همکاران سیستم- پژوهشگران میگویند رخنه امنیتی جدیدی در سیستم مدیریت منابع سازمانی شرکت مایکروسافت کشف کردهاند که به کمک آن میتوان در پایگاه داده این سیستمها نفوذ کرد و در حسابهای مالی موجود در آنها دست برد.
به گزارش وب سایت equities، دو تن از پژوهشگران امنیتی شرکت سکیور استیت (SecureState) به نامهای تام استون و برت کیمل در کنفرانس هکرهای کلاه سیاه در ابوظبی از کشف بدافزار جدیدی در سیستم مایکروسافتای آر پی (ERP) خبر دادهاند که اگر هکرها از کد این رخنه آگاهی یابند میتوانند با نفوذ به پایگاه داده این سیستمها به نرم افزارهای مالی و عملیات تجاری کسب و کارهای کاربر این سیستمها نیز دسترسی یابند. به گفته این پژوهشگران امنیتی اگر هکرها به این رخنه دست یابند میتوانند مبالغ زیادی از پولهای موجود در حسابهای ذخیره شده در این پایگاهها را به سرقت برند بیآنکه بتوان آنها را به سرعت ردگیری و شناسایی کرد.
کارشناسان شرکت سکیور استیت که عملیات خود را «طرح مایهم» نامیدهاند متشکل از گروهی از متخصصان فناوریهای آی تی و کارشناسان حسابداری هستند که توانستهاند نرم افزار Great Plans شرکت مایکروسافت را هک کنند. این نرم افزار یکی از راهکارهای برنامهریزی منابع سازمانی مایکروسافت برای کسب و کارهای متوسط است. پژوهشگران این شرکت توانستند از طریق یکی از مشتریان این نرم افزار به پایگاه داده سرور اس کیو ال شرکت مایکروسافت نفوذ کنند.
پژوهشگران امنیتی شرکت سکیور استیت گفتهاند اگر هکرها بخواهند از این رخنه امنیتی استفاده کنند، باید با ترفندی یکی از کاربران این نرم افزار را وادار کنند تا بر روی بدافزاری که به یک ایمیل پیوست شده، کلیک کند و یا از یک وب سایت بازدید کند تا از این طریق بتوانند از حساب کاربری وی وارد این پایگاه داده شوند. هکرها پس از انجام این مراحل خواهند توانست پولهای ذخیره شده در حسابهای موجود در این پایگاه را به حساب دیگری منتقل کنند.
با وجود اینکه امنیت راهکارها و سیستمهای برنامهریزی منابع سازمانی از اهمیت فراوانی برخوردار است، اما معمولاً بسیاری از این سیستمها در بلندمدت هیچ وصله امنیتی دریافت نمیکنند که علت آن پیچیدگی و دشواری به روز رسانی این سیستمها است. مطالعه دیگری که پیش از این توسط شرکت اوناپسیس انجام شد نشان داد که ۹۵ درصد از ۶۰۰۰ سیستم شرکت سپ در مقابل حملات هکرها آسیبپذیر است و علت اصلی آن نیز عدم دریافت وصلههای امنیتی است.