نوشته‌شده در

Subdomains سایت News News آمریکا برای تصاحب در سمت چپ باز است


تیم هکتیویست Wizcase به سرپرستی Avishai Efrat اخیراً در یک وب سایت شرکت پخش و رسانه های آمریکایی ، CBS محلی آسیب پذیری یافته است. با توجه به پیکربندی غلط فنی ، محتوای 3 زیر دامنه متعلق به سایت ثبت نشده و برای تصاحب باز شد. چنین آسیب پذیری می تواند به راحتی توسط مجرمان سایبری برای فریب کاربران و سرقت اطلاعات شخصی آنها یا از آنها برای حمله به آنها به روش های مختلف دیگری به راحتی استفاده شود. اگرچه این تیم هر 3 زیر دامنه را ادعا و تضمین کرده است ، CBS هنوز پاسخی به پیام های ما نداده است و نقشه های باز را برای همیشه حذف می کند.

چه خبر است؟

Subdomains پیشوند یک آدرس سایت (URL) است و هستند. به دلیل دلایل فنی یا سئو توسط سایتهای والدین (اصلی) آنها استفاده می شود. بنابراین اگر آدرس اینترنتی والدین مانند www.parent.com به نظر می رسد ، زیر دامنه آن می تواند در زیر www.subdomain.parent.com یافت شود. دامنه های زیر مجموعه به دلایل مختلف مختلف مانند آزمایش ویژگی های جدید قبل از افزودن به URL والدین خود یا جدا کردن بین انواع مختلف محتوا تنظیم شده اند. متأسفانه ، اغلب اوقات به دلایل مختلف مانند DNS و میزبانی از تنظیمات غلط یا تنظیمات منقضی شده ، در معرض تصرف قرار می گیرند. یا GitHub. این سایت ها را قادر می سازد تا محتوای خود را بطور مستقل از طریق هاست خارجی بارگذاری و مدیریت کنند. این یک عمل مفید برای سایت والدین است (در این مثال ، CBS محلی) بخشی از زیر دامنه و ظاهر داخلی است.

علیرغم مزایایی که با استفاده از خدمات میزبان خارجی حاصل می شود ، اغلب منجر به رها شدن دامنه ها می شود. توسط صاحب آنها به درستی برداشته نشده است. این ممکن است رخ دهد اگر سایت والدین سرویس میزبانی را لغو کند ، اما نقشه برداری زیر دامنه را حذف نمی کند. این امر می تواند به اجازه دهد هر کسی که زیر دامنه نقشه‌برداری را پیدا کند ، دسترسی و حق دسترسی به مدیریت محتوای زیر دامنه را بدون اجازه کسب کند. این امر به عنوان تصاحب زیر دامنه شناخته می شود - یک عمل خطرناک که اغلب برای توزیع بدافزار ، سوء استفاده از داده های کاربر یا استفاده برای فیشینگ ، سرقت کوکی ها و موارد دیگر استفاده می شود.

تیم ما از کارشناسان امنیت سایبری 3 زیر دامنه آسیب پذیر را کشف کرد. برای میزبانی محتوای محلی محلی CBS - راهنمای ، مسابقه و پیشنهادات حریم خصوصی ESP. از طریق تحقیقات گسترده ، فهمیدیم که هر زیر دامنه انواع مختلفی از مطالب را در خود جای داده است. طبق تحقیقات ما ، مسابقه.cbslocal.com به عنوان محل نگهداری برای نمایش اطلاعات در مورد مسابقات برگزار شده توسط سایت اصلی استفاده شده است. ممکن است این بخشی از استراتژی بازاریابی شرکت باشد. در همین حال ، espguide.cbslocal.com به عنوان یک خبرنامه CBS با نام "خوردن" خدمت می کرد. خواب. بازی." سرانجام ، به نظر می رسد privacy.offers.cbslocal.com برای نمایش خط مشی رازداری محلی CBS استفاده می کرد. این زیر دامنه آخر بهترین فرصت برای کلاهبرداری را ایجاد می کند ، زیرا نام آن به عنوان یک وب سایت واقعی مربوط به حریم خصوصی به نظر می رسد.

این زیر دامنه ها به URL هایی اشاره می کنند که در سطل وب سایت استاتیک آمازون سرویس ذخیره سازی ساده (S3) قرار دارند. متأسفانه ، محتوای هر 3 زیر دامنه در آمازون در برخی از موارد ثبت نام نشد در حالی که نقشه برداری محتوای آنها همچنان فعال بود . این نتیجه باعث شده است که هر سایت هنگام نزدیک شدن خطایی "سطل مشخص وجود ندارد" را ایجاد کند. این یک نشانه واضح است که یک دامنه دامنه در معرض تصرف هر شخصی که در آن قرار دارد آسیب پذیر است.

توجه: این خطا فقط در صورتی ایجاد می شود که محتوای زیر دامنه در سطل های آمازون نقشه برداری شود. ارائه دهندگان دیگر بسته به میزبان زیر دامنه ممکن است پیام خطایی متفاوت را نشان دهند.

چگونه این اتفاق افتاد و چه معنایی برای کاربران CBS دارد؟

علیرغم محتوا که در سطل های Amazon S3 میزبانی می شود ، ذکر این نکته حائز اهمیت است.

این آسیب پذیری ها ظاهر شدند زیرا CBS محلی نقشه برداری محتوای فعلی خود را لغو نکرد ، بلکه استفاده از خدمات آمازون را متوقف کرد . 3 URL زیر دامنه هنوز در آمازون کار می کردند و ثبت شده بودند ، بنابراین هر کسی می توانست به راحتی ادعای سطل ها را کنترل کند و هر زیر دامنه را کنترل کند.

اگرچه وب سایت CBS محلی به طور مرتب توسط میلیون ها کاربر بازدید می شود ، به نظر می رسد این زیر دامنه ها ثبت نشده اند. و سالها خالی بود . وب سایت اصلی دیگر به هیچکدام از آنها پیوند ندارد ، بنابراین بعید است کاربران CBS در حال مرور آنها باشند. با این حال ، این خطرات مربوط به تصاحب زیر دامنه را کاهش نمی دهد. این آسیب پذیری ها هنوز هم می تواند تهدید بزرگی برای کاربران ناشناس ایجاد کند.

تهدیدهای اصلی ناشی از استفاده از زیر دامنه های ربوده شده عبارتند از:

  • فیشینگ و کلاهبرداری : غالباً ، مجرمان سایبری از یک زیر دامنه برای ایجاد کپی استفاده می کنند. یک وب سایت شناخته شده برای ترغیب کاربران به وارد کردن اطلاعات شخصی ، اطلاعات حساب ، یا حتی جزئیات پرداخت. چنین اطلاعاتی ، با فعالیت وب سایت شما ، می تواند در ایجاد ایمیل های فیشینگ به ظاهر قابل اعتماد استفاده شود. همچنین از زیر دامنه های ادعا شده برای ترغیب بازدید کنندگان مشکوک برای بارگیری نرم افزارهای مخرب یا بازدید از وب سایت های مخرب استفاده می شود.
  • کلونینگ سایت اصلی : با استفاده از یک کلون از سایت اصلی subdomain می توان برای جلب اعتماد کاربران و فریب آنها برای ورود به شخصی خود استفاده کرد. جزئیات بدون اینکه به هیچ چیز شک کنید. سپس داده های آنها برای اهداف مختلف ، معمولاً مخرب استفاده می شود. در کنار فیشینگ و کلاهبرداری ، این بزرگترین تهدید برای داده های کاربر محسوب می شود زیرا راهی آسان برای فریب هر کسی که از زیر دامنه ربوده شده بازدید می کند ایجاد می کند.
  • حذف سایت : زیر دامنه های ادعا شده به هر کسی امکان می دهد اشکال مختلف محتوای استاتیک را برای آنها بارگذاری کند. متأسفانه ، به دلیل عدم کنترل خارجی ، می تواند شامل مطالب توهین آمیز یا نگران کننده مانند دیدگاه های مذهبی افراطی ، نگاه سیاسی و یا اخبار جعلی باشد.
  • سرقت داده های کوکی : از کوکی ها برای ردیابی و ذخیره فعالیت آنلاین کاربر در استفاده می شود. هم سایت اصلی و هم زیر دامنه آنها. از آنجا که کوکی ها اغلب بین دامنه و زیر دامنه های آن مشترک هستند ، ربودن یک subdomain به مهاجمان امکان دسترسی آسان به کلیه داده های کوکی جمع آوری شده را می دهد. این شانس ایجاد تلاش های موفق فیشینگ ، کلاهبرداری را افزایش می دهد یا حتی ممکن است منجر به سرقت هویت کاربر شود. اگرچه در این مورد تهدیدی جدی نیست (CBS محلی و زیر دامنه های آن برای به اشتراک گذاشتن کوکی ها پیکربندی نشده اند) ، سرقت داده های کوکی هنوز یک تهدید احتمالی مربوط به تصاحب زیر دامنه است.
  • حملات آنلاین مخرب : از طریق استفاده از کوکی ها و اسکریپت ها ، مهاجمان می توانند فعالیت کاربران را در زیر دامنه ربوده شده نظارت کنند. این دانش پس از آن می تواند برای افزایش استفاده از کلیک به وب سایت های خطرناک یا ترغیب کاربران به بارگیری نرم افزارهای مخرب استفاده شود. مهمتر از این ، مجرمان سایبری می توانند با ارسال درخواست HTTP و اجرای Javascript مخرب در زیر دامنه ، سایت اصلی را ربودند.

یادآوری این نکته مهم است که همه وب سایت های استاتیک آمازون (مانند زیر دامنه های آسیب پذیر ذکر شده) [] هیچ قابلیت سمت سرور را ندارید. این بدان معنی است که این سایتها در هیچ فرآیند برگشتی مانند ورود به سیستم و ارتباط بانک اطلاعاتی شرکت نمی کنند. با این حال ، از هر وب سایت استاتیک می توان برای هدایت کاربر ناشناس به سایتهای ناامن که چنین مطالبی را جمع می کنند استفاده کرد. از طرف دیگر ، مهاجمان می توانند اسکریپت های جانبی مخرب مشتری را با استفاده از Javascript در دامنه آسیب پذیر اجرا کنند.

آیا اکنون باید کاری انجام دهم؟

تیم امنیت سایبری ما با موفقیت ادعا و امنیت هر 3 زیر دامنه آسیب پذیر را انجام داد. آنها به عنوان اثبات مفهوم (POC) ، محتوای استاتیک مضر را برای بارگیری هکرها از ربودن آنها بارگذاری کردند. به محض اینکه این آسیب پذیری ها کشف شد ، ما همچنین با CBS Local تماس گرفتیم. پس از دریافت پاسخ ، می توانیم زیر دامنه ها را تحویل دهیم تا بتوانند برای همیشه حذف شوند.

اگرچه این آسیب پذیری ها اکنون تأمین شده اند ، بسیار محتمل است بسیاری از سطل های دیگر ثبت نشده مانند CBS وجود داشته باشد. گزارش های خبری نشان می دهد که بسیاری از شرکت های بزرگ مانند مایکروسافت ، آمازون و اپل نیز زیر دامنه های خود را ربوده اند. متأسفانه ، در بسیاری موارد ، در نتیجه موارد ، اعتبار کاربران به سرقت رفته یا سوءاستفاده می شود.

خوشبختانه ، شما هنوز هم می توانید از اطلاعات شخصی خود به صورت آنلاین محافظت کرده و از برداشت داده های خود بپرهیزید .

از وارد کردن اطلاعات شخصی خود در هر سایتی بدون آدرس HTTPS امن. اطمینان حاصل کنید که سایت هیچ گونه خطای گواهی را نشان نمی دهد. اگر به یک سایت یا زیر دامنه آن با یک آدرس مشکوک HTTP مراجعه کردید ، از کلیک کردن روی هرگونه تبلیغات پاپ آپ یا پیام های خودداری کنید . آنها می توانند با انواع مختلفی از بدافزارها یا ویروس ها آلوده شوند ، که آماده هستند فقط با یک کلیک بر روی دستگاه شما نصب شوند.

به یاد داشته باشید که هر چیز مشکوکی را به محض مشاهده گزارش دهید ، از جمله ایمیل های غیر معمول یا سایه دار. توابع سایت به این ترتیب شما نه تنها از داده های خود محافظت می کنید بلکه از کلاهبرداری سایر کاربران نیز جلوگیری می کنید.

برای حفاظت بیشتر ، یک برنامه آنتی ویروس قابل اعتماد و یک VPN نصب کنید. آنها ضمن محافظت از هویت آنلاین شما ، لایه ای از امنیت اضافی را به دستگاه شما اضافه می کنند. شما حتی می توانید بسیاری از ارائه دهندگان VPN را برای مدت معینی به صورت رایگان و کاملا بدون ریسک امتحان کنید! برای کسب اطلاعات بیشتر در مورد چگونگی محافظت از VPN از داده های آنلاین خود ، راهنمای VPN ما را برای مبتدیان دنبال کنید.

چرا باید به WizCase اعتماد کرد؟

ترجمه تقریباً به 30 زبان ، WizCase یکی از وب سایت های پیشرو در زمینه آزادی آنلاین و امنیت اینترنت است. . وب سایت ما به مردم در سراسر جهان کمک می کند و هزاران خواننده معمولی را خیلی سریع به دست آورد. ما مرتباً نقض داده های جدید و آسیب پذیری های وب سایت ، مانند نشت های متعدد در صنعت پزشکی و سرورهای ناایمن در یک سایت محبوب آشپزی را کشف و گزارش می کنیم.

قبل از انتشار هر گزارش ، ما همیشه با شرکت آسیب دیده تماس می گیریم تا آن را در مورد موجود اطلاع دهیم. موضوع. این تضمین می کند که برای محافظت از داده های در معرض و کاربران درگیر ، می توان از نشت یا هرگونه آسیب پذیری محافظت کرد.

اگرچه ما چندین بار با CBS Local تماس گرفته ایم تا آنها را از این مسئله آگاه کنیم ، اما هنوز پاسخی دریافت نکردیم. امیدواریم با انتشار این گزارش ، بتوانیم این شرکت را ترغیب کنیم تا زیر دامنه های آسیب پذیر خود را تأمین کند. تا آن زمان ، POC ما باید از هکرها در تلاش برای ربودن زیر دامنه ها جلوگیری کند.

فیلترشکن پرسرعت

نوشته‌شده در

این جایی است که نظارت در محل کار منجر می شود: به سمت مدیریت خودکار ، الگوریتمی

/>

چند سال پیش ، حریم خصوصی اخبار آنلاین در مورد نوع جدیدی از نظارت ، که در محل کار اتفاق می افتد نوشت. در آن زمان هدف این سیستم ها توجه به کارگران بود و آنها اغلب برای شناسایی مشکلات طراحی می شدند. اما دو سال زمان طولانی در دنیای دیجیتال امروز است و همه چیز به طور قابل توجهی پیش رفته است. به عنوان مثال ، در سال 2017 هوش مصنوعی (AI) قبلاً برای نظارت بر محیط کار اعمال شده بود ، اما تا حد زیادی برای کمک به تجزیه و تحلیل الگوهای کار ، و پرچم گذاری ناهنجاری ها بود. هوش مصنوعی امروز قادر تر و مداخله گرتر است. دیگر رضایت ندارد که به صورت استعاری بنشینیم و فقط تماشا کنیم که کارگران مشاغل خود را طی کنند. اکنون شروع به کنترل آنها می کند. گزارشی از داده و جامعه این موضوع را "مدیریت الگوریتمی" توصیف می کند:

[Its] ظهور در محل کار با عزیمت از ساختارهای مدیریتی قبلی که بیشتر بر روی ناظران انسانی به کارگران متکی هستند ، مشخص می شود. مدیریت الگوریتمی مقیاس گذاری کارها را به عنوان مثال با هماهنگی فعالیت های کارگرهای بزرگ و تفکیک شده یا استفاده از داده ها برای بهینه سازی نتایج مطلوب مانند هزینه های پایین تر کار امکان پذیر می کند.

در این گزارش پنج عنصر اصلی مدیریت الگوریتمی انتخاب شده است: "داده های پرکار جمع آوری و نظارت کارگران از طریق فناوری "؛ پاسخگویی در زمان واقعی؛ تصمیم گیری خودکار یا نیمه خودکار؛ ارزیابی عملکرد انجام شده توسط سیستم های AI بر اساس معیارهای نسبتاً ساده؛ و استفاده از "gudges" و مجازات برای تأثیرگذاری بر رفتار کارگران.

گزارش داده و جامعه اشاره می کند که بسیاری از این ویژگی ها برای اولین بار در شرکت هایی که به عنوان بخشی از اقتصاد "گیگ" فعالیت می کنند – به عنوان مثال ، Uber. استفاده از نیروی کار در حال تغییر و توزیع ، به هیچ وجه نیاز به این نوع "نظارت مستمر و نرم" دارد. با این حال ، نکته قابل توجه این است که صنایع سنتی نیز چگونه از این رویکرد استقبال می کنند ، حتی اگر آن را کاملاً لازم نباشد.

این توسط مقاله طولانی در The Verge نشان داده شده است ، که واقعیت مدیریت الگوریتمی را برای افرادی که باید کار کنند نشان می دهد. در زیر آن. داستان ها شامل خانه داران هتل هستند که به وسیله نرم افزار به آنها دستور داده اند که اتاق ها را به روش هایی که خواستار و تخلیه آنها هستند تمیز کنند ، اما در عین حال هر چند فایده ای را برای بازدید کنندگان هتل ایجاد می کنند. با کمال تعجب ، ویژگی های آمازون که وسواس کارآیی دارند. این فقط فرسودگی نیست که مدیریت الگوریتمی بی امان می تواند منجر به آن شود ، بلکه به میزان بالایی از صدمات کارگران نیز منجر می شود. شاید ساده ترین کار برای نظارت و مدیریت الگوریتمی نوشتن کد باشد. هر ضربه ای را می توان ضبط کرد ، هر مکثی ذکر شد ، و از وب کم رایانه می توان برای نظارت تصویری از برنامه نویس هنگام کار خود استفاده کرد. این تجربه مارک رونی ، مهندس نرم افزار در داکا ، بنگلادش ، با استفاده از "ابزار اندازه گیری بهره وری" WorkSmart است ، همانطور که در مقاله "Verge" شرح داده شده است:

این نرم افزار کلیدهای کلید ، کلیک ماوس و برنامه های کاربردی وی را ردیابی کرد. همه برای ارزیابی بهره وری او. او همچنین موظف بود دسترسی به این برنامه را به وب کم خود بدهد. هر 10 دقیقه ، برنامه به طور تصادفی سه عکس می گرفت تا از حضور او در میز کار اطمینان یابد. اگر رونی در آنجا نبود که WorkSmart عکاسی کند ، یا اگر این کار را تعیین کرد که کار وی در زیر آستانه مشخصی از بهره‌وری قرار گرفته است ، برای آن بازه 10 دقیقه‌ای پول دریافت نخواهید کرد. شخص دیگری که با رونی شروع به کار کرد ، از دسترسی به وب کم نرم افزار امتناع کرد و شغل خود را از دست داد.

تجربه آنجلا ، که در یک مرکز تماس با بیمه کار می کرد ، به آنچه که احتمالاً با یک مدیریت الگوریتمی تبدیل به یک مسئله جدی می شود ، اشاره می کند. مشاغلی که به مهارتهای بین فردی احتیاج دارند کیفیت اصلی در این زمینه "همدلی" است ، بنابراین نظارت در محیط کار به طور طبیعی در تلاش است تا این امر را اندازه گیری کند و کارگران را تحت فشار قرار دهد تا بیشتر از این نشان دهند. اما یک مشکل بزرگ در اینجا وجود دارد:

این عادت مرسوم است که مهارت های بین فردی مانند همدلی یکی از نقش هایی خواهد بود که انسان پس از به دست آوردن روبات ها ، به انسان ها واگذار می شود ، و این اغلب به عنوان یک آینده خوش بینانه رفتار می شود. اما مراکز تماس نشان می دهند که چگونه می توان آن را به راحتی تاریک کرد: اتوماسیون افزایش همدلی مورد نیاز کارگران و سیستم های خودکار که برای ایجاد همدلی بیشتر از آنها یا حداقل تقریب قابل خواندن با ماشین از آن استفاده می شود. آنجلا ، کارگری که با [the call center evaluation software] Voci مشغول است ، نگران این است که از آنجا که از AI برای خنثی کردن تأثیرات شرایط کار استفاده می شود ، کار او همچنان به صورت ناخوشایند تر می شود.

این تجربه برخی از مسائل مهم دیگر را با استفاده از سیستم های خودکار برای مدیریت قرار می دهد. مردم. به عنوان مثال ، در افراطی ساده لوحانه به نظر می رسد كه فکر می کنیم چیزی به اندازه "همدلی" پیچیده و گنگ است که نمی تواند تنها توسط مجموعه الگوریتمها شناسایی شود ، بلکه با توجه به نوعی درجه بندی به منظور درخواست تغییر در رفتار کارگر. این در مورد بسیاری از جنبه های دیگر کار صادق است. به سادگی نمی توان مهارت های یک مدیر خوب انسانی را به خطوط کد هوش مصنوعی تقسیم کرد ، مهم نیست که چه تعداد یا چه اندازه خوب نوشته شده باشد – حداقل ، هنوز هم نیست.

علاوه بر این ، تلاش برای انجام این کار چالش های معمول را با خود به همراه می آورد. با سیستم های هوش مصنوعی به عنوان مثال ، فرضیات اصلی برنامه ها ممکن است حاوی تعصبات پنهان باشد. و حتی اگر این حداقل ها باشد ، مدیران الگوریتمی همچنان جعبه های سیاه برای کارگران هستند ، که هرگز به آنها گفته نمی شود که چرا تصمیم گیری در مورد آنها گرفته می شود یا به هر فرصتی برای تجدید نظر در مورد آن داده می شود. در واقع ، انتقال از مدیریت سنتی و مبتنی بر رایانه ، روشی از عینیت را فراهم می کند که احتمالاً تصمیم گیری را برای کارگران دشوارتر می کند ، زیرا به نظر می رسد آنها متلاشی و منطقی هستند.

نکته اصلی این است که این به طور فزاینده ای بی حس می شود. و نهایتا روش ضد تولید در مدیریت مردم فقط به دلیل نظارت مستمر و دقیق در محل کار امکان پذیر است. یکی از راه های متوقف کردن این فقدان بشریت ، مبارزه با از بین رفتن حریم خصوصی است که آن را زیرپا می گذارد.

تصویر برجسته توسط اسکات لوئیس.

درباره Glyn Moody

Glyn Moody یک روزنامه نگار آزاد است که در مورد حریم شخصی می نویسد و صحبت می کند ، نظارت ، حقوق دیجیتال ، متن باز ، حق چاپ ، حق ثبت اختراعات و موضوعات کلی سیاست مربوط به فناوری دیجیتال. وی شروع به پوشش استفاده از مشاغل اینترنت در سال 1994 كرد و اولین ویژگی اصلی را در مورد لینوكس نوشت ، كه در اوت 1997 در Wired ظاهر شد. كتاب وی با نام "Rebel Code" اولین و تنها تاریخ كامل در مورد ظهور منبع آزاد است. ، در حالی که کار بعدی او ، "کد دیجیتال زندگی" ، به بررسی بیوانفورماتیک – تقاطع محاسبات با ژنتیک می پردازد.

VPN Service "عنوان =" خدمات VPN "/>    </div> <p><a href=