هک شدن سایت زرین پال ؛ آیا اطلاعات کاربران لو رفته است؟

هک شدن سایت زرین پال خبر ساز شد. روتر‌ Edge این شرکت از برند میکروتیک بوده و در تاریخ ۱۲ مرداد 97 حدود ساعت ۲۰:۰۸ مورد حمله قرار گرفته است.

به گزارش تکراتو، باگی که مدتی قبل نیز توسط مرکز ماهر گزارش شده بود، باعث هک شدن سایت زرین پال شد. در این اقدام، از طریق تکنیک IP Spoofing ، ترافیک به خارج از ایران منتقل شده و صفحه‌ Deface بجای سایت زرین‌پال بارگذاری شده است. در ادامه سایت جعلی که شامل خبر بوده بجای سایت اصلی زرین‌پال نمایش داده شده است.

بیشتر بخوانید: زرین پال در الکامپ ۹۷ ؛ قهرمان کسب و کار خودت باش

هک شدن سایت زرین پال

آنگونه که گزارش شده و با توجه به نوع زیرساخت طراحی شده توسط زرین‌پال، نفوذ‌کننده امکان دسترسی به داده‌های مشتریان را نداشته است. با توجه به نوع نفوذ و تجهیزات درگیر، حتی امکان حمله Man In the Middle هم برای نفوذکننده وجود نداشته است.

تصاویری هم در این مورد منتشر شده که خود نشان دهنده صحت این موضوع است. سایت Deface بارگذاری شده فاقد SSL بوده و شخص نفوذ کننده تنها قادر به انتقال ترافیک به سمت سرور خود بوده است و هیچ‌گونه نفوذی به زیرساخت زرین‌پال صورت نگرفته است.

وظیفه روتری که مورد حمله قرار گرفته، برقراری Uplink و BGP با دیتاسنتر بوده است و هیچ نوع وظیفه‌ای اعم از برقراری Routing و Vlaning برای لایه‌های پایین‌تر نداشته است. این روتر تنها ۲ پورت فعال داشته که وظیفه برقراری با Uplink بالادستی و فایروال پایین‌دست موسوم به Access را برعهده داشته است.

با توجه به اینکه SSL Termination در لایه‌های پایین‌تر انجام می‌شود، کلیه ترافیک عبوری از این روتر به صورت Encrypted  بوده و از این لایه دیتای خامی عبور نکرده است.

کنترل دسترسی به سرور‌های دیتابیس در ۲ لایه پایین‌تر از روتر Edge صورت پذیرفته و تنها سرور‌های واقع در یک Vlan  اجازه دسترسی به دیتابیس‌ها را دارند و ادعای دسترسی به دیتابیس با توجه به زیرساخت و نوع تجهیزات درگیر در نفوذ، فاقد اعتبار بوده و به هیچ عنوان امکان‌پذیر و عملی نبوده است.

بنابراین DBMS‌ ها علاوه‌بر کنترل ACL خود، دارای نام کاربری و رمز عبور می‌باشند و جهت دسترسی به آن باید از رمز عبور و شیوه احراز هویت آن مطلع بود.

 بررسی چارت زمانی اقدامات صورت گرفته برای رفع مشکل هک شدن سایت زرین پال

۲۰:۰۸

کشف اختلال در لایه شبکه بیرونی زرین‌پال و شروع بررسی توسط تیم فنی.

۲۰:۲۲

انتشار اولین خبر هک شدن سایت زرین‌پال.

۲۰:۳۶

تیم فنی زرین‌پال روتر و وب سرویس اصلی زرین‌پال را از دسترس خارج کرد و با هماهنگی دیتاسنتر آسیاتک شروع به رفع مشکل پیش آمده و حرکت به سمت دیتاسنتر کرد.

۲۰:۵۱

درخواست قطع ارتباط BGP از سمت دیتاسنتر.

۲۱:۵۰

رسیدن تیم فنی به دیتاسنتر (به دلیل برگزار بودن کنسرت زمان زیادی برای رسیدن به دیتاسنتر صرف شد.)

۲۱:۵۵

تیم فنی زرین‌پال اقدام به تعویض فیزیکی روتر و تنظیمات مورد نیاز بر روی روتر جدید نمود. هم‌چنین بررسی وجود حفره‌های امنیتی در قسمت‌های پایین‌تر شبکه و احتمال نفوذ به آن‌ها توسط تیم فنی زرین‌پال آغاز گردید.

۲۲:۲۲

حل کامل مشکل و بازگردانی سایت زرین‌پال به حالت عادی.

.

منبع: zarinpal