شرکت آمریکایی تولید اسباببازی وی تک (Vtech) متهم شده است که رمز ورودی مشتریانش را در بانک اطلاعاتیاش ایمنسازی نکردهاست. ماه گذشته هکرها به اطلاعات حساب بیش از 6 میلیون کودک از مشتریان این شرکت دسترسی پیداکردند. محققان امنیتی بر این باور هستند که ویتک مراحل معمول حفاظت از رمز ورودی مشتریانش را در مواقعی که احتمال نفوذ وجود دارد، رعایت نکرده است. یک متخصص امنیتی این غفلت ویتک را «نابخشودنی» خواندهاست.
روز دوشنبه شرکت ویتک طی ایمیلی با مشتریانی که اطلاعات آنها حک شده بود تماس گرفت و به آنها اعلام کرد رمز ورودشان رمزگذاری شده است اما در عین حال گفت احتمال آنکه هکرها اطلاعاتشان را رمزگشایی کردهباشند وجود دارد.
در همین حین ریک فرگوسن، از شرکت امنیت سایبریترند میکرو (Trend Micro) گفته است ویتک رمزهای ورودی مشتریان را در دادههای اطلاعاتیاش جابهجا نکردهاست و حتی سوالات امنیتی مشتریان و پاسخهای آنها را در صفحههای ساده نگهداری میکردهاست.
چگونه وبسایتها باید رمز ورودی شما را نگهداری کنند؟
وبسایتهای مورد اطمینان هیچگاه رمزهای انتخابی شما را به درحالیکه قابل خواندن باشند نگهداری نمیکنند. به جای آن الگوریتمهای ریاضیاتی رمز شما را به دستهای از کدها تبدیل میکنند و تنها مخلوطی از رمز شما در آن وبسایتها ذخیرهمیشود. با آنکه ویتک رمز مشتریان خودرا مخلوط کردهبود، اما با این حال این روش بهتنهایی از دستیابی هکرها به رمزهای ذخیره شده جلوگیری نمیکند.
برای پیچیدهتر کردن مراحل مخلوط ساختن رمزها، متنهایی بهصورت تصادفی، به نام سالت (Salt) ایجادشده و قبل از مخلوط شدن به رمزهایورودی اضافهمیشود. اضافهکردن این متنها سبب میشود هر مخلوط رمزی با دیگر مخلوطها متفاوت باشد، حتی اگر افراد مختلف از رمزهای یکسان استفاده کنند. این امر باعث میشود تا دسترسی به رمزها برای هکرها بسیار وقتگیر و حتی غیرعملیباشد. ویتک با کوتاهی در امنیتسازی رمزهای ورودی مشتریانش، این رمزها را در معرض هک شدن قرار دادهاست.