أخبار الآن | techcrunch

 

قامت شركة مايكروسوفت بإصلاح ثغرة أمنية في نظام تسجيل الدخول الخاص بها كان من الممكن أن تُستخدم لخداع ضحايا آمنين في منح المتسللين إمكانية الوصول الكامل إلى حساباتهم على الإنترنت.

وسمحت هذه الثغرة الأمنية للمهاجمين بأن يسرقوا بهدوء رموز الحسابات، التي تستخدمها المواقع والتطبيقات لمنح المستخدمين حق الوصول إلى حساباتهم من دون الحاجة إلى إعادة إدخال كلمات المرور الخاصة بهم باستمرار. وتُنشئ هذه الرموز المميزة بواسطة تطبيق أو موقع ويب بدلًا من اسم المستخدم وكلمة المرور بعد تسجيل دخول المستخدم.

ويحافظ هذا على تسجيل المستخدم باستمرار في الموقع، ولكنه يسمح أيضًا للمستخدمين بالوصول إلى تطبيقات ومواقع الطرف الثالث من دون الحاجة إلى أن يسلموها مباشرةً كلمات المرور الخاصة بهم.

ووجدت إحدى شركات الأمن السيراني العشرات من النطاقات الفرعية غير المسجلة المتصلة بعدد قليل من التطبيقات التي صممتها مايكروسوفت. وتعد هذه التطبيقات الداخلية موثوق بها للغاية، وبالتالي، يمكن استخدام النطاقات الفرعية المرتبطة لإنشاء رموز الوصول تلقائياً من دون الحاجة إلى موافقة صريحة من المستخدم.

ومع وجود النطاقات الفرعية في متناول اليد، فإن كل ما يحتاجه المهاجم هو خداع ضحية غير متوقعة للنقر على رابط أُنشئ خصيصاً لهذا الغرض في رسالة بريد إلكتروني أو على موقع ويب، ويمكن أيضاً سرقة الرمز المميز.

وفي بعض الحالات، قال الباحثون إنه يمكن فعل ذلك بطريقة “النقر الصفري”، التي يشير اسمها إلى أنها لا تتطلب أي تفاعل من قبل المستخدم تقريباً. ويمكن أن يؤدي موقع ويب ضار يخفي صفحة ويب مضمنة إلى تشغيل نفس الطلب كوصلة في رسالة بريد إلكتروني ضارة لسرقة الرمز المميز لحساب المستخدم.

مصدر الصورة: Getty images

للمزيد:

اطلاق مبادرة عالمية للمواجهة التجاوزات المتزايدة على الانترنت

”أمازون“ تقاضي البنتاغون بشأن عقد منح لـ”مايكرسوفت“ بـ10 مليار دولار