همانطور که اطلاع دارید چندی پیش متوجه شدیم وبسایت زرین پال هک شده و با صفحه ای سیاه رنگ (deface) مواجه شدیم و اما سوال اصلی اینجاست که آیا این سرویس واقعا هک شده است و چگونه ؟

طبق بررسی های انجام شده توسط گروه اورداد این یک هک کامل به گفته هکر و عبارت نمایش داده شده در سایت نیست !‌و هکر هیچگونه دسترسی به اطلاعات کاربران نداشته است بلکه با استفاده از باگ موجود در تجهزیات روتینگ و شبکه دامنه و دی ان اس زرینپال را به سمت سرور خود ( صفجه ای که شامل متن هک بوده ) انتقال داده است

چندی پیش زرینپال از سرویس CDN ایرانی با نام ابراروان استفاده کرده تا سیستم و سرور خود را در مقابل حملاتی همچون DDos و SQL injection ایمن سازد و اما با بی توجه ای و یا خطای سرویس ابراروان و بروز نبودن تجهیزات Routing و وجود باگ در آن دسترسی برای هکر ایجاد شده است تا DNS  ها را به مقصد خود منتقل کند .

هدف نفوذگر از هک زرینپال چه بوده است

از آنجایی که هکر دسترسی به اطلاعات سرور زرینپال نداشته است چند راه ساده برای بهره بری از این نفوذ داشته است یکی از این راه ها اعلام کردن هک موفق جعلی است که در این حمله هدف هکر همین بوده و با بیان این موضوع که اطلاعات تمامی کاربران زرینپال را در اختیار دارد قصد فروش اطلاعات را داشته تا با دریافت هزینه از کسانی که قصد خرید این دیتابیس را داشتند کلاهبرداری خود را کامل کند !

و اما راه دومی که هکر از ان استفاده نکرد ایجاد یک سیستم جعلی ( فیک پیچ ) همانند زرین پال بوده تا کاربران در مدت هک با مشخصات واقعی خود وارد سیستم شوند و اطلاعات خود را در سرور هکر باقی بگذارند اما از آنجایی که سیستم زرینپال سیستمی پیچیده و آپدیت است این کار برای هکر زمانبر بوده و باعث شده هکر از روش اول استفاده نماید

این نفوذ چقدر قدرت داشته است

نگرانی بعدی که وجود دارد این است که آیا هکر با دسترسی به روتر شرکت ابراروان فقط قصد نفوذ به زرینپال را داشته و یا وبسایت های دیگری نیز قربانی این حمله شده اند ؟ و شاید در دیگر وبسایت ها از روش دوم برای بهره بری از هک استفاده شده است ؟

در حال حاظر گروه اورداد در حال بررسی دقیقتر این موضوع میباشد

امیدواریم این اتفاق باعث دقت بیشتر همکاران ما در شرکت ابراروان شده باشد و سیستمی جامع برای بروزرسانی مداوم تجهیزات خود و یا بکاپی هوشمند نسبت به تغییرات ساختاری بیزینس های قدرتمند همچون زرین پال شود.