آرکپچا یک سرویس محافظ بات یا کپچا فارسی است که از وبسایتها و کسبوکارهای آنلاین در برابر حملات باتهای مخرب محافظت میکند. www.arcaptcha.ir
هک شدن بیش از 300 هزار حساب کاربری اسپاتیفای!
چند ماه پیش گفته شد که حدود 300 هزار حساب کاربری در اسپاتیفای هک شده اند. بر اساس گزارشی از vpnMentor در این حمله هکرها از یک دیتابیس که شامل 380 میلیون اطلاعات حساب کاربریهای مختلف بوده، استفاده کرده اند.
به این روش حمله که توسط هکرها صورت گرفته credential stuffing گفته میشود که در آن مهاجمان از اطلاعات لو رفته مانند نام کاربری، رمز عبور، ایمیل و ... افراد استفاده میکنند تا به حسابهای کاربری دیگر این افراد در اپلیکیشنها یا سایتها وارد شوند.
سایت "vpnMentor" از بانک اطلاعاتی لو رفته که شامل اطلاعات بیش از 300 میلیون کاربر بوده گزارشی تهیه کرده است. هر رکورد در دیتابیس پیدا شده شامل نام کاربری (ایمیل)، رمز عبور و هر اطلاعات اعتباری لازم جهت ورود به اسپاتیفای بوده. نحوه جمعآوری این بانک اطلاعاتی مشخص نیس، اما میتوان گفت احتمالا از روشهایی همچون Data breach و یا بانک اطلاعاتیهایی که معمولا توسط هکرها بصورت رایگان منتشر میشوند، استفاده شده است.
به گفته vpnMentor این دیتابیس 72 گیگابایتی کاملاً باز و بدون رمزنگاری بوده و این گروه توانسته با استفاده از مرورگر و دستکاری URLجستجو به این اطلاعات دسترسی پیدا کند.
همچنین vpnMentor اعلام کرده که نهم جولای با اسپاتیفای درباره این مسئله تماس گرفته و spotify هم بلافاصله به این تماس پاسخ داده است.
این محققان اعلام کردند "اسپاتیفای در پاسخ به پرس و جوی ما فرایند ریست پسورد (rolling reset) کاربرانی که تحت تاثیر این حمله بودهاند را اعمال کرد تا با اینکار ارزش بانک اطلاعاتی و تاثیر گذاری آن را پایین بیاورد. در نتیجه ممکن است حالا اطلاعات این دیتابیس از اعتبار ساقط شده باشند."
اسپاتیفای نیز اعلام کرده که در ماه جولای پسورد همه اکانتهای هک شده رابازنشانی کرده و کاربران هم باید اطلاعات ورود به حساب کاربری خودشان را تغییر دهند. همچنین اگر از رمز عبور اسپاتیفای برای سایر حسابهای کاربری خودشان استفاده کردهاند، باید بلافاصله آنها را نیز تغییر دهند.
ناگفته نماند که این پلتفرم مشهور استریم موسیقی از احراز تصدیق هویت چند عاملی پشتیبانی نمیکند که تاثیر زیادی در امنیت حساب کاربرانش دارد، گرچه کاربران چندین بار این قضیه را درخواست کرده اند.
البته قوی ترین محافظ دربرابر حملات Credential stuffing کپچاهای بسیار پیشرفته هستند. با استفاده از کپچا بدون ضررهای مالی به راحتی میتوانید حملات سایبری که توسط رباتها شکل میگیرند را دفع کنید.
سرویسهای گوناگونی بر محوریت کپچا به وجود آمده است. سرویس آرکپچا فارسی با استفاده از چالشهای تصویری و به کمک رعایت موارد امنیت لازم (مثل تایید دومرحله پاسخها، آدرسدهی داینامیک به تصاویر و اضافه کردن نویزهای هوشمند) میتواند به راحتی حملات رباتها را خنثی کند. هیچکدام از نرم افزارهای حملات سایبری از آرکپچای فارسی پشتیبانی نمیکنند. درنتیجه حتی مزرعههای کپچا نیز قادر به پاسخ گویی به سوالات و سرویسهای آرکپچا نیستند.
مطلبی دیگر از این انتشارات
انواع حمله باتهای مخرب به وبسایتها
مطلبی دیگر از این انتشارات
مقایسه کپچا و تایید دو مرحلهای!
مطلبی دیگر از این انتشارات
تصاحب حساب کاربری (ATO)