کشف آسیبپذیری سایبری در نرمافزار Teampass توسط یک استارتاپ ایرانی
به گزارش زومیت، استارتاپ «راسپینا نت پارس» از سال ۱۳۹۶ فعالیت خود را آغاز کرده و در زمینه تست نفوذ ارزیابی امنیتی کار میکند. این مجموعه به سازمانها و شرکتهای مختلفی که نگرانیهای در خصوص امنیت سایبری دارند، خدمات ارائه میکند. در یکی از پروژههای اخیر این مجموعه، در نرمافزار تیمپس که توسط سازمان سفارشدهنده این پروژه استفاده میشد، آنها یک باگ بینالمللی شناسایی و گزارش کردهاند.
محمدرضا مستمع، مدیرعامل این استارتاپ، در گفتوگو با زومیت به معرفی زمینه فعالیت مجموعه خود پرداخت و گفت:
برای رفع نگرانی سازمانهای مختلف از هک شدن، مجموعههای مختلف راهکارهای متفاوتی ارائه میدهند. راهکار مجموعه ما این است که بهعنوان یک هکر سایت سازمان را هک میکنیم تا مشکلات امنیتی آن را شناسایی کرده و به آنها گزارش دهیم که رفعشان کنند. ما تجربه همکاری با نهادها و شرکتهای دولتی، مانند شرکت ملی گاز، بنیاد برکت، پالایشگاه فجر جام و... را داشته و داریم.
او در ادامه مراحل کشف و گزارش این آسیبپذیری سایبری را نیز تشریح کرد و گفت: «برای تست نفوذ امنیتی با یک سازمان وارد همکاری شدیم که از نرمافزار فرانسوی به نام «تیمپس» (Teampass) برای مدیریت گذرواژههایشان استفاده میکردند. تیمپس یک نرمافزار سنترالایز است و توسط همه اعضای سازمان استفاده میشد. ما آسیبپذیری XSS را در این نرمافزار پیدا کردیم.»
با استفاده از این نوع از آسیبپذیری هکر میتواند به امکانات مختلف موجود در سیستم کاربر، از روشن کردن وبکم تا دادههایی مانند کوکیهای مرورگر، دسترسی داشته باشد تا به جای او وارد نرمافزار تیمپس شود و به تمامی رمز عبورهای ذخیرهشده در این نرمافزار دسترسی پیدا کند.
او در ادامه توضیح داد که با توجه به این که نرمافزار تیمپس محصول بااهمیتی است و این آسیبپذیری خطر زیادی داشت، آن را به «مایتره» (Mitre) گزارش دادهاند. به گفته محمدرضا مستمع، مایتره مرجعی است که راسپینا نت پارس، این آسیبپذیری را به آن گزارش داده است. پس از این که یک شرکت گزارشی از یک آسیبپذیری را در مایتره ثبت میکند، این مرجع گزارش را ارزیابی کرده و اگر آسیبپذیری درست باشد، آن را به نام شرکت گزارشدهنده ثبت میکند. در ادامه، مایتره به شرکتی که آسیبپذیری داشته اطلاع میدهد تا باگ را رفع کند. مدیرعامل «راسپینا نت پارس» میگوید این روند درباره آسیبپذیری سایبری تیمپس هم رخ داده و اکنون این شرکت باگ گزارششده را رفع کرده است.
مدیرعامل استارتاپ «راسپینا نت پارس» نرمافزار فرانسوی تیمپس را یکی از محصولات مهم در حوزه مدیریت گذرواژه در دنیا خواند و گفت:
با توجه به این که تیمپس قابلیت هماهنگ شدن با همه پروتکلهای مختلف را دارد، در دنیا محبوب است و در نقاط مختلف جهان توسط کاربران بسیاری مورد استفاده قرار میگیرد.
محمدرضا مستمع ضمن اعلام این که کشف و گزارش چنین باگهایی هیچ سود و منفعت خاصی برای شرکتها ندارد، هدف از انجام این فعالیتها را کمک به افزایش امنیت در فضای اینترنت دانست و گفت: «اگر ما میخواهیم کارمان را حرفهای انجام دهیم، وظیفه داریم وقتی یک آسیبپذیری بینالمللی را کشف میکنیم، آن را گزارش دهیم تا در کل دنیا برطرف شود. در واقع ما صرفاً کمک میکنیم که فضای اینترنت یک قدم امنتر شود و سودی از این کار نمیبریم.»