خلاصه: طبق اعلام رسانه خبری Reddit، نشت اطلاعاتی به دلیل سرقت اطلاعات پیامک شده به کاربران برای احراز هویت بوده است. این مساله به کمک آسیبپذیری زیرساخت شبکه موبایل (SS7) انجام پذیرفته و موجب دور زده شدن احراز هویت دوعاملی شده است.
شرکت Reddit در تاریخ ۱۹ ژون ۲۰۱۸ متوجه این شکاف اطالاعاتی در مورد دزدیده شدن پایگاه داده این شرکت مربوط به سال ۲۰۰۵ تا ۲۰۰۷ گردیده است. این حمله از طریق دسترسی مستقیم به کد و اطلاعات اصلی سیستم رخ داده است.
اطلاعات دزدیده شده شامل پست الکترونیک، رمز عبور، رمز عبور رمز شده، پیامهای خصوصی و پستهای عمومی بوده است. امنیت حسابهای کاربران این شرکت از طریق روش احراز هویت دوعاملی طراحی گردیده بود که افراد حمله کننده با تغییر مسیر تحویل پیامهای احراز هویت به سمت خود، توانسته بودند این شکاف امنیتی را ایجاد کنند.
البته افراد حمله کننده فقط توانایی خواندن اطلاعات را داشتند و نمیتوانستند در پایگاه داده تغییری ایجاد نمایند.
این شرکت برای حل این مشکل که در قسمت اعتبار سنجی و ثبت نام کاربران وجود داشت، از روش اعتبار سنجی از طریق توکن به جای پیامک استفاده کرد.
امروزه وجود شکاف در سیستمهای پیام کوتاه تعجب برانگیز نیست؛ آسیبپذیریهای جدی در زیرساخت مخابراتی که سیستم سیگنالینگ ۷ (SS7) نام دارند وجود دارد.مهاجمان میتوانند از طریق این ضعفهای امنیتی به پیامکهای کاربران، مکالمات و به موقعیت آنها دسترسی پیدا کنند. در سال ۲۰۱۵ افراد حمله کننده توانستند موقعیت و مکالمات یک سناتور استرالیایی را در کشور آلمان بدست آورند.
در سال های ۲۰۱۶ و ۲۰۱۷ یک سری نقص های مشابهی روی سرویس های گوگل و فیس بوک و کیف پول بیت کوین نیز مشاهده شده است.
آسیبپذیریهای بسیار سیستم زیرساخت موبایل که بسیاری از آنها امکان وصله شدن ندارند، میتواند تهدید بزرگی برای امنیت کاربران، حتی در روشهای امنی همچون احراز هویت دوعاملی باشد. استفاده از شبکه موبایل باید با علم به این آسیبپذیریها باشد.
