loader-logo

تایید دو مرحله ای و دور زدن آن توسط هکران چینی !

یک گروه هکر چینی به اسم APT20 توانسته اند روش تایید دو مرحله ای رو دور بزنند که باعث میشه این روش امنیتی آسیب پذیر بشه .

اما چگونه موفق به این کار شدند ؟

در سال های اخیر توسعه دهندگان از ارائه دهندگان خدمات انلاین گرفته تا استودیو های بازیاز روش احراز هویت دو مرحله ایی استفاده میکنند . و همگی بر این باور هستند که این روش امنیت حساب های کاربری را بالا میبرد با همه ی این تواصیف به نظر میرسد که آنچنان هم این تفکر درست نیست زیرا که یک گروه هکر چینی (APT20) موفق شده است روش تایید دو مرحله ایی را دور بزند .

شنیده ها حاکی از آن است که ، این گروه پیش از این اقدام هم موفق شده بود تا سرور های وب را هم نیز هک کنند اما اکنون محور حرکت خود را به سمت تایید دو مرحله ای تغیر داده است.

هک شدن تایید دو مرحله ایی

گروه APT20 از نرم‌افزار RSA SecurID به سرقت برده‌شده از یک حساب هک‌شده برای دور زدن روش‌های احراز هویت دو مرحله‌ ای استفاده کرده است.

به عبارت ساده‌تر، این گروه از یک کلید سرقت‌شده و اصلاح‌شده از یک حساب هک‌شده استفاده کرده است تا هک آن‌ها برای سیستم‌های امنیتی معتبر به نظر برسد.


آن‌ها با استفاده از این روش موفق به فریب دادن سیستم‌های دیگری نیز شده‌اند.

چون احراز هویت دو مرحله‌ای به سیستم‌های مختلف متکی است، این بدان معناست که اگر گروهی موفق به هک کردن یک طرف شود، آن‌ها می‌توانند سیستم دیگر را نیز با کلید اصلاح‌شده خود فریب دهند.

آن‌ها می‌توانند در وهله اول کلید را به سرقت ببرند یا اصلا نیازی به کلید نداشته باشند.


در حال حاضر، هیچ راه حلی برای آخرین مورد در دسترس نیست.

اما این بدان معنا نیست که این سیستم کاملا نقص دارد و امن نیست. این گزارش همچنین جزئیاتی را در مورد بالا بردن استقلال فرآیند تأیید دوگانه و کاهش اتکای آن به سیستم‌های دیگر ارائه کرده است.


از آنجایی که این گروه ظاهرا با دولت چین در ارتباط است، شهروندان چینی در معرض ریسک بالاتری قرار دارند.

به نظر می‌رسد که اکنون این گروه در حال هدف قرار دادن سیستم‌های VPN است.

وی پی ان اساسا برای دسترسی به داده‌های خارجی یا وب سایت‌هایی مورد استفاده قرار می‌گیرد که دولت آن‌ها را سانسور می‌کند یا اجازه دسترسی آزاد به مردم را نمی‌دهد.

همچنین بخوانید


منابع و مراجع


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *