چرا فیسبوک پسوردهای دزدی را می‌خرد؟

الکس استاموس(مدیر امنیتی فیسبوک) در نشست روز چهارشنبه در لیسبون گفت: فیسبوک به‌دنبال خریداری پسوردهای فروخته شده در بازار سیاه آنلاین است. با خرید این اطلاعات از کلاه‌برداران می‌توان پسوردهای سرقت شده که کاربرانش دوباره از آنها استفاده می‌کنند را از دسترس خارج کند.

بنا به گزارش‌ها، فیسبوک در حال بررسی متقابل پسوردهای خریداری شده و پسوردهای مختلف کاربران است که شاید از این طریق بتواند به نمونه مشابهی برخورد کند. استاموس گفت این کار از نظر محاسباتی بسیار سنگین است اما موجب هشدار به ده‌ها میلیون کاربر فیسبوک به منظور تقویت پسورد شان می‌گردد.

به گزارش سافت گذر و به نقل ازآی تی ایران؛ قبل از این می‌دانستیم که فیسبوک اطلاعات کاربر را در مقابل انباری از پسوردهای سرقت شده آنلاین بررسی می‌کند. این قضیه در سال 2013 و پس از رخنه در شرکت Adobe"" آشکار شد، زمانی که تیم امنیتی فیسبوک در حال بررسی اطلاعات لو رفته به منظور یافتن کاربری بود که مرتکب گناه کبیره امنیتی یعنی استفاده از پسورد یکسان برای ورود به "Adobe" و فیسبوک شده بود. فیسبوک به محض اینکه موارد مشابه را پیدا می‌کند، کاربران را مخفی می‌کند و اکانت‌ها را از دسترس عموم خارج می‌کند و تا زمانی که صاحبان اکانت پسوردشان را تغییر نمی‌دادند این کار را ادامه می‌داد.

در همین حال بسیاری در شگفت بودند که فیسبوک چگونه قادر است کسانی که از پسورد  مشابه در اکانت‌های مختلف استفاده می‌کنند را شناسایی کند آن هم بدون داشتن حروف و اعداد پسوردها یا شکل رمزگذاری شده‌(Hashing) آنها چگونه می‌تواند این موضوع را تشخیص دهد. دیگران هم ممکن است این سوال را در مورد پسوردهای خریداری شده از بازار سیاه داشته باشند.

آنچه را که درباره موضوع شرکت "Adobe" در سال 2013 گفتیم دوباره بازگو می‌کنیم: فیسبوک نیازی به بررسی اطلاعات به‌صورت محافظتی و نظارتی ندارد.

کریس لانگ(یکی از مدیران امنیتی فیسبوک) به این شکل توضیح داد: ما پسوردهای متنی که قبل از آن توسط محققین یافته شده بودند را مورد استفاده قرار دادیم. ما پسوردهای متنی بازیابی شده را درون همان کدی قرار دادیم که برای چک کردن پسورد  شما هنگام ورود استفاده می‌کنیم. به بیان واضح‌تر فیسبوک پسورد  کاربران را در اختیار ندارد. به‌جای این کار پسوردها را هنگام ثبت نام کاربران از درون "سیستم یک طرفه رمزگذاری"( one-way hashing function) پسوردها عبور می‌دهد و نتایج بدست آمده را نزد خود نگه می‌دارد. البته این سیستم یک طرفه است و پسوردهای رمزگذاری شده را نمی‌توان به شکل پسورد اولیه تبدیل کرد.

وقتی کاربر وارد فیسبوک می‌شود با پسورد ی که می‌زند وارد این سیستم می‌شود، اگر پسورد وارد شده با همان کد رمزدار شده که فیسبوک در اختیار دارد همخوانی داشته باشد، کاربر وارد اکانت خواهد شد.

فیسبوک از همین پروسه برای پسوردهای به‌دست آمده از اطلاعات شرکت "Adobe" استفاده کرد. برای پسوردهای خریداری شده از بازار سیاه هم به همین شکل عمل کرده است. اگر پسورد خریداری شده از بازار سیاه یا پسورد به دست آمده از شرکت "Adobe" بعد از عبور از سیستم رمزگذاری نتیجه‌ای مشابه با پسورد رمز شده کاربران در فیسبوک داشته باشد، فیسبوک متوجه استفاده مجدد از همان پسوردی می‌شود که از دزدان خریده است.

با اینکه می‌دانستیم فیسبوک از کاربرانش محافظت می‌کند، اما نمی‌دانستیم که به کلاه برداران پول پرداخت می‌کند تا این کار را برایش انجام دهند. بد نیست کمی در باره این فکر کنیم که به چه روش‌های دیگری فیسبوک می‌تواند به پسوردها دسترسی پیدا کند؟

همواره این سوال وجود دارد که آیا جلوگیری و محافظت از پسوردها این حق را به آنها می‌دهد که به کلاهبرداران سایبری پول پرداخت کنند؟

می‌توان این مسئله را با پرداخت به نرم‌افزارهای باج‌گیرنده مقایسه کرد که قانون قاطعانه در مورد آن برای نجات قربانیان از این سیستم صحبت کرده است. در حقیقت جولای امسال پلیس آلمان و اروپا پرتالی را با نام "باج گیری کافی است" را راه اندازی کردند، با این هدف که به قربانیان کمک کنند بدون پرداخت باج به کلاهبرداران، اطلاعات خود را بازیابی کنند. درحالی که کلاهبرداران پس از دریافت پول‌های هنگفت در چندین نوبت، فایل‌ها را بازگردانی می‌کردند.

نظر این مراجع قانونی در مورد پولی که فیسبوک در جیب این کلاهبرداران می‌ریزد چیست؟ با این عقیده که فیسبوک به منظور محافظت از کاربرانش در مقابل این تهدیدها این پول‌ها را پرداخت می‌کند چه فکری در این زمینه باید کرد؟