دنیای تکنولوژی بدون نقص های امنیتی معنا ندارد؛ از حفره های سخت افزاری مانند ملتداون و اسپکتر در پردازنده های اینتل گرفته تا ایرادات نرم افزاری در زبان های برنامه نویسی. به تازگی شرکت امنیتی «وایت سورس» آسیب پذیری های موجود در 7 زبان برنامه نویسی پرکاربرد طی ده سال اخیر را بررسی کرده و نتایج جالبی را به دست آورده است.

طبق گزارش وایت سورس، زبان های برنامه نویسی C، جاوا، جاوا اسکریپت، پایتون، روبی، پی اچ پی و ++C در فهرست بیشترین آسیب پذیری قرار می گیرند. زبان C حدود نیمی از گزارش های امنیتی را به خود اختصاص داده و در صدر جدول قرار گرفته است.

گزارش وایت سورس

البته به گفته وایت سورس، حتی با وجود این همه آسیب پذیری هم نمی توان گفت که زبان C امنیت کمتری نسبت به دیگر زبان ها دارد. تعداد زیاد نقص های امنیتی زبان C به چند عامل وابسته است، از جمله اینکه قدمت بسیار بیشتری نسبت به بقیه دارد و کدهای فوق العاده زیادی با آن نوشته شده است. زیرساخت های نرم افزاری متعددی مانند OpenSSL و کرنل لینوکس هم از زبان C بهره می برند.

با این حال اگر برنامه نویسی را با C آغاز کرده باشید، احتمالاً می دانید که بعضی از مشکلات هم ذاتی هستند. یکی از مسائل اساسی زبان C رفتار نامشخص و تعریف نشده در شرایط مختلف است که می تواند آسیب پذیری های متعددی را ایجاد کند. از طرفی زبان ++C طی 5 سال گذشته با بحرانی ترین آسیب پذیری ها روبرو بوده است. خطاهای بافر که مدتها برنامه نویسان C را آزار می دادند، حالا در ++C خودنمایی می کنند.

جاوا اسکریپت که احتمالاً محبوب ترین زبان برنامه نویسی عصر حاضر به شمار می رود، تنها موردیست که طی 10 سال اخیر با افزایش مداوم تعداد آسیب پذیری ها روبرو بوده است. البته بیشتر معضلات امنیتی جاوا اسکریپت از نوع Path Traversal بوده یا مربوط به پکیج های ثالث هستند و فقط توسط ابزارهای آنالیز کد منبع شناسایی می شوند.

همان طور که انتظار می رود، شاهد عملکرد بسیار خوب زبان برنامه نویسی قدیمی پایتون از نظر امنیت هستیم. تقریباً تمامی زبان ها از حفره های امنیتی مشترک رنج می برند. دو نقص امنیتی که در 70 درصد زبان ها دیده می شوند، عبارتند از CWE-79 یا «تزریق اسکریپت از طریق وبگاه» و CWE-20 که به اعتبارسنجی داده ها مربوط است.
منبع: بلاگ گروه شرکت‌های کهکشان

یک محقق گفت که میلیون ها نفر از پرونده ها 300000 اسم راننده Tap30، شماره شناسایی و شماره تلفن ها را از بین می برند.

یک محقق کشف کرده است که بیش از یک ربع راننده برنامه رانی ایرانی، Tap30، اطلاعات خود را در یک پایگاه داده ناامن قرار داده است.

Tap30 یک برنامه تاکسی آنلاین است، شبیه به Uber، که کاربران را به درایورها از طریق برنامه تلفن همراه و پانل شرکت متصل می کند. برنامه دارای بیش از یک میلیون نصب در Google Play است.

باب Diachenko، پژوهشگر گفت که در روز پنج شنبه، یک پایگاه داده متعلق به Tap30 را برای مدت سه روز باز کرد و حدود 1 تا 2 میلیون پرونده منحصر به فرد را از بین برد. Diachenko به Threatpost گفت که این اطلاعات شامل حدود 300،000 راننده بود.

بر طبق گفته Diachenko، این داده ها که برآورد شده از سال 2017 تا 2018 است، شامل نام و نام خانوادگی رانندگان، شماره تلفن ها و شماره های شناسه ایران (ذخیره شده در متن ساده) می باشد: "تنها واقعیت این است که PII بسیار حساس اطلاعاتی که قابل شناسایی است) برای مدت حداقل 3 روز به صورت وحشی در دسترس است، ترسناک است. "

Diachenko به Threatpost گفت که پایگاه داده ایمن شده است و شواهدی وجود ندارد که اطلاعات مورد سوء استفاده قرار گرفته باشد. علاوه بر این، وی گفت که پایگاه داده یک "حادثه جداگانه" بود و فقط سوابق راننده (در مقایسه با اطلاعات مسافرین) در معرض قرار می گرفت.

او برای اولین بار در پایگاه داده با استفاده از موتور جستجوی BinaryEdge در طول یک ممیزی منظم از پایگاه داده های nonSql در سراسر پایگاه داده قرار گرفت.

این پایگاه داده "doroshke-invoice-production" نامیده می شود ("doroshke" به معنای حامل فارسی است) و دو مجموعه فاکتورها حاوی راننده و نام خانوادگی، 10 رقمی شماره شناسنامه ایرانی در متن ساده، شماره تلفن و تاریخ فاکتور است.

در حالی که Diachenko در اصل تخمین زده بود که پایگاه داده دارای 6.7 میلیون رکورد منحصر به فرد بود، پس از ضبط تکراری در مجموعه داده او به روز شده که برآورد به 1 تا 2 میلیون.

در ضمن، Tap30، پایگاه داده را تامین کرده است. Tap30 در یک سری از توییت ها گفت که آنها مطمئن هستند دسترسی به اطلاعات در مورد مسافران و سفرها وجود ندارد. این شرکت بلافاصله به درخواست نظر برای Threatpost پاسخ نداد.

به طور متداول در پایگاه داده های معرض - که به طور کلی لزوما مخرب نیست - شرکت های مضر همچنان ادامه دارد.

در ماه آوریل، صدها میلیون حساب فیس بوک، از جمله نام حساب ها، اطلاعات شخصی و موارد دیگر، در دو مجموعه جداگانه در دسترس برنامه های کاربردی قرار گرفته است. و در ماه ژانویه یک پایگاه داده نامناسب امن متعلق به ارائه دهنده Voice over Internet از VOIPO، میلیون ها نفر از سیاهههای مربوط به تماس مشتری، سیاهههای مربوط به SMS پیام ها و اعتبار نامه ها را در متن ساده برای ماه ها باز کرده است.

Diachenko گفت که خطر داشتن MongoDB در معرض و یا مشابه پایگاه داده NoSql "بزرگ است."

او گفت: "من قبلا گزارش دادم که فقدان احراز هویت امکان نصب نرم افزارهای مخرب یا ransomware را در سرورهای MongoDB فراهم کرد. "پیکربندی عمومی اجازه می دهد تا مجرمان اینترنتی برای مدیریت کل سیستم با امتیازات اداری کامل. هنگامی که بدافزار در جایی قرار دارد، مجرمان می توانند از راه دور به منابع سرور دسترسی پیدا کنند و حتی یک اجرای کد را برای سرقت و یا نابود کردن هر گونه اطلاعات ذخیره شده که سرور وجود دارد را اجرا کند. "

وبینار Threatpost رایگان ما، "Data Security in the Cloud،" در تاریخ 24 آوریل در ساعت 2 صبح، دست نزنید. ET

یک گروه از کارشناسان، سردبیر ارشد تهدید تهیه خواهد شد تا تارا مهر و موم را به بحث در مورد چگونگی قفل کردن داده ها زمانی که محیط پیرامونی سنتی دیگر جایگزین نشده است. آنها در مورد چگونگی پذیرش خدمات ابر ارائه چالش های امنیت سایبری جدید، از جمله ایده ها و بهترین شیوه ها برای قفل کردن این معماری جدید، بحث خواهند کرد. این که آیا مدیریت و یا امنیت داخلی راه رفتن است؛ و ابعاد جانبی مانند SD-WAN و IaaS.