نقض و انتشار اطلاعات ۲۴ میلیون Lumin PDF در یک انجمن هک

براساس گزارش‌های منتشر شده، اطلاعات بیش از ۲۴ میلیون از کاربران سرویس Lumin PDF در یک انجمن هک به اشتراک گذاشته شده است. این نقض اطلاعاتی، یکی از موارد قابل توجه در نشت اطلاعات مرتبط با کاربران ابزارهای شخص ثالث است که کاربران گوگل درایو و سایر سرویس‌های ابری را تحت تاثیر قرار می‌دهد.
نقض اطلاعات Lumin PDF

سرویس Lumin PDF یکی از ابزارهای نسبتا کمتر شناخته شده مبتنی بر فضای ابری است که به کاربران اجازه می‌دهد با استفاده از یک داشبورد مبتنی بر وب، به‌عنوان افزونه مرورگر یا از طریق برنامه‌های موبایل، فایل‌های پی‌دی‌اف (PDF) را مشاهده، ویرایش و به اشتراک‌ بگذارند.

با این حال یک هکر لینک دانلود پایگاه داده Lumin PDF با حجم ۴ گیگابایت، شامل اطلاعات ۲۴ میلیون کاربر را  در یک انجمن هک منتشر کرده است. اطلاعات موجود در این پایگاه داده، شامل نام و نام خانوادگی کاربران، آدرس ایمیل، جنسیت، زبان، رشته‌های هش شده‌ی رمزعبور‌های یا توکن‌های دسترسی گوگل است.

این هکر در انجمن خود یادداشتی گذاشته و اظهار کرده است که از طریق یک پایگاه داده MongoDB متعلق به Lumin PDF که بدون رمز‌عبور در معرض افشا قرار گرفته بود برای دسترسی به این اطلاعات استفاده کرده است. او همچنین گفته است که پس از پیدا کردن پایگاه داده مربوطه این شرکت را مطلع کرده اما از شرکت پاسخی دریافت نکرده است.

 

تایید نقض امنیتی توسط شرکت LUMIN PDF

مکس فرگوسن، موسس و مدیرعامل شرکت Lumin PDF تایید کرده که اطلاعات نشت شده شامل بخشی از اطلاعات کاربران این شرکت بوده است. فرگوسن اظهار کرده است که توکن‌های دسترسی به گوگل همگی در زمان حمله منقضی شده و این یعنی مهاجمان قادر نبوده‌اند که به هیچ‌یک از فایل‌ها یا امضاهای کاربران دسترسی پیدا کنند. همچنین آسیب‌پذیری‌هایی که منجر به اجرایی شدن این هک شده، همگی اصلاح شده‌اند.

به‌طور معمول، سوءاستفاده از توکن‌های دسترسی به گوگل به مهاجمان اجازه می‌دهد که خود را به جای کاربران واقعی جا زده و به حساب‌های گوگل درایو دسترسی پیدا کنند.

 

گوگل در حال انجام تحقیقات

علاوه بر شرکت Lumin PDF، شرکت گوگل نیز از این نشت اطلاعاتی و نشت توکن‌های دسترسی گوگل مطلع شده و در حال حاضر در حال تحقیق بر روی این مساله است. با وجود اینکه Lumin PDF اظهار کرده که توکن‌های نشت شده منقضی شده‌اند، کاربران می‌توانند با بازیابی مجوز‌های برنامه Lumin PDF و اتصال مجدد برنامه به حساب گوگل خود از این موضوع اطمینان حاصل کنند.

برای این کار کاربران Lumin PDF‌ باید دستور‌العمل زیر را دنبال کنند.

با استفاده از کامپیوتر خود به آدرس drive.google.com مراجعه کنید. سپس روی آیکون چرخ‌دنده در سمت راست بالای صفحه کلیک کنید و در منوی باز شده Settings را انتخاب کنید. در صفحه نمایش داده شده، روی گزینه Manage apps کلیک کنید و در کنار نام Lumin PDF گزینه Options را انتخاب کرده و سپس روی Disconnect from Drive کلیک کنید.

 

 

توضیحات بیشتر:

Data of 24.3 million Lumin PDF users shared on hacking forum