في اليوم الحادي والعشرين من شهر مايو/أيار الماضي ، قامت شركة eBay بإرسال طلب إلى 145 مليون حساب لتغيير كلمة السر الخاصة بهم ، مؤكدين فيها أنه قد تم تسوية حساباتهم ، وتلك البداية فقط ، حيث وجد عدد من القراصنة طريقة لأخذ معلومات وبيانات ملايين المستخدمين في خطوات قليلة.
علاوة على هذا ، فرغم تغيير كلمات السر الخاصة بالحسابات من قبل الشركة إلا أن الهكرز لازالو يحتفظون بجميع المعلومات الشخصية التي تخص المستخدم ، كاسمه وميلاده ، المكان الذي يسكن فيه ، وحتى أرقام هواتفه سواء الخطوط الأرضية منها أو الجوالات ، إلا أن eBay صرحت أن المعلومات والبيانات التي تخص الأمور المالية يتم حفظها في سيرفر “خادم” آخر.
ولكن السؤال هنا؟ كيف استطاعوا إختراق حسابات المستخدمين؟ الأمر بسيط فعندما يتم النقر على رابط “نسيت كلمة المرور” يتم نقلهم إلى صفحة أخرى منفصلة يسألونهم فيها عن معلومات الحساب ، وبعدها يتم إنشاء رمز عشوائي يظهر على شكل HTML reqinput والذي للأسف يمكن مشاهدته عن طريق فحص العنصر “Inspect Element” الموجود في المتصفحات عن طريق الضغط على زر F12.
الآن ، يقومون بأخذ المستخدم إلى صفحة ثانية ليكتب فيها كلمة السر الجديدة مرتين ، ومتى ما تتم العملية يقومون بإرسال بريد إلكتروني للتأكيد.
ولأنهم لا يستعملون رمز حماية ، يتم إرسال كلمة المرور الجديدة ببروتوكول (HTTP) عن طريق قيمة reqinput نفسها التي تم إنشاؤها سابقا عندما ضغط المستخدم على وصلة “نسيت كلمة المرور” والتي يعرفها أيضا الهكر. (الصور التي في الأعلى تبين الهيئة التي تظهر عليها قيمة reqinput)
وعندما نفكر قليلا في الأمر ، فحتى لو قام الشخص بتغيير كلمة السر ، مثل ما فعلت eBay مع عملائها وطلبت منهم فعل ذلك ، فإن كلمات السر تنطوي بداخلها على معلومات مثل الاسم وأرقام الهواتف وحتى الإيميلات الإحتياطية ، فماذا لو قالت eBay أن الحسابات لم تخترق ولم تتعرض للأذى ، كم نحتاج من وقت لننتبه إلى الموضوع ونستطيع اللحاق وتأمين حسابنا قبل أن تتم حفظ المعلومات في قاعدة بيانات الهكر.
وقد قال أحد الصحفيين والباحثين في في صحيفة واشنطن بوست المعروفة ، هناك من يقوم الآن ببيع جميع المعلومات الخاصة بمستخدمي eBay مقابل مبلغ زهيد 1 فاصلة 453 BitCoin وهي عملة إلكترونية وهمية يتم التعامل فيها وتساوي 750 دولار تقريبا (عملة قوية!).
ولكن eBay لديها شيء آخر ، فحسب ما تقول أنها قامت بفحص المعلومات المعروضة للبيع وقارنتها مع التي لديها ووجدت أنه مختلفة مزورة وغير حقيقية ، ومن الممكن أن تكون فقط دعاية للإحتيال والتخويف فقط.
وأسوأ ما في الوضع أنه قد تم نشر جميع المعلومات بشكل عادي إلا كلمات السر كانت مشفرة ، وبمجرد التسجيل في eBay فإنهم لا يعطونك الخيار للمعلومات التي يجب عليك التسجيل فيها ، وتعتبر نقطة ضعف غير إيجابية في الموقع.
على أية حال ، في النهاية الشركة ستكون مسؤولة تماما عن الحسابات ويجب عليها حمايتها بأي شكل من الأشكال.
المصدر