امنیت

نشت داده در Mixpanel: پرسش‌های بی‌پاسخ

4 روز پیش
4 روز پیش
0 نظر

وقوع یک حادثه سایبری در شرکت تحلیل داده Mixpanel، که تنها چند ساعت قبل از تعطیلات آخر هفته روز شکرگزاری در ایالات متحده اعلام شد، می‌تواند استانداردی جدید در نحوه *عدم* اعلام یک نقض داده تعیین کند. 

خلاصه ماجرا: جن تیلور، مدیرعامل Mixpanel، در یک پست وبلاگی بسیار مختصر در روز چهارشنبه گذشته، اعلام کرد که این شرکت یک حادثه امنیتی نامشخص را در ۱۷ آبان شناسایی کرده است که برخی از مشتریانش را تحت تأثیر قرار داده است، اما نگفت که چگونه تحت تأثیر قرار گرفته‌اند و نه تعداد آنها را مشخص کرد، فقط گفت که Mixpanel مجموعه‌ای از اقدامات امنیتی را برای “ریشه‌کن کردن دسترسی غیرمجاز” انجام داده است.

جن تیلور، مدیرعامل Mixpanel، به چندین ایمیل از طرف خبرنگار، که شامل بیش از دوازده سؤال در مورد نقض داده‌های شرکت بود، پاسخ نداد. ما از تیلور پرسیدیم که آیا این شرکت هیچ ارتباطی از طرف هکرها، مانند درخواست پول، دریافت کرده است یا خیر، همراه با سؤالات مشخص دیگر در مورد نقض، از جمله اینکه آیا حساب‌های کارمندان Mixpanel با احراز هویت چند عاملی محافظت می‌شوند یا خیر.

یکی از مشتریان آسیب‌دیده آن، OpenAI است که دو روز بعد پست وبلاگی خود را منتشر کرد و تأیید کرد آنچه را که Mixpanel در پست خود صریحاً بیان نکرده بود، یعنی داده‌های مشتری از سیستم‌های Mixpanel گرفته شده است. 

OpenAI گفت که تحت تأثیر این نقض قرار گرفته است زیرا به نرم‌افزار ارائه شده توسط Mixpanel متکی بود تا به درک نحوه تعامل کاربران OpenAI با بخش‌های خاصی از وب‌سایت خود، مانند مستندات توسعه‌دهندگان خود، کمک کند. 

احتمالاً کاربران OpenAI که تحت تأثیر نقض Mixpanel قرار گرفته‌اند، توسعه‌دهندگانی هستند که برنامه‌ها یا وب‌سایت‌های خودشان برای کار کردن به محصولات OpenAI متکی هستند. OpenAI گفت که داده‌های سرقت شده شامل نام ارائه شده کاربر، آدرس‌های ایمیل آنها، مکان تقریبی آنها (مانند شهر و ایالت) بر اساس آدرس IP آنها و برخی از داده‌های قابل شناسایی دستگاه، مانند سیستم عامل و نسخه مرورگر است. برخی از این اطلاعات از همان نوع داده‌هایی است که Mixpanel از دستگاه‌های افراد هنگام استفاده از برنامه‌ها و مرور وب‌سایت‌ها جمع‌آوری می‌کند.

نیکو فلیکس، سخنگوی OpenAI، به خبرنگار گفت که داده‌های نقض شده گرفته شده از Mixpanel “شامل شناسه‌هایی مانند شناسه تبلیغاتی Android یا IDFA اپل نیست”، که ممکن است شناسایی شخصی کاربران خاص OpenAI یا ترکیب فعالیت OpenAI آنها با استفاده از برنامه‌ها و وب‌سایت‌های دیگر را آسان‌تر کرده باشد. 

OpenAI در پست وبلاگ خود اعلام کرد که این حادثه به طور مستقیم بر کاربران ChatGPT تأثیر نگذاشته است و در نتیجه این نقض، استفاده خود از Mixpanel را خاتمه داد.

در حالی که جزئیات نقض محدود باقی مانده است، این حادثه توجه تازه‌ای را به صنعت تحلیل داده‌ها جلب می‌کند، صنعتی که از جمع‌آوری انبوهی از اطلاعات در مورد نحوه استفاده افراد از وب‌سایت‌ها و برنامه‌ها سود می‌برد. 

Mixpanel چگونه ضربه‌ها، کلیک‌ها و تماشای صفحه نمایش شما را ردیابی می‌کند

Mixpanel یکی از بزرگترین شرکت‌های تحلیل وب و موبایل است که شاید نام آن را نشنیده باشید، مگر اینکه در فضای توسعه برنامه یا بازاریابی فعالیت کنید. بر اساس وب‌سایت آن، Mixpanel دارای ۸۰۰۰ مشتری شرکتی است – که پس از خروج زودهنگام OpenAI، یکی کمتر شده است. 

با توجه به اینکه هر مشتری Mixpanel به طور بالقوه میلیون‌ها کاربر دارد، تعداد افراد عادی که داده‌هایشان در این نقض گرفته شده است می‌تواند قابل توجه باشد. نوع داده‌های نقض شده احتمالاً بر اساس هر مشتری Mixpanel متفاوت است، بسته به اینکه هر مشتری چگونه جمع‌آوری داده‌های خود را پیکربندی کرده است و چه مقدار داده کاربری جمع‌آوری کرده‌اند.

شرکت‌هایی مانند Mixpanel بخشی از یک صنعت پررونق هستند که فناوری‌های ردیابی را ارائه می‌دهند که به شرکت‌ها امکان می‌دهد تا نحوه تعامل مشتریان و کاربران خود با برنامه‌ها و وب‌سایت‌هایشان را درک کنند. به این ترتیب، شرکت‌های تحلیل می‌توانند مقادیر زیادی از اطلاعات، از جمله میلیاردها نقطه داده، در مورد مصرف‌کنندگان عادی جمع‌آوری و ذخیره کنند.

به عنوان مثال، یک سازنده برنامه یا توسعه‌دهنده وب‌سایت می‌تواند یک قطعه کد از یک شرکت تحلیل مانند Mixpanel را در داخل برنامه یا وب‌سایت خود جاسازی کند تا این دید را به دست آورد. برای کاربر برنامه یا بازدیدکننده وب‌سایت، این مانند این است که شخصی بدون اطلاع شما در حالی که در حال مرور یک وب‌سایت یا استفاده از یک برنامه هستید، بالای سر شما ایستاده و هر کلیک یا ضربه، کشیدن و فشار دادن لینک را به طور مداوم با شرکتی که برنامه یا وب‌سایت را توسعه می‌دهد، به اشتراک می‌گذارد.

در مورد Mixpanel، به راحتی می‌توان انواع داده‌هایی را که Mixpanel از برنامه‌ها و وب‌سایت‌هایی که کد آن در آنها جاسازی شده است جمع‌آوری می‌کند، مشاهده کرد. خبرنگار با استفاده از ابزارهای متن باز مانند Burp Suite، ترافیک شبکه ورودی و خروجی چندین برنامه با کد Mixpanel در داخل آنها – مانند Imgur، Lingvano، Neon و Park Mobile – را تجزیه و تحلیل کرد. در آزمایش‌های مختلف خود، درجات مختلفی از اطلاعات در مورد دستگاه و فعالیت درون برنامه‌ای خود را در هنگام استفاده از برنامه‌ها که در Mixpanel آپلود می‌شد، مشاهده کردیم. 

این داده‌ها می‌تواند شامل فعالیت شخص، مانند باز کردن برنامه، ضربه زدن روی یک لینک، کشیدن یک صفحه یا ورود به سیستم با نام کاربری و رمز عبور خود باشد. این داده‌های ثبت رویداد سپس به اطلاعات مربوط به کاربر و دستگاه آنها، از جمله نوع دستگاه (مانند iPhone یا Android)، عرض و ارتفاع صفحه، اینکه آیا کاربر در شبکه تلفن یا Wi-Fi است، اپراتور شبکه تلفن همراه کاربر، شناسه منحصر به فرد کاربر وارد شده برای آن سرویس (که می‌تواند به کاربر برنامه متصل شود) و مهر زمانی دقیق برای آن رویداد پیوست می‌شود. 

داده‌های جمع‌آوری‌شده می‌تواند گاهی اوقات شامل اطلاعاتی باشد که نباید در دسترس باشند. Mixpanel در سال ۱۳۹۷ اعتراف کرد که کد تحلیل آن به طور ناخواسته رمزهای عبور کاربران را جمع‌آوری کرده است.

داده‌های جمع‌آوری‌شده توسط شرکت‌های تحلیل قرار است شبه‌ناشناس باشند – اساساً به گونه‌ای درهم ریخته شوند که شامل جزئیات قابل شناسایی، مانند نام شخص، نباشند. در عوض، اطلاعات جمع‌آوری‌شده به یک شناسه منحصربه‌فرد اما به ظاهر تصادفی نسبت داده می‌شود که به جای نام شخص استفاده می‌شود. روشی ظاهراً محافظت‌کننده‌تر از حریم خصوصی برای ذخیره داده‌ها. اما داده‌های شبه‌ناشناس را می‌توان معکوس کرد و برای شناسایی هویت واقعی افراد استفاده کرد. و داده‌های جمع‌آوری‌شده در مورد دستگاه یک شخص می‌تواند برای شناسایی منحصربه‌فرد آن دستگاه، که به عنوان “اثر انگشت” شناخته می‌شود، استفاده شود، که می‌تواند برای ردیابی فعالیت آن کاربر در برنامه‌های مختلف و در سراسر اینترنت نیز استفاده شود.

شرکت‌های تحلیل با ردیابی کارهایی که در دستگاه خود در برنامه‌های مختلف انجام می‌دهید، ایجاد نمایه از کاربران و فعالیت آنها را برای مشتریان خود آسان‌تر می‌کنند.

Mixpanel همچنین به مشتریان خود اجازه می‌دهد تا “پخش مجدد جلسات” را جمع‌آوری کنند، که به طور بصری نحوه تعامل کاربران شرکت با یک برنامه یا وب‌سایت را بازسازی می‌کند تا توسعه‌دهنده بتواند اشکالات و مشکلات را شناسایی کند. پخش مجدد جلسات به این معنی است که اطلاعات شخصی یا حساس قابل شناسایی، مانند رمزهای عبور و شماره کارت‌های اعتباری، از هر جلسه کاربر جمع‌آوری‌شده حذف شوند، اما این فرآیند نیز کامل نیست. 

به اعتراف خود Mixpanel، پخش مجدد جلسات می‌تواند گاهی اوقات شامل اطلاعات حساسی باشد که نباید ثبت می‌شدند، اما به طور ناخواسته جمع‌آوری می‌شوند. پس از آنکه خبرنگار این عمل را در سال ۱۳۹۸ افشا کرد، اپل برنامه‌هایی را که از کد ضبط صفحه استفاده می‌کنند، سرکوب کرد.

گفتن اینکه Mixpanel در مورد نقض خود سؤالاتی برای پاسخ دادن دارد، شاید یک دست کم گرفتن باشد. بدون اطلاع از انواع خاص داده‌های درگیر، مشخص نیست که این نقض چقدر بزرگ است یا چه تعداد افراد ممکن است تحت تأثیر قرار گیرند. ممکن است Mixpanel هنوز نداند. 

آنچه واضح است این است که شرکت‌هایی مانند Mixpanel بانک‌های عظیمی از اطلاعات در مورد افراد و نحوه استفاده آنها از برنامه‌های خود را ذخیره می‌کنند و به وضوح در حال تبدیل شدن به یک مرکز توجه برای هکرهای مخرب هستند.

آیا اطلاعات بیشتری در مورد نقض داده Mixpanel دارید؟ آیا در Mixpanel یا شرکتی که تحت تأثیر این نقض قرار گرفته است کار می‌کنید؟ مایلیم از شما بشنویم. برای تماس ایمن با این خبرنگار، می‌توانید از طریق نام کاربری zackwhittaker.1337 از طریق Signal با او تماس بگیرید.

اشتراک‌ها:
دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *