شركة BitTorrent تنجو من كارثة بعد أن تمكن مخترق من الوصول إلى بياناتها المالية وشفراتها المصدرية

نُشر يوم 4 أوت 2013 بواسطة Abdelhafid

نجت شركة BitTorrent من دمار شامل كاد أن يلحق بها مؤخرا بعد أن تمكن أحد المخترقين من الوصول بمحض الصدفة إلى كافة بياناتها والشفرات المصدرية لتطبيقاتها إضافة إلى البيانات المالية لها بسبب أخطاء أمنية بدائية، في حين لم تحدث الكارثة بسبب عدم استغلال المُخترق للوضع.

bittorrent

قد يبدو العنوان والفقرة السابقة  مبهمة قليلا، لكن دعوني أحاول تبسيط الأمور بأكبر قدر ممكن، الكل يعرف برنامج BitTorrent الشهير (إن لم تكن تعرفه فلا تعلم ماذا ضيعته في حياتك :p ) حسنا، الشركة المالكة له تسمى بنفس الاسم (BitTorrent Inc)، ولها اكثر من 150 مليون مستخدم نشط شهريا لمنتجاتها والتي تتوزع على أغلبية برامج التورنت المعروفة (BitTorrent، µTorrent، Vuze … إلخ)، لنتخيل السيناريو بالشكل التالي: سألني صديق أن أبحث له عن استضافة لموقعه الجديد،أنا خبير قليلا بهذه الأمور فرحت أبحث وألف وأدور و من توبيب إلى تبويب حتى وجدت نفسي أمام واجهة Jenkins لخوادم شركة BitTorrent  بمحض الصدفة، بيانات الدخول من اسم المستخدم وكلمة المرور لا تزال الافتراضية !! الأدهى والأمر هو -زيادة على نسيان عمل بيانات دخول مخصصة- أنه كان بالإمكان أيضا الوصول إلى حسابهم على Github من نفس الواجهة إضافة إلى حسابات أخرى. الخير مازال للقدام كما يقول المثل الجزائري، برنامج Jenkins يعتبر بوابة كاملة الصلاحيات للولوج كل بيانات الشركة الأم ومنها يمكنك القيام بكل ما يخطر ببالك، حتى دفع تحديثات بها برامج خبيثة، بحساب بسيط سيصبح تحت سيطرتك حوالي 150 مليون مستخدم شهريا.

هذا كان حال صاحبنا Mendal المشرف على موقع RaGEZONE الذي كان في الربيع الماضي يتجول داخل خوادم BitTorrent بكل حرية، من تلك البوابة كان بإمكانه الحصول بكل سهولة وسلاسة على البيانات المصرفية والمالية للشركة وكل الموظفين فيها، كذلك معلومات المستخدمين، حالة البرامج النشطة حاليا، البرامج السرية للشركة التي لم تعلن عنها بعد، البرمجيات البيتا والمستقرة، والأهم والأخطر، الشفرة المصدرية لكافة برامج الشركة، الشيء الذي لو وقع بين الأيادي الخطأ لكنا اليوم نترحم على شركة BitTorrent ولكانت شركات Hollywood تتراقص فرحا من ذلك الدمار التام الذي -لا قدر الله- كان بإمكانه أن يحصل.

Mandel

صاحبنا كان شريفا إلى أبعد حد، حيث أنه لم يقم حتى بنسخ أي ملفات أو الولوج إلى معلومات سرية كالبيانات المصرفية والمالية، بل كان مثالا يحتذى به في أصحاب القبعات البيضاء من المخترقين الأخلاقيين، حيث قام بإبلاغ الشركة ونبهها الى خطورة الأمر، ومن ثم قامت الشركة بعمل اللازم وشكرته ووعدته بمكافأة جزيلة نظير الاكتشاف وإنقاذها من الدمار التام، لكن وبعد مدة تواصل معهم صديقنا ليقبض مكافئته، لكن الشركة كشرت عن أنيابها وعاملته بوقاحة وقررت أن مبلغ 500 دولار هو أكثر ما يستحقه، بل وطلبت منه إرسال فاتورة ليقبض تلك الجائزة.

Mandel شعر بالإهانة وقرر التواصل مع موقع TorrentFreak وإعلام العام والخاص بما اكتشفه، لحسن الحظ كان قد احتفظ بصور للبوابة وللملفات المصدرية لبرنامج µTorrent وكذا صور لبرامج متعددة للشركة وقواعد البيانات المختلفة.

في الصور التي نشرها صديقنا Mandel تظهر بعضها برامج الشركة وقواعد بياناتها، يذكر أن هذا الأخير تمكن أيضا من الولوج إلى مدير قواعد SQL باستخدام نفس البيانات، ليظهر لنا مدى فداحة التهاون الأمني في شركات كبيرة مثل BitTorrent، لا داعي للحديث عن كيفية استغلال قواعد البيانات، فحتى أطفال النت يعرفون الطرق.

bittorrent-disaster

للأمانة يجدر الذكر أن هذه نسخة Mandel المنفردة دون أن نعرف نسخة شركة BitTorrent التي تواصل معها مشرفوا موقع TorrentFreak وينتظرون ردهم.

كل ما سبق يلقي الضوء مجددا على الأمان في عالم اليوم، فشركات مثل Google، فيس بوك، تويتر وغيرها تملك أطنان البيتافلوبات البيتابايتات من المعلومات عنا، منها معلومات حساسة مثل البيانات المصرفية، فخطأ صغير من شركة BitTorrent كان سيقضي عليها والأسوء يقضي على الكثير من المستخدمين، فما العمل؟ ما مدى الأمان الذي تدعي هذه الشركات أنها تملكها؟ هل سنواصل إمداد الشركات بمعلوماتنا راجين من المولى الستر؟ أم نتوقف ونبحث عن حلول أخرى؟