جایزه ۲۰ هزار دلاری گوگل برای کشف شکاف امنیتی

 
گوگل برنامه جدیدی ارایه کرده و به هر فردی که شکاف امنیتی در اپلیکیشن های گوگل کشف کند، جایزه ای ۲۰ هزار دلاری می دهد.
 
 به نقل از انگجت، در این اواخر نمونه های متعددی از بدافزارهایی در اپلیکیشن های موجود در پلی استور گوگل کشف شده است. درهمین راستا گوگل از مردم خواسته در تامین امنیت اپلیکیشن ها کمک کنند و گستره برنامه «Google Play Security Reward» را بیشتر کرده است.
 
این برنامه قبلا  فقط شامل ۸ اپلیکیشن برتر  پلی استور بود. اما اکنون هر اپلیکیشنی از پلی استور که بیش از ۱۰۰ میلیون بار روی دستگاه ها نصب شده جزو این برنامه است و توسعه دهندگان نرم افزار با کشف شکافی در یک اپلیکیشن، جایزه ای ۲۰ هزار دلاری دریافت می کنند.
 
به طور معمول چنین برنامه هایی از سوی شرکت ها برای رصد مشکلات موجود در نرم افزارها ارایه می شود. یکی از دلایل عجیب بودن این برنامه آن است که جایزه مذکور برای کشف شکاف های امنیتی در اپلیکیشن های دیگر نیز پرداخته می شود.
 
سخنگوی گوگل در این باره می گوید: این امر به محققان امنیتی کمک می کند صدها سازمان مختلف شکاف های موجود در اپلیکیشن های شان را ردیابی و اصلاح کنند.
 
علاوه بر آن گوگل برنامه های «جایزه برای حفاظت از اطلاعات توسعه دهندگان» را نیز افتتاح کرده تا مشکلات سوءاستفاده از اطلاعات در اپلیکیشن های اندروید، پروژه های O Auth و افزونه های کروم را نیز ردیابی کنند.
 
این به معنای کشف اپلیکیشن هایی است که بدون رضایت کاربران از اطلاعات آنها سوءاستفاده می کنند یا آن را می فروشند. اگر چنین مشکلی ردیابی شود، اپلیکیشن یا افزونه مذکور از پلی استور یا کروم وب حذف می شود و کاشف این شکاف امنیتی جایزه ای ۵۰ هزار دلاری دریافت می کند.

ادعای مایکروسافت در مورد خنثی کردن ۹۹.۹ درصد حملات هکری

 
 
مایکروسافت می گوید آن دسته از کاربران خدمات این شرکت که از سیستم تایید هویت چند مرحله ای استفاده می کنند، تا ۹۹.۹ درصد در برابر حملات هکری مصون هستند.
 
 به نقل از زددی نت، مایکروسافت بارها به کاربران خود توصیه کرده که برای ایمن سازی حساب های کاربری خود و به خصوص حساب های کلود از سیستم تایید هویت چندمرحله ای استفاده کنند. البته ارائه این خدمات منحصر به مایکروسافت نیست و برخی وب سایت ها و سرویس های انلاین دیگر نیز چنین خدماتی را ارائه می کنند.
 
این سیستم مبتنی بر ارسال کلمات عبور یک بار مصرف از طریق پیامک یا استفاده از روش های بیومتریک یا ترکیبی از این موارد در کنار استفاده از کلمات عبور عادی است.
 
الکس وینرت مدیر امور ایمن سازی و حفاظت برنامه های گروهی مایکروسافت در این مورد گفته است: بر مبنای بررسی های ما،اگر کاربری از سیستم تایید هویت چند مرحله ای استفاده کند، حساب کاربری وی به احتمال کمتر از یک صدم درصد ممکن است، هک شود.
 
به گفته وی، مایکروسافت قصد دارد در آینده استفاده از کلمه عبور صرف را برای دسترسی به خدمات خود و به خصوص سرویس های کلود آزور ممنوع کند تا کاربران با استفاده از سیستم های تایید هویت چندمرحله ای امنیت بیشتری داشته باشند.

ادعای مایکروسافت در مورد خنثی کردن ۹۹.۹ درصد حملات هکری

 
 
مایکروسافت می گوید آن دسته از کاربران خدمات این شرکت که از سیستم تایید هویت چند مرحله ای استفاده می کنند، تا ۹۹.۹ درصد در برابر حملات هکری مصون هستند.
 
 به نقل از زددی نت، مایکروسافت بارها به کاربران خود توصیه کرده که برای ایمن سازی حساب های کاربری خود و به خصوص حساب های کلود از سیستم تایید هویت چندمرحله ای استفاده کنند. البته ارائه این خدمات منحصر به مایکروسافت نیست و برخی وب سایت ها و سرویس های انلاین دیگر نیز چنین خدماتی را ارائه می کنند.
 
این سیستم مبتنی بر ارسال کلمات عبور یک بار مصرف از طریق پیامک یا استفاده از روش های بیومتریک یا ترکیبی از این موارد در کنار استفاده از کلمات عبور عادی است.
 
الکس وینرت مدیر امور ایمن سازی و حفاظت برنامه های گروهی مایکروسافت در این مورد گفته است: بر مبنای بررسی های ما،اگر کاربری از سیستم تایید هویت چند مرحله ای استفاده کند، حساب کاربری وی به احتمال کمتر از یک صدم درصد ممکن است، هک شود.
 
به گفته وی، مایکروسافت قصد دارد در آینده استفاده از کلمه عبور صرف را برای دسترسی به خدمات خود و به خصوص سرویس های کلود آزور ممنوع کند تا کاربران با استفاده از سیستم های تایید هویت چندمرحله ای امنیت بیشتری داشته باشند.

فاش شدن اطلاعات خصوصی میلیون‌ها مشتری شرکت میزبانی وب Hostinger

 
شرکت میزبانی وب «هاستینگر» به علت دسترسی غیرمجاز به دیتابیس خود، از ترس لو رفتن اطلاعات مشتریان آنها را وادار به تغییر رمز عبور خود کرده است.
 
شرکت مذکور روز پنج شنبه با انتشار پستی در وبلاگ شرکت، خبر درز اطلاعات مشتریان را به شکل عمومی اعلام کرد. این شرکت می گوید هکر یا هکرها به وسیله توکن دسترسی که روی سرور یافت می شود، بدون نیاز به نام کاربری و پسورد به سیستم ها دسترسی پیدا کرده بودند.
 
هکر موفق شده با دسترسی به سیستم های شرکت به یک دیتابیس API نیز نفوذ کند. دیتابیس مذکور حاوی داده های حساسی مانند نام کاربری، آدرس ایمیل و پسوردهایی بوده که با الگوریتم رمزنگاری SHA-1 روی دیتابیس ذخیره شده بودند.
 
مهندسین شرکت مذکور بعد از اطلاع از احتمال بالای هک شدن الگوریتم رمزنگاری SHA-1، قرار است پسوردهای مشتریان را با الگوریتم های قوی تری رمزنگاری کنند. آنها بعد از این دسترسی غیرمجاز موقتاً تمامی پسوردها را با الگوریتم SHA-2 رمزنگاری کرده اند.
 
مقامات شرکت هاستینگر با ارسال ایمیلی مشتریان خود را در جریان درز اطلاعاتی دیتابیس خود قرار داده و آنها را نسبت به تغییر رمز عبور در جریان گذاشتند.
 
مسئولین شرکت هاستینگر اعلام کرده اند هیچ یک از اطلاعات بانکی مشتریان به سرقت نرفته است. اما یکی از مشتریانی که از درز اطلاعاتی تحت تأثیر قرار گرفته، این شرکت را به منحرف کردن افکار عمومی متهم کرده است.
 
یکی از مشتریان شرکت هاستینگر را به منحرف کردن افکار عمومی متهم کرده است
مشتری مورد بحث با بخش پشتیبانی شرکت چت کرده و کارمند این بخش به او گفته با دسترسی به دیتابیس API می توان به اطلاعات مالی مشتریان نیز دست یافت. البته او تأکید کرده این شرکت داده های پرداخت مشتریان را ذخیره نمی کند. مشتری شاکی مدعی شده شرکت هاستینگر از درگاه های متفاوتی برای پرداخت هزینه استفاده می کند ولی نامی از آنها به میان نیاورد.
 
«Balys Kriksciunas» مدیرعامل شرکت هاستینگر می گوید هرگونه ادعای مطرح شده توسط بخش پشتیبانی صحت نداشته و لو رفتن هرگونه اطلاعات مالی مشتریان را تکذیب کرد.
 
مسئولین شرکت هاستینگر می گویند دیتابیس API مذکور حاوی داده های بیش از 14 میلیون مشتری است. این شرکت بیش از 29 میلیون مشتری دارد.

الزام استفاده از شرکت‌های خصوصی شرط اجرای طرح امن‌سازی زیرساخت‌های حیاتی

 
زیرساخت‌های حیاتی کشور موظف شده‌اند، برای اجرای طرح امن سازی از شرکت‌های بخش خصوصی فعال در حوزه استقرار و ممیزی سیستم مدیریت امنیت اطلاعات در دو بخش مشاوره و ممیزی استفاده کنند.
 
 به نقل از مرکز مدیریت راهبردی افتا، این خبر امروز در نشست مدیران عامل و مسئولان شرکت‌های خصوصی فعال در حوزه استقرار و ممیزی سیستم مدیریت امنیت اطلاعات در مرکز افتا اعلام شد.
 
در این جلسه عنوان شد: برای اجرای طرح امن سازی، سازمان‌های دولتی و حاکمیتی موظف شده اند تا در زمینه های فنی، امنیتی و بخش امنیت اطلاعات از مشاوره بخش خصوصی دارای مجوزها و گواهی‌های لازم، استفاده کنند .
 
تعیین سطح بلوغ امنیتی موجود و مطلوب برای زیرساخت‌های حیاتی کشور، از جمله اهداف اجرای طرح امن سازی زیرساخت‌های حیاتی کشور است که در مدت زمان مشخص شده، همه آنها در سطوح پنج گانه‌ای طبقه بندی خواهند شد که شرکت‌های خصوصی باید در این باره مشاوره لازم را به دستگاه‌های زیرساخت ارائه دهند.
 
در این جلسه همچنین اعلام شد که شرکت‌های بخش خصوصی فعال در حوزه استقرار و ممیزی سیستم مدیریت امنیت اطلاعات می‌توانند به‌عنوان مشاور در تعیین سطح بلوغ، تدوین برنامه عملیاتی، تکمیل سند پروژه‌های مورد نیاز برای اجرای طرح امن سازی با زیرساخت‌های کشور همکاری و مشارکت کنند.
 
به گفته معاون توسعه و ارزیابی صنعت افتای مرکز افتا، هدف اصلی این مرکز و طرح امن سازی، تامین امنیت فضای تولید و تبادل اطلاعات در زیرساخت‌های حیاتی کشور است.
 
وی گفت: مدیریت مخاطرات در طرح امن سازی، فرآیندی مستمر است که در آن تهدیدات و آسیب پذیری‌های موجود در یک سازمان شناسایی و ارزیابی می ‌شوند تا با انجام اقدامات امن سازی، مخاطرات احتمالی سایبری مدیریت شوند.