خلاصه: در یک حمله هماهنگ، وب‌سایت‌های مهم دولت کانادا که خدمات مهم مهاجرتی، مالیاتی، دریافت حقوق بازنشستگی و مزایا را ارائه می‌دهند، مورد نفوذ و سرقت قرار گرفتند. این سایت‌ها از پورتال آنلاینی که به آن GCKey گفته می‌شود، استفاده می‌کردند. در این پورتال، سیستم احراز اصالت شناسایی یگانه یا Single Sign-On (با مخفف SSO) به کار گرفته شده است.

در طول هفته گذشته، دفتر اصلی دولت كانادا بیانیه‌ای را منتشر كرد كه در آن به مردم توصیه شد،‌ اگر تجربه‌ای در مورد حمله سایبری به سیستم GCKey دارند آن را بازگو کنند.

با استفاده از تکنیک «انباشتن گواهی» یا Credential stuffing، مهاجمان موفق شدند تا به حدوداً ۹،۰۴۱ حساب GCKey از کل ۱۲ میلیون حساب نفوذ پیدا کنند. قابل ذکر است که این تکنیک یکی از انواع حملات سایبری است که مهاجمین در آن با استفاده از گواهی‌های از قبل دزدیده‌شده (که شامل نام کاربری، ایمیل و رمزعبور هستند)، و همچنین ابزارهای خودکار تلاش می‌کنند تا شانسی برای دسترسی غیرمجاز به حساب‌های قربانیان پیدا کنند.

این یکی از دلایلی است که متخصصان امنیتی به شدت کاربران را از استفاده از یک ترکیب یکسان نام کاربری-رمز عبور در وب‌سایت‌های مختلف منع می‌کنند. چرا که اگر یکی از این وب‌سایت‌ها به خطر افتاد، مهاجمان می‌توانند با کمک گواهی‌های فاش‌شده به سایر وب‌سایت‌ها نیز نفوذ کنند.

گزارش شده است که به محض کشف این تهدید، با کاربرانی گواهی حساب آن‌ها منقضی شده بود تماس گرفته شده تا GCKey جدید دریافت کنند.

پورتال GCKey با تحت پوشش قرار دادن بیشتر از ۳۰ بخش از فدرال، همچنین به عنوان یک مسیر جایگزین برای دسترسی به سیستم‌های مربوط به سازمان آژانس درآمد کانادا (CRA) فعالیت می‌کند. با توجه به بیانیۀ دفتر اصلی کانادا، تقریباً ۵،۵۰۰ حساب CRA در این حمله به پورتال GCKey موردهدف قرارگرفته‌اند.

نبود احراز هویت چندعاملی (MFA)

کسانی که وب‌سایت‌های دولت کانادا را مکرر دنبال می‌کنند، با بسیاری از راه‌های ورود به سیستم آشنا هستند. به عنوان مثال، سرویس My Service Canada امکان دسترسی به حساب را از طریق GCKey، بانک یا حساب‌های استانی فراهم می‌کند.

Canadian government services allowing multiple sign-in routes

به طور مشابه، آژانس درآمد کانادا (CRA) برای ورود به حساب، دو روش پورتال GCKey یا حساب‌های CRA را درنظر گرفته است.

به نظر می‌رسد که پورتال GCKey برای دستیابی به برخی از بخش‌ها مانند CRA یا IRCC، احراز اصالت چندعاملی را فعال نکرده است. هنگامی که کاربر با یک رایانه جدید وارد سیستم می‌شود، این پورتال از کاربر می‌خواهد یک سؤال امنیتی (به عنوان مثال نام حیوان خانگی) را پاسخ دهد. در بحث احراز اصالت چند عاملی، نام کاربری، گذرواژه و سؤالات امنیتی همگی، یک عامل به حساب می‌آیند که آن را عامل «چیزهایی که شما می‌دانید» می‌‌نامیم. بنابراین پرسیدن سوال امنیتی را نباید به اشتباه احراز اصالت چندعاملی دانست. با این توضیح در این پورتال برای بخش‌های ذکر شده، هیچ مکانیسمی وجود ندارد که کاربر را به ایجاد کد ۲FA (مثلاً از طریق پیامک) تشویق کند.

قابل ذکر است که در این وب‌سایت‌ها هیچ کپچایی نیز مشاهده نکردیم که این امر می‌تواند باعث شود كه ربات‌ها بتوانند حمله انباشتن گواهی را به‌صورت کاملاً خودکار انجام دهند.

GCKey Sign in workflow

سرقت صندوق‌های امدادی COVID-19

به دلیل عدم وجود احراز هویت چندعاملی، مهاجمی که بتواند به حساب GCKey یا CRA افراد نفوذ کند می‌تواند معاملات حساس دولتی را نیز دستکاری کند. اخیراً، به عنوان بخشی از تلاش‌های امدادی کروناویروس در سراسر کانادا، سازمان CERB توسط دولت گمارده شده است. این مزایا برای واجدان شرایط سودی بالغ بر ۲،۰۰۰ دلار داشت. همان‌طور که در وب‌سایت CERB مشاهده می‌شود، می‌توان از طریق حساب " My Service Canada" به گونه‌ای به سؤالات غربالگری پاسخ داد که به سیستم دسترسی پیدا کرد. در این مورد شکایات متعددی از شهروندان کانادایی در مورد دسترسی غیرمجاز و نفوذ به پرداخت‌های CERB گزارش شده است. در نهایت به کاربران این حساب‌ها توصیه شده است که تغییر رمزهای عبور خود را به عنوان یک اقدام ایمنی در نظر بگیرند.

همواره در نظر داشته باشید که در حالی که مسیرهای دسترسی متعدد موجب راحتی می‌شوند، اما فضایی بیشتری هم برای حملات سایبری فراهم می‌کنند. ضعیف‌ترین حلقه از یک زنجیره همواره امنیت کل زنجیره را تحت شعاع قرار می‌دهد و می‌تواند پیامدهای ویرانگری برای کل مجموعه داشته باشد.

خدمات آپا

جدیدترین اخبار امنیتی

اخبار آموزشی

اخبار داخلی آپا

سرویس‌های دولتی کانادا، تحت‌تأثیر حملات گسترده سایبری

نبود احراز هویت چندعاملی (MFA)

سرقت صندوق‌های امدادی COVID-19