرونده مالی شخصی، از جمله صورت‌حساب‌های بانکی، شماره حساب‌های بانکی و اسناد پرداخت وام مسکن افشا شد. به گفته CISA ، یک نقص IDOR به کلاهبرداران این امکان را می دهد تا این اطلاعات مالی را به دست آورند.

اخیراً، محققان امنیتی Jumpsec مشخص کرده اند که چگونه می‌توان از یک آسیب‌پذیری IDOR در تیم‌های مایکروسافت برای دور زدن کنترل‌های امنیتی و ارسال فایل‌ها به‌ویژه بدافزارها برای هر سازمانی که از برنامه چت شرکت Redmond استفاده می‌کند، سوء استفاده کرد.

در ماه آوریل، CISA هشدار داد که دو باگ IDOR در دستگاه‌های خانه هوشمند شرکت Nexx می‌تواند به افراد شرور اجازه دهد تا دستورالعمل‌ها را از طریق NEXX API به دستگاه خانه هوشمند قربانی ارسال کنند و سخت‌افزار هر کاری که مهاجم به او بگوید، انجام می‌دهد.

چه اقداماتی باید انجام داد؟

برای کمک به جلوگیری از نقض داده‌ها به دلیل اشکالات IDOR، آژانس‌ها پیشنهاد می‌کنند که فروشندگان و توسعه‌دهندگان برنامه‌های وب، اصول طراحی امن را در هر مرحله از فرآیند توسعه نرم‌افزار پیاده‌سازی کنند. ابزارهای تجزیه و تحلیل کد خودکار نیز می توانند این نوع کدهای باگ را بررسی کنند تا قبل از اینکه به تولید برسد، نقاط ضعف برطرف شود.

آژانس‌ها همچنین مجموعه‌ای از توصیه‌ها را منتشر کردند که فروشندگان، طراحان اپلیکیشن، توسعه‌دهندگان و کاربران نهایی می‌توانند برای کاهش خطر نقص IDOR و محافظت بهتر از داده‌های حساس در برابر مجرمان اتخاذ کنند.

اقدامات پیشنهادی

برنامه‌ها را به گونه ای پیکربندی کنید که به طور پیش‌فرض دسترسی را رد کنند و اطمینان حاصل کنید که برنامه برای هر درخواست تغییر داده‌ها، حذف داده‌ها و دسترسی به داده‌های حساس، بررسی‌های احراز هویت و مجوز را انجام می‌دهد.

هشدار مشترک همچنین "به شدت توصیه می‌کند" که سازمان‌های کاربران نهایی اقدامات پیشنهادی را برای مقابله با آسیب‌پذیری‌های IDOR اجرا کنند. مثلا به افرادی که از مدل‌های نرم‌افزار به‌عنوان سرویس (SaaS) برای برنامه‌های مبتنی بر ابر استفاده می‌کنند، توصیه می‌شود که دقت لازم را به کار بگیرند و از بهترین شیوه‌های مدیریت ریسک زنجیره تامین پیروی کنند.

در مورد سازمان‌های کاربر نهایی که، نرم‌افزارهای (داخلی)، زیرساخت به‌عنوان سرویس (IaaS)، یا مدل‌های ابر خصوصی (Private Cloud) را استقرار می‌دهند، این آژانس‌ها توصیه می‌کنند که عملیات احراز هویت و کنترل دسترسی‌ها در هر برنامه‌ی وبی که امکان دسترسی یا تغییر دادن به اطلاعات حساس را فراهم می‌کند، مورد بررسی قرار دهند.

در صورت نیاز به رفع اشکال IDOR و هر نقض دیگری بپردازند و در اسرع وقت وصله ها را اعمال کنند.

همچنین، انجام تمرینات تست نفوذ و اسکن آسیب‌پذیری به طور منظم برای اطمینان از ایمن بودن برنامه‌های وب بر روی اینترنت، توصیه می‌شود.

منبع خبر : theregister