آسیب‌پذیری سامانه پرداخت قبوض برق توسط هکر‌های کلاه‌سفید کشف شد

به گزارش برق نیوز، هکر‌های کلاه‌سفید به منظور تست و ارزیابی امنیت یک شبکه و سیستم محافظت شده، برای هک کردن آن تلاش می‌کنند تا ببینید می‌توانند در آن آسیب‌پذیری کشف کنند یا نه. آن‌ها اگر رخنه‌ای را پیدا کنند، آن‌قدر پیش می‌روند تا بفهمند آسیب‌پذیری تا چه حد خطرناک است و چه اطلاعاتی را در معرض افشا قرار می‌دهد.

«یاشار شاهین‌زاده» از آن هکر‌های کلاه سفید‌های است که در شبکه اجتماعی توئیتر حسابی معروف است و او را می‌شناسند. او تا الان همراه دوستانش باگ‌های زیادی را کشف کرده و در این دو سه رخنه آخر هم توانسته مانند تمام هکر‌های کلاه سفید دنیا، اندکی کسب درآمد کند.

یاشار شاهین زاده که مدتی قبل نیز از سوی وزیر ارتباطات تقدیر شد، شب گذشته همراه دوستانش متوجه شدند سامانه پرداخت قبوض اداره برق، یک باگ (آسیب‌پذیری) خطرناک دارد. باگی که علاوه بر لو دادن اطلاعات کاربران، منجر به دسترسی به اطلاعات مدیران می‌شد. به همین دلیل است که یاشار می‌گوید، این باگ بسیار خطرناک بود.

شاهین‌زاده درباره این آسیب‌پذیری امنیتی می‌گوید: مدتی است اداره برق برای حذف قبوض کاغذی، سامانه‌ای را طراحی کرده تا با این شیوه، قبض‌ها به صورت آنلاین پرداخت شوند. ساعت ۳۰دقیقه بامداد امروز، دوستانم سالار نصیری و جلال سجادی متوجه وجود باگی در این سامانه شدند.

البته قبل از آن هم ابراهیم خلیل‌زاده درباره این باگ چیز‌هایی به من گفته بود، اما باگ‌ها زمانی ارزش افشا پیدا می‌کنند که جدی باشند و خطرناک. زمانی که متوجه این باگ شدیم، آن را در توئیتر مطرح کردیم و از مسئولان اداره برق که در این حوزه تصمیم‌گیری می‌کنند خواستیم با ما در تماس باشند.

اطلاعات کاربران و مدیران سایت شبکه توزیع برق

از نظر او آسیب‌پذیری که در این سامانه پیدا کرده‌اند «خطرناک» است. دلیل هم دارد؛ می‌گوید: این سامانه یک باگ داشت، اما اطلاعاتی که از آن استخراج می‌شد را می‌توان به دو دسته تقسیم کرد که اولی در قیاس با دومی خیلی خطرناک نبود. شکل اول اطلاعات مربوط به کاربران بود که نشان می‌داد چه کسی، چه مبلغی را با چه شناسه قبضی پرداخت کرده است. از آن‌جایی که در این بخش اطلاعات مهم مانند کدملی وجود نداشت، می‌توان گفت: آن‌قدر خطرناک نبود.

در حالی در کنار کاربران، لیستی از اطلاعات مدیران سایت شبکه توزیع برق وجود داشت که اگر کسی سایت را هک می‌کرد به راحتی می‌توانست برای مشترکان پیامک ارسال کند و دسترسی به آن اطلاعات هم برایش کار ساده‌ای بود. البته بگویم ما تا همین جا پیش رفتیم، اما ممکن بود شرایط بحرانی‌تر شود و بتوان کل شبکه را هک کرد.

«کمتر از یک ساعت، از اداره برق با ما تماس گرفتند و گفتند شما آسیب‌پذیری را بگویید تا برطرفش کنیم. در ازای این کار هم جایزه و تقدیرنامه به شما می‌دهیم». یاشار با این توضیحات می‌گوید: برخوردشان خیلی خوب بود. به سرعت هم از نظر فنی توانستند مشکل را حل کنند و از این جهت خیلی خوب عمل کردند. البته هنوز تا این ساعت پولی به ما نداده‌اند و در واقع کمی در حال چانه‌زنی هستند.

جایزه ۱۰ میلیونی

رقمی که قرار است به شاهین و سه دوست دیگرش برسد، ۱۰میلیون تومان بیشتر نیست. اگر این باگ کشف نمی‌شد، آن‌ها باید برای جبران خسارت، چندین برابر این رقم هزینه می‌کردند. به یاشار می‌گویم چرا ۱۰میلیون؟ رقم بانتی (جایزه) در دنیا خیلی بالاست؟ او می‌گوید: از آن‌جا که در کشور ما این زنجیره و شیوه کار به تازگی در حال جا افتادن است، ما سعی می‌کنیم عدد و رقم بالایی درخواست نکنیم تا زمانی که کارمان به شکل درست جا بیفتد.

البته از آن‌جایی که فکر می‌کنم کار این سامانه را یک پیمانکار انجام می‌دهد، برای همین این مبلغ از نظرشان کمی زیاد است.

شاهین و دوستانش که حدود یک سال است بیشتر از قبل شناخته شده‌اند و مورد اعتماد شرکت‌ها و ادارات دولتی هستند، معمولا بر پایه اعتماد با دیگران همکاری می‌کنند. او می‌گوید به جز یک مرتبه که شرکت های داخلی پولی بابت باگ کشف شده به من ندادند، بقیه آسیب‌پذیری‌ها منجر به کسب درآمد برای ما شده است.


او در توضیح بیشتر می‌گوید: گاهی اوقات فردی یک رخنه کوچک در سایت پیدا می‌کند و من به او کمک می‌کنم تا آن را به جا‌های بحرانی برساند. قدم اول پیدا کردن آسیب‌پذیری است، اما قدم بعدی این است که ببینی این آسیب‌پذیری قرار است تا کجا پیش برود. به این کار می‌گویند exploit یا بهره‌کشی.