یاهو به کاربران خود می گوید هکرها احتمالا بدون داشتن پسوورد وارد حساب ها شده اند
یاهو به برخی از کاربران خود گفته که هکرها توانسته اند بدون داشتن اطلاعات حساب و رمز ورود، و با استفاده از کوکی های ساختگی، وارد حساب های کاربری شان شوند و اطلاعات شان را ...
یاهو به برخی از کاربران خود گفته که هکرها توانسته اند بدون داشتن اطلاعات حساب و رمز ورود، و با استفاده از کوکی های ساختگی، وارد حساب های کاربری شان شوند و اطلاعات شان را مشاهده کنند.
این گزارش ابتدا در ماه سپتامبر سال گذشته میلادی اعلام شد و یاهو نیز رسما به آن اعتراف کرد. آمار منتشر شده نشان می داد که هک یاهو، بزرگ ترین هک تاریخ از لحاظ تعداد افرادی که تحت تاثیر قرار گرفته اند بوده.
یاهو حالا می گوید که برخی از هک های اخیر، با هک اعلام شده در ماه سپتامبر در ارتباط بوده و احتمالا توسط همان اشخاص انجام شده است. نامشخص است که برخی کاربران چرا حالا متوجه این موضوع می شوند، ماه ها پس از آنکه یاهو هک شدن سرویس خود را افشا ساخت.
کوکی ها از این جهت مورد استفاده قرار می گیرند که اطلاعات شخصی را در مرورگر شخص ذخیره کنند. به همین خاطر، لازم نیست هر بار وارد سایتی می شوید، رمز را دوباره وارد کنید و به صورت پیش فرض در اختیارتان قرار می گیرد.
در ماه سپتامبر، یاهو اعلام کرد اشخاص ثالثی که در این هک دست داشتند، الگوریتم ساخت کوکی های یاهو را یاد گرفته اند. حالا اعلام شده که با استفاده از این کوکی های ساختگی، هکرها توانسته اند وارد حساب کاربران شوند.
دیدگاهها و نظرات خود را بنویسید
برای گفتگو با کاربران ثبت نام کنید یا وارد حساب کاربری خود شوید.
یادمه زمانی که این خانم مدیر عامل شده بود تک تک اقدامات و حرفاش به عنوان الگو مطرح میشد.
یکیش خیلی خوب یادمه. زمانی که ویژگی جدیدی رو توسعه میدادن با وجود مخالفت مهندسا برای عملیاتی کردنش (به این دلیل که معتقد بودن هنوز کار لازمه تا جزئییات و ضعف هاش مشخص بشه) با دستور این خانم عملیاتی میشد.
و این کار شده بود یه الگو که خیلی لازم نیست روی جزئییات وسواس داشته باشین فقط سریع پیش برین!
به عنوان یه برنامه نویس میگم که ساخت کوکی ها برای لاگین نیاز به الگوریتم نداره. فقط کافیه یه uuid ساخته بشه و داخل کوکی قرار داده بشه و همون uuid روی حافظه سرور باشه. به این ترتیب وقتی صفحه یاهو رو باز میکنین اون uuid به سرور فرستاده میشه و میفهمه که شما هستین.
از نظر محسباتی رسیدن به uuid غیر ممکنه. (با کامپیوتر های امروزی غیر ممکنه و اساسا هم بی معنیه) و اگه چنین ضعفی هست که میشه بدون پسورد وارد شد دو حالت وجود داره:
1- مرورگر ها ضعف امنیتی دارن که میشه کوکی های سایت های مختلف رو با اسکریپت ازشون خوند. و اگه چنین ضعفی وجود داشته باشه تمام وب سایت ها در خطر هستن. به همین خاطر چنین چیزی منتفیه.
2- هکر ها به خود سرور های یاهو رسیدن و اطلاعات رو از همونجا برداشتن. و این احتمال قوی تریه.
با این همه گندکاری کلی هم پول به جیب زده.. گویا در کشورهای غربی افراد از راه اختلاس به پول نمیرسن..از راه اول بودن و تک بودن میرسن حتی اگه گند بزنن