انعقاد أعمال اجتماع الطاولة المستديرة الوزارية للرؤية السعودية اليابانية 2030    نائب وزير الخارجية يلتقي المبعوث الأممي لسورية    الأحساء من أهم مناطق الحرف اليدوية    إطلاق المرحلة الثانية من البرنامج التأهيلي لمعلمات رياض الأطفال في الفنون الموسيقية    برعاية الملك.. انطلاق «مؤتمر الحج 2025» في جدة غداً    "الحج والعمرة" توقّع اتفاقية ترتيب شؤون حجاج دولة الكويت لحج 1446ه    4659 زيارة منزلية للمرضى في 2024    ضبط مواطن مخالف لنقله حطباً محلياً في منطقة المدينة المنورة    بعد تحرير «ود مدني» والرواد.. الخرطوم الهدف القادم للجيش    جامعة الملك فهد للبترول والمعادن توقع 15 اتفاقية ومذكرة تفاهم    صافرة "مانزانو" تضبط قمة "الكلاسيكو" بين ريال مدريد وبرشلونة في جدة    وزير العدل يبحث مع المنسق المقيم للأمم المتحدة سبل تعزيز التعاون    فتح التسجيل للممارسين الصحيين لحضور ملتقى نموذج الرعاية الصحية "رعاية وأثر"    الطائي يتغلّب على أبها بهدفين في دوري يلو    أمير الشرقية يدشّن النسخة العاشرة من مهرجان تمور الأحساء المصنّعة    آل بن محفوظ يستقبلون المعزين في فقيدتهم    80 شركة سعودية ويابانية في اجتماع مجلس الأعمال المشترك    وزير الخارجية يبحث المستجدات مع نظيره في الإدارة السورية الجديدة    ختام بطولة المنطقة الشرقية للملاكمة المؤهلة لنهائيات كأس المملكة    صالون ملتقى الأدباء ينظم أمسية شعرية على مسرح مانقروف بجدة    مباحثات دفاعية سعودية - أميركية    اجتماع الرياض: دعم خيارات السوريين.. والتأكيد على بناء دولة موحدة    «هيئة هلال نجران» تتلقى 12963 بلاغاً خلال عام 2024    أمير الرياض يؤدي صلاة الميت على والدة الأميرة فهدة بنت فهد بن خالد آل سعود    مركز القلب بمستشفى الملك فهد الجامعي يحقق إنجازًا في علاج أمراض القلب والرئة المعقدة    استولوا على أكثر من 2.8 مليون ريال.. شرطة منطقة مكة تقبض على محتالي سبائك الذهب المزيّف    أمير الرياض يستقبل سفير كينيا المعين حديثًا لدى المملكة    أمير الرياض ونائبه يعزي وزير السياحة في وفاة شقيقته    استشهاد وفقدان قرابة 5000 فلسطيني شمال قطاع غزة    أمير الشرقية يطّلع على التقرير السنوي للهيئة العامة للولاية على أموال القاصرين    «الصحة العالمية»: تسجيل أكثر من 14 ألف حالة إصابة مؤكدة بجدري القرود في أفريقيا    زلزال بقوة 4.8 درجة يضرب وسط إثيوبيا    تجربة استثنائية لمشاهدة أسرار مكة والمدينة في مهرجان الخرج الأول للتمور والقهوة السعودية    مركز الملك سلمان للإغاثة يحصد 5 جوائز دولية خلال عام 2024    المياه الوطنية تشرع في تنفيذ حزمة مشاريع لتطوير الخدمات البيئية بجدة ب42 مليون ريال    463.5 مليون دولار دعم يشمل 100 ألف مواطن عماني    وزراء خارجية جمهورية العراق وتركيا يصلون إلى الرياض    جدل بين النساء والرجال والسبب.. نجاح الزوجة مالياً يغضب الأزواج    10 مليارات لتفعيل الحوافز المعيارية للصناعيين    أمير القصيم يشكر المجلي على تقرير الاستعراض الطوعي المحلي لمدينة بريدة    ثنائية نوال ورابح صقر.. الطرب في أعماق جدة    من بلاغة سورة الكهف    «الصخر الشاهد» .. رفع الوعي بالثروات الطبيعية    30 يومًا لهوية مقيم للخروج النهائي    منع مرور الشاحنات من طريق السيل الكبير    برامج لذوي الإعاقة    «جوجل» تتيح إنشاء بودكاست شخصي    لاعبو النصر: سنقاتل حتى آخر جولة    وصول الطائرة الإغاثية التاسعة مطار دمشق.. مركز الملك سلمان يواصل مساعداته الإنسانية للمناطق السورية    يعود تاريخ صنعها إلى أكثر من 60 عامًا.. السيارات القديمة تثري فعاليات مهرجان «حرفة»    «مجيد».. ليلة من تفرد الغناء    «الغذاء والدواء»: احذروا «ببروني»    ماتياس والرئيس    جوارديولا: ووكر طلب الرحيل عن مانشستر سيتي    «اسلم وسلّم».. توعية سائقي الدرّاجات    الديوان الملكي: وفاة والدة صاحبة السمو الملكي الأميرة فهده بنت فهد بن خالد بن ناصر بن عبدالعزيز آل سعود    للمملكة أهداف أنبل وغايات أكبر    القائد الذي ألهمنا وأعاد لنا الثقة بأنفسنا    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



خلال دقائق,, عرض 2500 رقم بطاقة ائتمان تخزنها سبعة مواقع للتجارة الإلكترونية
في مسلسل الثغرات الأمنية وسرقة البيانات على شبكة الإنترنت
مندوب الانترنت نشر في الجزيرة يوم 03 - 06 - 2000

استطاعت شبكة MSNBC، خلال بضع دقائق، عرض ما يقرب من 2500 رقم بطاقة ائتمان، تخزنها سبعة مواقع للتجارة الالكترونية، صغيرة الحجم، وباستخدام تعليمات أولية زودتها بها إحدى الجهات, وفي كل الحالات وصلت هذه المواقع قوائم عملائها وبياناتهم الشخصية، بالشبكة, وكانت هذه القوائم إما غير محمية بكلمات مرور، او كانت كلمات المرور الموجودة في الموقع مكشوفة.
قفزت الشهر الماضي، مسألة سرقة بيانات بطاقات الائتمان، وهي احدى المشاكل المرتبطة بالتجارة عبر إنترنت، الى واجهة الاحداث التي تهم المستخدمين، حين تمكن احد المتطفلين، والذي اطلق على نفسه اسم (ماكسس)، من اقتحام قاعدة بيانات بطاقات ائتمان المستخدمين التابعة لشركة CD Universe, وما زالت التكهنات تحيط بالطريقة التي تمكن بها من القيام بذلك.
ولعل ماكسس لم يكن بحاجة لبذل جهد كبير لتحقيق ذلك,, فقد تمكنت شبكة MSNBC، وهي شبكة إخبارية تملكها كل من مايكروسوفت وشبكة NBC، من عرض ما يقارب 2500 رقم بطاقة ائتمان، وبيانات اخرى، بمجرد تصفح مواقع للتجارة الالكترونية على شبكة ويب، باستخدام ادوات قواعد بيانات متوفرة تجاريا، بدلا من استخدام متصفح للشبكة, وكانت تلك المواقع تخزن بطاقات الائتمان على شكل نص عادي، في قاعدة بيانات متصلة بالشبكة، وتستخدم اسماء العملاء الافتراضية بدون كلمة مرور أحيانا.
واكتشفت هذه الثغرات الأمنية شركة Strategy LLC الروسية للبرمجيات, ويقول اناتولي بروكوروف، كبير مديريها التنفيذيين، انه ابلغ تلك المعلومات لشبكة MSNBC، وانه حاول في البداية الاتصال مع شركات اخرى، الا انها لم تستجب له!
ويقول يروكوروف: يدل هذا الأمر في رأينا، على درجة عالية من عدم الاحتراف، وليس له ما يبرره وتكتب شركة Strategy LLC برامج تساعد المستخدمين على مقارنة الأسعار عبر مواقع تجارة الكترونية متعددة، واعتاد لذلك، المطورون العاملون فيها، على بنية البيانات الموجودة في مئات المواقع التي تتعامل بالتجارة الالكترونية, ولم يكن المطورون العاملون يبحثون عن الثغرات الأمنية على وجه التحديد، إلا أنهم عثروا عليها عن طريق الصدفة, ووصف بروكوروف الوضع بأنه (باب مفتوح، دهشنا لوجوده)!
لكن خبراء الأمن لم يدهشوا! فمع السرعة اللازمة للنجاح في اقتصاد إنترنت ذي الأهمية المتزايدة، اصبحت الشركات على عجلة من امرها لنشر مواقع عمل لها على الشبكة، وهو ما يجعلها تهمل المسائل المتعلقة بالأمن.
عاقبة التسرع يقول إلياس ليفي، صاحب موقع Security Focus. com يعتبر ما وجده صديقنا بروكوروف تصغيرا لما هو قائم بالفعل, وليس بإمكاننا الا ان نتخيل ما كان سيجده المتطفلون لو كانت أغراضهم سيئة,, فالمشكلة التي نحن بصددها مترامية الأطراف, وكان موقع Secutity Focus. com هو أول من أبلغ عن اختراق قاعدة بيانات شركة CD Universe.
وليست الثغرات الأمنية التي اكتشفها بروكوروف، مجرد وسيلة سهلة لسرقة بطاقات الائتمان، إذ تضمنت المواقع السبعة، التي تمكنت MSNBC من عرضها، كماً كبيرا من المعلومات الشخصية للمستخدمين، والتي تشمل: عناوين إرسال الفواتير، وأرقام الهواتف، وأرقام الضمان الاجتماعي للموظفين، أحياناً.
وأرسل بروكوروف لشبكة MSNBC قائمة بعشرين موقعاً على الشبكة، وبتعلميات أولية للدخول إليها لمشاهدة أرقام بطاقات الائتمان, ولم توفر هذه المواقع، التي كانت كلها، تشغل برنامج SQL Server من مايكروسوفت، حماية بكلمات المرور لمزودات قواعد بياناتها، فيما وفر بعضها كلمة مرور، لكن اكتشافها كان سهلا وكانت عملية الدخول الى تلك المواقع سهلة، إذ لم تتطلب اكثر من تشغيل مزود SQL Server وفتح اتصال مع الموقع على شبكة ويب,وهذه المواقع هي:
Softwarecloseouts. com
sharelogic. net
directmicro. com
epcdeals. com
computerparts. com
(اسقطنا من القائمة أسماء مواقع اخرى لم تتضمن معلومات المستخدمين الشخصية), وقد تم الاتصال بالمواقع السابقة، وتنبيهها الى ضرورة سد الثغرة الأمنية.
وعلى الرغم من ان وجود الثغرات الأمنية امر مؤكد، الا ان تعيين السبب الحقيقي قد لا يكون هيناً, فالمخاوف تزداد من تعرض الشركات الصغيرة، خاصة للاختراقات الأمنية، لأن معظمها لا تشغل خبراء في الكمبيوتر، بين صفوفها ويلجأ بعض اصحاب الشركات، احيانا، لقبول عروض انشاء مواقع منخفضة التكلفة، من مطورين يعدون بتوفير الامن على الموقع، الا انهم يخفقون في ذلك لاسباب مختلفة ويضاف الى ذلك الظهور المستمر للمشاكل الامنية في البرمجيات والتي تساعد على وقوع الاختراقات الامنية.
يمكن، في بعض الحالات، الاطلاع على الشيفرة الموجودة في الكمبيوتر المزود والمتضمنة في صفحة ويب، اذا ادخل المستخدم عبارة )DATA$::( مباشرة، بعد كتابة عنوان الموقع ضمن مستطيل العنوان في المتصفح، هذا اذا كان العنوان ينتهي بالامتداد )asp.( ويمكن ان يؤدي ذلك الى الكشف عن اسماء المستخدمين، أو كلمات المرور، أو اي معلومات اخرى عن الكمبيوترات المرتبطة بالمزود, وعلى الرغم من اكتشاف هذه الثغرة قبل سنتين، وتصحيحها منذ ذلك الوقت، الا ان MSNBC وجدت أربعة من المواقع المعرضة للاختراق، والتي يستضيفها مزود ويب واحد، لم تعمل على سد تلك الثغرة، بعد!!
ولم يكن ليصعب على اي متطفل الدخول الى قواعد البيانات تلك حتى إن لم يكن اسلوب الدخول معروفا, فقد كان اسم المستخدم اللازم لدخول قاعدة البيانات هو )sa(، التي ترمز لمدير النظام system administrator فيما كانت كلمة المرور، هي اسم الشركة، في أربعة من تلك المواقع، وكان اسم المستخدم في المواقع الثلاثة الاخرى )sa( بدون ان توجد كلمة مرور!
وقال متحدث باسم هذه المواقع (استعنا بخدمات احد المطورين لإنشاء الموقع، الا انه لم يعر تلك الثغرة الاهتمام الكافي! وكان يمكن للثغرة ان تكون داخل البرمجيات، وكان على المطور ان يأخذ ذلك بالحسبان، ايضا, وقصرنا في جانب آخر ايضا، وهو عدم استعانتنا بشركة متخصصة بشؤون الأمن، لاختبار موقعنا على الشبكة).
وقال روس كوبر، خبير الأمن الذي يدير قائمة البريد NTBug Traq انه يفضل الحصول على اكثر من رأي، عند بناء موقع للتجارة الإلكترونية.
وأوصى كوبر بوضع شرط في عقد بناء الموقع، ينص على وجوب اجتياز الموقع الاختبارات الأمنية التي يجريها طرف ثالث, وقال ان المشكلة الاساسية هي عدم مسئولية المطورين عن الثغرات التي يتركونها بعد بناء مواقع التجارة الالكترونية, وعلى الرغم من ان التجار مسئولون عن دفع تكلفة اي بضائع مسروقة، الا ان معظم عقود المطورين تنص على انهم غير مسؤولين عما يحدث للمواقع التي يبنونها، وينتهي لذلك الأمر بحصول كثير من الشركات، على موقع يعمل,, لكنه غير آمن!!
وليس لدى المستخدم العادي وسيلة لمعرفة مدى حماية معلوماته الشخصية بعد تسليمها لموقع معين على شبكة ويب, وقال ليفي: (يقع اللوم على اكثر من شخص, فلا يمكنك التعجل في بناء موقع للتجارة الالكترونية، بصرف النظر عن الأموال التي يخطط لجنيها, فالكثير من الأشخاص لا يأبهون بمسائل الأمن).
ومن الأخطاء الأساسية في كافة المواقع السابقة، وفي عدد آخر من المواقع، تخزين معلومات العملاء الخاصة، بنص عادي، على الرغم من توفر اساليب التشفير التي تضمن عدم القدرة على قراءة هذه المعلومات, ويقر الخبراء ان هذا التصرف غير مقبول وقال ويزلي وايلهيلم، مستشار منع الاحتيال في مجلس Internet Fraud Prevention Advisory Council نصيحتي هي، إبقاء المعلومات الخاصة بالمستخدمين بمنأى عن الوصول اليها عن طريق الشبكة، إن لم يكن ضمان امنها ممكنا.
اما المستهلكون فليس لديهم ما يفعلونه للتأكد من الطريقة التي يحمي بها موقع ويب بياناتهم الشخصية.
ويقترح بعض الخبراء استخدام بطاقة ائتمان واحدة للتسوق عبر انترنت، والاستمرار في التدقيق في فواتير البطاقة التي يتلقونها، لضمان عدم استخدامها من قِبل آخرين.

انقر هنا لقراءة الخبر من مصدره.