امنیت اطلاعات Archives

دوشنبه, 9 بهمن 1402, ساعت 13:43دوشنبه, ۹ بهمن ۱۴۰۲, ساعت ۱۰:۱۴

اطلاعات محرمانه و حساس میلیون‌ها شهروند هند لو رفت

وجود یک باگ امنیتی در مهمترین وب سایت بزرگترین ایالت هند، منجر به افشای حیاتی ترین اطلاعات شهروندان منجر شد.به گزارش خبرنگار پایگاه خبری صنایع مدرن، این اتفاق در ایالت راجستان که بزرگترین ایالت هندوستان محسوب می شود رخ داده است.به گزارش پایگاه خبری صنایع مدرن و به نقل از تک کرانچ، ویکتور مارکوپولوس که یک محقق امنیتی است این باگ ها را در دسامبر 2023 کشف کرده بود.این باگ های امنیتی منجر به افشای اطلاعاتی مانند شناسه هویتی و اقتصادی شهروندان منجر شد.البته گروه واکنش اضطراری کامپیوتری دولت هند CERT-In هفته گذشته این اشکالات را کاملا رفع کرد.یکی از اشکالات رفع شده به افراد اجازه می داد تا تنها با دانستن شماره تلفن یک فرد به اطلاعات شخصی او دست پیدا کنند.
یکی دیگر از باگ‌ها که به بررسی نادرست رمز‌های یک‌بارمصرف از سوی سرور مربوط می‌شد، امکان دسترسی به اطلاعات حساس شهروندان را فراهم می‌کرد.
شناسه‌ی اطلاعاتی هند که بیش از ۲۰ میلیون خانواده را تحت پوشش خود دارد، در سال ۲۰۱۹ با هدف دسترسی به طرح‌های رفاهی دولتی تأسیس شده بود.

دوشنبه, 9 بهمن 1402, ساعت 11:48دوشنبه, ۹ بهمن ۱۴۰۲, ساعت ۸:۲۰

دانشگاه آزاد: هک و دسترسی غیرمجاز به داده‌ها در سامانه انتخاب واحد صورت نگرفته است

دانشجویان دانشگاه آزاد از تاریخ ۵ بهمن ماه، به اختلال‌ها و عدم دسترسی سامانه آموزشیار روبه‌رو شده و انتخاب واحد آن‌ها با موانع مختلف و یا خرابی سایت مواجه شده است. دانشگاه آزاد درخصوص شائبه‌هایی مبنی بر شکل‌گیری حمله سایبری به سامانه آموزشیار اطلاعیه‌ای صادر کرد و اعلام داشت که اقدامات لازم برای رفع مشکل پیش‌آمده کنونی انجام خواهد شد.
به گزارش پایگاه خبری صنایع مدرن، دانشجویان دانشگاه آزاد علی‌رغم اینکه انتخاب واحد آن‌ها از تاریخ ۷ بهمن‌ماه آغاز شده بود با اختلال شدید و مسدود بودن سامانه آموزشیار روبرو شده‌اند. بسیاری از دانشجویان این واحد آموزشی در شبکه اجتماعی ایکس، آغاز اختلال‌های سایت دانشگاه آزاد را از روز پنجشنبه، ۵ بهمن ماه نیز گزارش دادند.
روز گذشته، روابط عمومی دانشگاه آزاد، ضمن تایید بر اختلال‌های پیش آمده در سامانه انتخاب واحد اعلام کرد پس از رفع این اختلال بلافاصله اطلاع رسانی لازم صورت خواهد پذیرفت.
روابط عمومی دانشگاه آزاد اعلام کرد:بر این اساس به دانشجویان اطمینان داده می شود فرصت مجدد برای انتخاب واحد این دسته از دانشجویان به‌صورت کامل در نظر گرفته شده و مراتب اطلاع رسانی خواهد شد. پیشاپیش از صبر و شکیبایی و همراهی شما سپاسگزاریم.
روز گذشته نیز دانشگاه آزاد درخصوص حمله سایبری به سامانه آموزشیار اطلاعیه صادر کرد و اعلام کرد ضمن مقابله با حملات سایبری، تیم‌های فنی و تخصصی رصد و پایش ضمن شناسایی منشأ حملات، اقدام لازم را برای رفع آن در دستور کار خود قرار داده است.
در ادامه این بیانیه، دانشگاه آزاد اعلام کرده است که با توجه به نوع حملات، تیم‌های امنیت شبکه تدابیر لازم را انجام داده و سرویس انتخاب واحد دوباره در دسترس قرار گرفته است. همچنین با توجه به تنوع حمله، سیاست‌های امنیتی ارتقا یافته و افزایش یافته‌اند. این تغییرات در دو نوبت صورت گرفته و با توجه به پیش‌بینی تکرار حملات، اقدامات پیش‌گیرانه توسط تیم رصد، پایش و اقدام نیز در دستورکار قرار گرفته است.
در این اطلاعیه، دانشگاه آزاد بر این اساس به اطلاع کلیه دانشجویان می‌رساند که برای آن دسته از دانشجویان که در روند انتخاب واحد با مشکل مواجه شده‌‎اند، طی روزهای آتی فرصت مجدد انتخاب واحد -انتخاب واحد تکمیلی- در نظر گرفته و اطلاع‌رسانی خواهد شد.
انتخاب واحد دانشجویان دانشگاه آزاد اسلامی در نیم‌سال دوم، از ۷ بهمن‌ماه آغاز و تا ۱۸ همین ماه ادامه دارد.

شنبه, 7 بهمن 1402, ساعت 13:09شنبه, ۷ بهمن ۱۴۰۲, ساعت ۹:۴۰

نامه آژانس امنیت ملی آمریکا نشان داد؛ جاسوسی از کاربران با خرید داده‌های حساس آن‌ها

سناتور آمریکایی ران ویدن، با منتشر کردن نامه ای از آژانس امنیت ملی ایالات متحده آمریکا NSA، خبری غیر منتظره را فاش کرد.به گزارش پایگاه صنایع خبری مدرن و بر اساس این نامه،NSA به خرید داده های حساس مردم آمریکا و جاسوسی از آن ها اعتراف کرده است.این داده ها از وب سایت ها و اپلیکیشن هایی که استفاده می کنند، استخراج شده است.این سناتور سال گذشته میلادی برای اخذ اعتراف از FBI برای خرید این اطلاعات و نیز استفاده جاسوسی از آنها، تلاش زیادی کرده بود.حال و با انتشار این نامه، وایدن از تمام سازمان های اطلاعاتی خواسته است تا خرید داده های شخصی مرتبط با آمریکایی ها به صورت غیرقانونی را متوقف کنند.
بر طبق گزارش منتشر شده از سوی این سناتور آمریکایی، داده های اشاره شده از یک کارگزاری داده با نام X-Mode خریداری شده است.تجزیه و تحلیل این داده ها مشخص کرده که X-Mode با فروش غیرمنصفانه این داده های حساس اقدام به عدم احترام به انتخاب های شخصی افراد و نیز استفاده ناعادلانه از آنها قوانین FTC را نقض کرده است.FTC یا همان کمیسیون فدرال تجارت یک آژانس مستقل در ایالات متحده آمریکا با هدف حمایت از حقوق مصرف کننده است.
FTC در بیانیه‌ای خطاب به آویل هاینس، مدیر اطلاعات ملی ایالات متحده گفت:دولت ایالات متحده نباید به صنعت مشکوکی که باعث نقض آشکار حریم خصوصی آمریکایی‌ها می‌شود، بودجه و مشروعیت بدهد. برای این منظور، از شما درخواست می‌کنم که سیاستی را اتخاذ کنید که در آینده، آژانس‌های اطلاعاتی فقط بتوانند اطلاعاتی را خریداری کنند که استانداردهای فروش داده‌های قانونی تعیین‌شده توسط FTC را برآورده می‌کند.
علاوه بر موارد ذکر شده، مقامات NSA به وایدن اعلام کرده‌اند که این آژانس اطلاعاتی نه‌تنها داده‌های آمریکایی‌های مستقر در ایالات متحده را خریداری می‌کند، بلکه متادیتای اینترنتی آن‌ها را نیز خریداری می‌کند.
برای رفع این مشکل، سناتور ران وایدن از کلیه جوامع اطلاعاتی خواسته تا داده هایی که به زعم آن ها غیرقانونی جمع آوری شده است را به سرعت پاک کنند.او معتقد است که این روند به آژانس هایی مانند NSA و FBI اجازه داده تا متمم چهارم قانون اساسی ایالات متحده آمریکا را دور بزنند.
رونالد مولتریمعاون وزیر دفاع در امور اطلاعات و امنیت، در پاسخ به نامه وایدن گفت که وزارت دفاع (DoD) هنگام خرید داده‌های موقعیت مکانی آمریکایی‌ها، از استانداردهای بالای حفاظت از حریم خصوصی و آزادی‌های مدنی پیروی می‌کند.او همچنین گفت که از هیچ الزامی که وزارت دفاع را مجبور به دریافت حکم دادگاه کند، اطلاع نداشته است.

سه شنبه, 3 بهمن 1402, ساعت 13:42سه شنبه, ۳ بهمن ۱۴۰۲, ساعت ۱۰:۱۳

بزرگ‌ترین نشت اطلاعاتی تاریخ؛ کشف 26 میلیارد رکورد از داده‌های کاربران توییتر، لینکدین و دیگر شبکه های اجتماعی

به نظر می رسد با بزرگترین نشت اطلاعاتی در تاریخ روبرو هستیم.به گزارش صنایع مدرن، محققان امنیتی و سایبری از نشت یک پایگاه داده بزرگ حاوی 26 میلیارد رکورد خبر می دهند.با توجه به عدد 26 میلیارد رکورد، این نشت اطلاعات بزرگترین اطلاعات لو رفته از کاربران شبکه های اجتماعی و وب سایت های مختلف است.
محققان Security Discovery و CyberNews حجم این میزان اطلاعات را 12 ترابایت اعلام کرده اند.این تیم تحقیقاتی گفته که این پایگاه داده توسط هکرها جمع آوری شده است.از نظر این محققان هکرها می توانند از داده های نشت پیدا کرده می توان برای انواع حمله های سایبری مانند فیشینگ و سرقت هویت استفاده شود.
در این پایگاه داده اطلاعاتی از کاربران تنسنت، ویبو، توییتر، دراپ باکس، لینکدین، ادوبی و کانوا دیده می شود.
باید گفت وضعیت نگران‌کننده‌ای است. محققان همچنین اضافه می‌کنند که در رکوردها برخی داده‌های مربوط به کاربرانی از سازمان‌های دولتی ایالات‌متحده را می‌‌توان یافت.یکی از نکاتی که توسط محققان تایید شده این است که حجم کمی از این اطلاعات جدید است و بخش اعظم رکوردهای منتشر شده مربوطط به هک های جدید نیستند.دیگر نکته نگران کننده این رکوردها به تکراری بودن تعداد زیادی از آنهاست و این ناشی عدم آگاهی افراد و کاربران از تعیین رمز عبور قوی و متفاوت با دیگر اکانت های کاربری است.
جیک مور، مشاور امنیت سایبری جهانی در ESET می‌گوید:ما هرگز نباید آنچه را که مجرمان سایبری با چنین اطلاعات محدودی می‌توانند به‌دست آورند، دست‌کم بگیریم. مور ادامه می‌دهد:قربانیان باید از عواقب رمزهای دزدیده‌شده آگاه باشند و در پاسخ به آن، به‌روزرسانی‌های امنیتی لازم را انجام دهند، این شامل تغییر گذرواژه‌های و توجه به هشدار‌های ارسال‌شده برای آن‌ها می‌شود.

شنبه, 30 دی 1402, ساعت 10:18شنبه, ۳۰ دی ۱۴۰۲, ساعت ۶:۴۹

افشای ۱۰۰ میلیون رمز عبور در اینترنت؛ پسورد خود را عوض کنید

تعداد بسیار زیادی از اطلاعات شخصی و رمزهای عبور افراد فاش شده اند و احتمال دارد تا یکی از آن ها متعلق به شما باشد.به گزارش خبرنگار پایگاه خبری صنایع مدرن و به نقل از مدیر وب سایت HIBP، تروی هانت، بیش از 71 میلیون ایمیل و 100 میلیون رمز عبور فاش شده اند.می توانید با مراجعه به وب سایت HIBP و وارد کردن ایمیل شخصی خود بررسی کنید که آیا ایمیل شما و حساب هایی که با آن ساخته اید، دچار نشت اطلاعاتی شده اند یا خیر.بر اساس گفته هانت در بلاگ شخصی خود حدود 35 درصد از ایمیل هایی که در داده های HIBP دیده شده اند، جدید هستند.به گفته هانت، این نشت اطلاعات همچنان در حال انجام است.براساس گفته هانت، بسیاری از داده ها از طریق بدافزارهایی که برروی گوشی نصب شده، جمع آوری می شوند.این مورد در خصوص برنامه هایی که به محض ورود اطلاعات شخصی افراد را ضبط می کنند نیز در این دسته قرار می گیرند.
پیش بینی ها نشان دهنده است که این اطلاعات جدید از سایت illicit.services جمع‌آوری شده‌اند. این سایت که اکنون از بین رفته است، به افراد سودجو اجازه می‌داد تا داده‌ها را بر اساس نام یا آدرس ایمیل اشخاص ثبت نام شده، جست‌وجو کنند.
هانت هنگام جست‌وجو در میان داده‌های به خطر افتاده‌اش رمز عبوری را پیدا کرد که تا سال ۲۰۱۱ از آن استفاده می‌کرد. به گفته‌ی او، این نشت اطلاعات، بسیار بزرگ است و آن‌ها حتی به اطلاعات قدیمی میلیون‌ها نفر دسترسی دارند.
هانت پیشنهاد می‌کند که رمز ایمیل و تمام حساب‌های کاربری خود را تغییر دهید و رمزهایی با ترکیب عدد، حروف بزرگ و کوچک و علائم مختلف انتخاب کنید و برای امنیت بیشتر، سراغ فعال‌سازی سیستم احراز هویت دو مرحله‌ای برای اکانت‌های خود بروید.

چهارشنبه, 29 آذر 1402, ساعت 17:20چهارشنبه, ۲۹ آذر ۱۴۰۲, ساعت ۱۳:۵۱

نقص امنیتی شرکت مخابراتی Xfinity اطلاعات 35 میلیون کاربر را به خطر انداخت

هزاران کمپانی در سراسر جهان از جمله شرکت مخابراتی آمریکایی Xfinity از نرم افزار شرکت خدمات ابری Citrix استفاده می کنند.نقص امنیتی موجود در این نرم افزار باعث شد تا اطلاعات بیش از 35 میلیون مشتری این شرکت از جمله نام کاربری، رمز عبور و اطلاعات تماس آن ها در معرض خطر نشت قرار گیرد.
به گزارش پایگاه خبری صنایع مدرن، آسیب پذیری کشف شده در نرم افزار Citrix برروی 35,879,455 مشتری تأثیر گذاشته است.این نقص امنیتی در بازه زمانی 16 تا 19 اکتبر سال 2023-مهرماه سال جاری- رخ داده است.
پس از کشف این آسیب پذیری Xfinity اعلام کرد که این نقص را در سیستم های خود اصلاح کرده است.
با این حال بررسی های دقیق تر توسط کارشناسان . متخصصان نشان داد که به علت این نقص امنیتی دسترسی های غیرمجازی انجام شده است.
بررسی های این غول مخابراتی نشان داد که اطلاعات مهمی از کاربرانش به خطر افتاده است.این اطلاعات شامل نام کاربری، رمز عبور، نام رسمی، اطلاعات تماس، تاریخ تولد، 4 رقم آخر کد خدمات تامین اجتماعی و فعالیت های صورت گرفته در بخش کاربری مشتریان بوده ایت.
به همین دلیل Xfinity از کلیه مشتریان خود خواسته تا علاوه بر تغییر رمز عبور خود، احراز هویت دو مرحله ای را نیز فعال نمایند.این شرکت همچنین به کاربران خود توصیه کرده تا از استفاده از رمز عبور تکراری در چندین حساب کاربری جدا خودداری کنند.
این شرکت در بیانیه منتشر شده در خصوص اتفاق رخ داده، به جبران خسارت به کاربران خود نپرداخته است.معمولا در صورت بروز چنین اتفاقاتی از سوی شرکت و کمپانی، خدمات رایگان به عنوان خسارت یا غرامت به کاربران ارائه می شود.شاید علت عدم ارائه چنین خدماتی از سوی Xfinity، عدم افشای اطلاعات بانکی و مالی کاربران این شرکت باشد.
قابل ذکر است که در سال 2018 نیز این شرکت درگیر چنین نقص‌های امنیتی بوده است. در آن سال مشخص شد که یک سایت که برای فعال‌کردن روترهای Xfinity استفاده می‌شد، داده‌های شخصی ازجمله آدرس خانه، نام شبکه وای‌فای و رمز عبور آن را لو داده است.

سه شنبه, 23 شهریور 1400, ساعت 12:21سه شنبه, ۲۳ شهریور ۱۴۰۰, ساعت ۷:۵۳

صدور هزار گواهی در حوزه امنیت فضای تبادل اطلاعات

معاونت امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات ایران از صدور نزدیک به یک هزار گواهی و تاییدیه در حوزه امنیت اطلاعات خبر داد.

به گزارش پایگاه خبری صنایع مدرن، طبق آخرین آمار ارائه شده از سوی سازمان فناوری اطلاعات ایران در حال حاضر ۹۵۶ گواهی و تاییدیه تاکنون توسط معاونت امنیت فضای تولید و تبادل اطلاعات صادر شده است.

این گواهی‌ها به تفکیک نوع فعالیت عبارتند از ۴۶۶ پروانه فعالیت خدمات امنیت فضای تولید و تبادل اطلاعات که توسط اداره کل نظام ملی مدیریت امنیت اطلاعات (نما) صادر شده است.

همچنین از میان مجموع گواهی‌های صادره تعداد ۸۴ گواهی معتبر متعلق به ارزیابی امنیتی محصول فاوا، ۱۳ گواهی در حال تمدید، ۲۱ گواهی منقضی شده، ۹۸ تاییدیه صادره برای محصولات خارجی در سال ۱۳۹۸، ۲۹۷ تاییدیه صادره برای محصولات خارجی در سال ۱۳۹۹ و نیز ۷ گواهی به ارزیابی امنیتی آزمایشگاه‌ها تعلق دارد که وظیفه بررسی و صدور آن را اداره کل ارزیابی امنیتی محصولات (ارم) به عهده دارد.

ارتقای امنیت شبکه ملی اطلاعات و پیشگیری از خسارات احتمالی ناشی از به کارگیری محصولات ناامن، از جمله اهداف به کارگیری محصولات، خدمات و آزمایشگاه‌های دارای صلاحیت خدمات امنیتی به شمار می‌رود.

این آزمایشگاه‌ها طی فعالیت مشترک مرکز مدیریت راهبردی افتای ریاست جمهوری و سازمان فناوری اطلاعات ایران وظیفه ارائه این خدمات را برعهده دارند.

بر این اساس، کلیه متقاضیان دریافت گواهی ارزیابی امنیتی محصولات (گواهی افتا) می‌توانندجهت شروع و تمدید فرآیند ارزیابی امنیتی محصولات و اخذ گواهی امنیتی محصول، به سامانه جامع خدمات و محصولات افتا به نشانی https://arzyabi.ito.gov.ir مراجعه کنند.

طبق اعلام معاونت امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات ایران به دلیل شرایط کرونایی و تسهیل مراجعین به منظور تمدید اعتبار گواهی‌نامه‌های منقضی شده یا در حال انقضای محصولات، از تاریخ ۰۱/‏۰۲/‏۱۴۰۰ اعتبار این دسته از گواهی‌ها به مدت ۶ ماه تمدید می‌شود و معتبر خواهند بود.

دسته‌ها