شركة BitTorrent تنجو من كارثة بعد أن تمكن مخترق من الوصول إلى بياناتها المالية وشفراتها المصدرية

الوقت المقدّر لقراءة هذا المقال: 6 دقيقة و 14 ثانية

نجت شركة BitTorrent من دمار شامل كاد أن يلحق بها مؤخرا بعد أن تمكن أحد المخترقين من الوصول بمحض الصدفة إلى كافة بياناتها والشفرات المصدرية لتطبيقاتها إضافة إلى البيانات المالية لها بسبب أخطاء أمنية بدائية، في حين لم تحدث الكارثة بسبب عدم استغلال المُخترق للوضع.

bittorrent

قد يبدو العنوان والفقرة السابقة  مبهمة قليلا، لكن دعوني أحاول تبسيط الأمور بأكبر قدر ممكن، الكل يعرف برنامج BitTorrent الشهير (إن لم تكن تعرفه فلا تعلم ماذا ضيعته في حياتك :p ) حسنا، الشركة المالكة له تسمى بنفس الاسم (BitTorrent Inc)، ولها اكثر من 150 مليون مستخدم نشط شهريا لمنتجاتها والتي تتوزع على أغلبية برامج التورنت المعروفة (BitTorrent، µTorrent، Vuze … إلخ)، لنتخيل السيناريو بالشكل التالي: سألني صديق أن أبحث له عن استضافة لموقعه الجديد،أنا خبير قليلا بهذه الأمور فرحت أبحث وألف وأدور و من توبيب إلى تبويب حتى وجدت نفسي أمام واجهة Jenkins لخوادم شركة BitTorrent  بمحض الصدفة، بيانات الدخول من اسم المستخدم وكلمة المرور لا تزال الافتراضية !! الأدهى والأمر هو -زيادة على نسيان عمل بيانات دخول مخصصة- أنه كان بالإمكان أيضا الوصول إلى حسابهم على Github من نفس الواجهة إضافة إلى حسابات أخرى. الخير مازال للقدام كما يقول المثل الجزائري، برنامج Jenkins يعتبر بوابة كاملة الصلاحيات للولوج كل بيانات الشركة الأم ومنها يمكنك القيام بكل ما يخطر ببالك، حتى دفع تحديثات بها برامج خبيثة، بحساب بسيط سيصبح تحت سيطرتك حوالي 150 مليون مستخدم شهريا.

هذا كان حال صاحبنا Mendal المشرف على موقع RaGEZONE الذي كان في الربيع الماضي يتجول داخل خوادم BitTorrent بكل حرية، من تلك البوابة كان بإمكانه الحصول بكل سهولة وسلاسة على البيانات المصرفية والمالية للشركة وكل الموظفين فيها، كذلك معلومات المستخدمين، حالة البرامج النشطة حاليا، البرامج السرية للشركة التي لم تعلن عنها بعد، البرمجيات البيتا والمستقرة، والأهم والأخطر، الشفرة المصدرية لكافة برامج الشركة، الشيء الذي لو وقع بين الأيادي الخطأ لكنا اليوم نترحم على شركة BitTorrent ولكانت شركات Hollywood تتراقص فرحا من ذلك الدمار التام الذي -لا قدر الله- كان بإمكانه أن يحصل.

الحق يقال، لم أكن ادري أين كنت، البوابة بها كل شيء، يمكن لأي كان الوصول لقلب الشركة، معظم الوقت لم أكن على دراية أين كنت وما هذه البيانات التي تتدفق أمامي،لكن سيناريو واحد ماثل امامي، يمكنني دفع تحديث يحوي برامج خبيثة، سيمكنني السيطرة على جميع المستخدمين.

Mandel

صاحبنا كان شريفا إلى أبعد حد، حيث أنه لم يقم حتى بنسخ أي ملفات أو الولوج إلى معلومات سرية كالبيانات المصرفية والمالية، بل كان مثالا يحتذى به في أصحاب القبعات البيضاء من المخترقين الأخلاقيين، حيث قام بإبلاغ الشركة ونبهها الى خطورة الأمر، ومن ثم قامت الشركة بعمل اللازم وشكرته ووعدته بمكافأة جزيلة نظير الاكتشاف وإنقاذها من الدمار التام، لكن وبعد مدة تواصل معهم صديقنا ليقبض مكافئته، لكن الشركة كشرت عن أنيابها وعاملته بوقاحة وقررت أن مبلغ 500 دولار هو أكثر ما يستحقه، بل وطلبت منه إرسال فاتورة ليقبض تلك الجائزة.

Mandel شعر بالإهانة وقرر التواصل مع موقع TorrentFreak وإعلام العام والخاص بما اكتشفه، لحسن الحظ كان قد احتفظ بصور للبوابة وللملفات المصدرية لبرنامج µTorrent وكذا صور لبرامج متعددة للشركة وقواعد البيانات المختلفة.

في الصور التي نشرها صديقنا Mandel تظهر بعضها برامج الشركة وقواعد بياناتها، يذكر أن هذا الأخير تمكن أيضا من الولوج إلى مدير قواعد SQL باستخدام نفس البيانات، ليظهر لنا مدى فداحة التهاون الأمني في شركات كبيرة مثل BitTorrent، لا داعي للحديث عن كيفية استغلال قواعد البيانات، فحتى أطفال النت يعرفون الطرق.

bittorrent-disaster

للأمانة يجدر الذكر أن هذه نسخة Mandel المنفردة دون أن نعرف نسخة شركة BitTorrent التي تواصل معها مشرفوا موقع TorrentFreak وينتظرون ردهم.

كل ما سبق يلقي الضوء مجددا على الأمان في عالم اليوم، فشركات مثل Google، فيس بوك، تويتر وغيرها تملك أطنان البيتافلوبات البيتابايتات من المعلومات عنا، منها معلومات حساسة مثل البيانات المصرفية، فخطأ صغير من شركة BitTorrent كان سيقضي عليها والأسوء يقضي على الكثير من المستخدمين، فما العمل؟ ما مدى الأمان الذي تدعي هذه الشركات أنها تملكها؟ هل سنواصل إمداد الشركات بمعلوماتنا راجين من المولى الستر؟ أم نتوقف ونبحث عن حلول أخرى؟


هل أعجبك هذا المقال؟ أخبر أصدقاءك عنه Share on Facebook0Tweet about this on TwitterShare on Google+9Share on LinkedIn0Buffer this pageEmail this to someoneShare on Reddit0Share on Tumblr0

عن كاتب المقال:

عبد الحفيظ ، مدون وطالب جامعي جزائري، مهتم بالبرمجة والتصميم، متتبع لأخبار جوجل وشركات التقنية عموما، أدور في فلك أخبار التقنية وسكريبتات إدارة المحتوى، مدمن لـ Google+ وTwitter

تابع الكاتب على:
Twitter +Google
  • “تملك أطنان البيتافلوبات من المعلومات”، الـ FLOPS ليس وحدة لقياس حجم البيانات أخي عبد الحفيظ.

    • يوغرطة بن علي (Youghourta Benali)

      شكرا
      تم التعديل

    • شكرا جزيلا لك اخ Raim0n تم التصحيح من المحرر الأخ يوغرطة

  • الصراحة أخي يوغرطة الإعتماد على الشركات في حماية ممتلكاتك كإئتمان لص على سايرتك.
    لقد أخبرني شخص مرة أنه تمكن من تحميل برنامج avira antivirus مجانا مع العلم الإصدار المدفوع من موقع torrent , لم أهتم لأن مواقع التورنت معروفة بمشاركة الملفات المقرصنة, لكن الأدهى أنه قال لي لم أحمله بالطريقة التقليدية بل كان التحميل عن طريق ftp.
    والآن بعد قرائتي للخبر أظن عرفت ما كان يقصد.

  • اكثر ما حز في نفسي هذا المقطع :

    لكن الشركة كشرت عن أنيابها وعاملته بوقاحة وقررت أن مبلغ 500 دولار هو أكثر ما يستحقه، بل وطلبت منه إرسال فاتورة ليقبض تلك الجائزة

    يعني هذا يبين مدى وقاحة شركات الانترنت و نكرانهم للجميل .. و الله قرات اكثر من خبر من هذا القبيل , فخرجت بنتيجة مهمة :
    ليس الكل بامكانه الحصول على بياناتي بسهولة .. يجب ان يثبت لي انه يقدم لي اكثر مما قدمت له لو انه حصل على بياناتي .

    على كل حال لو كنت مكان صاحبنا لاحتفظت على الاقل بنسخ من قواعد البيانات , لاكرم نزلهم اذا حصل شيئ .

  • مقالات جميلة للغاية كالعادة من الأخ عبد الحفيظ بارك الله فيك