هکرها مدعی نفوذ به پایگاه داده WIRED شامل ۲٫۳ میلیون رکورد مشترکان شدند

هکرها یک پایگاه داده حاوی بیش از ۲٫۳ میلیون رکورد از مشترکان WIRED را منتشر کرده‌اند که نشان‌دهنده یک نقض امنیتی گسترده در شرکت Condé Nast، شرکت مادر WIRED، است. این رخداد بار دیگر اهمیت امنیت شبکه و حفاظت از داده‌های کاربران را برجسته می‌کند؛ موضوعی که در راهکارهای تخصصی حوزه
امنیت شبکه نیز به‌طور جدی به آن پرداخته می‌شود.

عامل تهدیدی با نام «Lovely» ادعا کرده این فقط آغاز کار است و وعده داده تا ۴۰ میلیون رکورد دیگر از برندهایی مانند Vogue و The New Yorker را منتشر کند. چنین تهدیدی نشان می‌دهد که نبود راهبرد شفاف پاسخ‌گویی به رخدادهای امنیتی می‌تواند تبعات زنجیره‌ای برای کل اکوسیستم رسانه‌ای داشته باشد.

این دیتابیس که حدود روز کریسمس ۲۰۲۵ در فروم‌های هکری مانند Breach Stars و BreachForums منتشر شده، شامل موارد زیر است:

  • ۲٫۳ میلیون آدرس ایمیل
  • ۲۸۵٬۹۳۶ نام
  • ۱۰۲٬۴۷۹ آدرس منزل
  • ۳۲٬۴۲۶ شماره تلفن

رکوردها در قالب پروفایل‌های JSON ذخیره شده‌اند و شامل فیلدهایی مانند شناسه کاربری، تاریخ ایجاد حساب از سال‌های ۲۰۱۱ تا ۲۰۲۲ و فعالیت‌های اخیر تا ۸ سپتامبر ۲۰۲۵ هستند. اسکرین‌شات‌های منتشرشده از این نشت، فهرست‌های گسترده فایل‌ها و جزئیات سانسورشده مشترکان در سایت‌های مختلف Condé Nast را نشان می‌دهد؛ موضوعی که ضعف در مدیریت هویت و کنترل دسترسی را برجسته می‌کند.

پژوهشگران شرکت Hudson Rock با تطبیق داده‌های WIRED با لاگ‌های بدافزارهای سرقت اطلاعات RedLine و Raccoon، صحت این داده‌ها را تأیید کرده‌اند. آن‌ها هشدار داده‌اند که یک نقض بزرگ‌تر با حدود ۴۰ میلیون رکورد، سیستم هویت مشترک Condé Nast را هدف قرار داده است؛ سیستمی که نشریاتی مانند Vanity Fair، GQ و Architectural Digest را پوشش می‌دهد.

در نشت اولیه هیچ رمز عبور یا اطلاعات پرداختی مشاهده نشده است، اما افشای اطلاعات شناسایی شخصی (PII) خطراتی مانند فیشینگ، داکسینگ و سواتینگ را به‌طور قابل‌توجهی افزایش می‌دهد. چنین ریسک‌هایی معمولاً نتیجه ضعف در طراحی امنیتی پلتفرم‌ها هستند؛ مسأله‌ای که شرکت‌های فعال در حوزه زیرساخت و امنیت اطلاعات همواره نسبت به آن هشدار می‌دهند.

مهاجمان با سوءاستفاده از آسیب‌پذیری ارجاع مستقیم ناامن به اشیاء (IDOR) و پیمایش شناسه‌های کاربری، پروفایل‌ها را جمع‌آوری کرده و خروجی‌های بزرگ JSON ایجاد کرده‌اند. نقص در کنترل دسترسی اندپوینت‌های حساب کاربری باعث شده بود حتی بدون احراز هویت کامل، امکان مشاهده و تغییر ایمیل‌ها، رمزهای عبور و پروفایل‌ها وجود داشته باشد. این ضعف در یک پلتفرم متمرکز، استخراج انبوه داده‌ها را بسیار ساده کرده است.

خلاصه داده‌های افشاشده:

نوع دادهتعداد
ایمیل‌ها۲٬۳۰۰٬۰۰۰
نام‌ها۲۸۵٬۹۳۶
آدرس‌ها۱۰۲٬۴۷۹
شماره تلفن‌ها۳۲٬۴۲۶

در نوامبر ۲۰۲۵، Lovely با معرفی خود به‌عنوان یک پژوهشگر با نام «Dissent Doe» با وب‌سایت DataBreaches.net تماس گرفت تا Condé Nast را از شش آسیب‌پذیری امنیتی مطلع کند. با وجود پیگیری‌های مکرر—از جمله از طریق خبرنگاران WIRED و تیم‌های امنیتی—این شرکت هیچ پاسخ عمومی یا فایل security.txt ارائه نکرد.

در نهایت، Lovely با ابراز نارضایتی، داده‌های WIRED را به‌عنوان «تکه زغال کریسمس» منتشر کرد و Condé Nast را به نادیده گرفتن امنیت کاربران متهم نمود؛ رویکردی که برخلاف اصول مسئولیت‌پذیری سازمانی و شفافیت است—اصولی که معمولاً در معرفی شرکت‌ها و مأموریت آن‌ها، مانند آنچه در
درباره ما
بیان می‌شود، مورد تأکید قرار می‌گیرند.

برخی از مشترکان آسیب‌دیده اعلام کرده‌اند که هشدارهایی در ابزارهای پایش دارک‌وب مانند Have I Been Pwned دریافت کرده‌اند. سکوت Condé Nast این ریسک را تشدید می‌کند، زیرا ورودهای مشترک می‌تواند بین برندهای مختلف گسترش یابد و دامنه خسارت را افزایش دهد.

کارشناسان امنیت سایبری بر تغییر فوری رمزهای عبور، پایش مداوم حساب‌ها و به‌کارگیری سازوکارهای بهتر افشای آسیب‌پذیری‌ها تأکید کرده‌اند. این حادثه بار دیگر نشان می‌دهد که چرا سازمان‌ها باید از خدمات تخصصی و مشاوره حرفه‌ای در حوزه امنیت اطلاعات استفاده کنند؛ خدماتی که از طریق
Bornanetwork.co
قابل دسترسی است و در صورت نیاز می‌توان از بخش
تماس با ما
برای دریافت راهنمایی تخصصی اقدام کرد.

اشتراک گذاری این پست
ایمیل
تلگرام
واتساپ
لینکدین

دیدگاهتان را بنویسید

آدرس ایمیل شما منتشر نخواهد شد. فیلد های ضروری مشخص شده اند *

ارسال نظر

سایر مقالات

مقالات مرتبط