در روز گذشته، گزارشی از وجود آسیب‌پذیری Mass Assignment برروی وبسایت پلتفرم باگ بانتی راورو، ثبت شد. گزارشی که مبلغ ۶۰ میلیون تومان بانتی در ازای آن پرداخت شد. حالا هم برآن شدیم که از تجربه‌ای که به‌عنوان یک استارتاپ با آن روبه‌رو شدیم، بگوییم و درس‌آموخته‌هایی که برایمان داشت را با شما درمیان بگذاریم. چراکه، این‌گونه رخدادها بی‌خبر از راه می‌رسند و شاید برای شما هم اتفاق بیفتد...

به همین بهانه، تنها با یک‌ سوال به‌سراغ محمدامین کریمان رفتیم و از او خواستیم که درباره‌ی تجربه‌ی مواجهه با این رخداد، برایمان بگوید.

آن‌چه می‌خوانید نوشته‌ی محمدامین کریمان، هم‌بنیان‌گذار و راهبر اجرایی راورو از تجربه‌ی خود در مواجهه با این رخداد است.

گزارش باگ‌ها سرزده از راه می‌رسند. صبح شنبه‌، ۱۹ شهریورماه ۱۴۰۱ برای راورو با خبر کشف یک باگ توسط یک شکارچی آسیب پذیری شروع شد. با این‌که سال‌ها تجربه‌ی رخدادهای سایبری متنوع را داشتیم، اما جنس این گزارش متفاوت بود.

اعتماد ارزش‌مندی که جامعه‌ی امنیت سایبری در این سال‌‌ها به راورو داشتند، سنگینی مسئولیت این گزارش را برای ما چند برابر می‌کرد. از همین رو، تمام تلاشمان را به کار بستیم که بهترین خود را اجرا کنیم.

مواجه‌شدن با این رویداد درس‌آموخته‌های زیر را برایمان داشت:

۱. تلاش کردیم که به صورت تیمی با رخداد مواجه شویم. فراخوانی دادیم که تمامی افراد مرتبط (فنی و اجرایی) در رخداد حضور داشته باشند. تجربه نشان داده همکارانی که خارج از حلقه‌ي اصلی تیم واکنش قرار دارند، به دلیل این‌که بار روانی کمتری را تجربه می‌کنند، گاهی ایده‌ها و نکات کارآمدتری را پیشنهاد می‌دهند.

۲. تلاش کردیم که از هر گونه تنش و حاشیه دوری کنیم. برای حفظ آرامش اعضای تیم اقدام‌هایی کردیم. باتوجه به ماهیت تنش‌زای چنین موقعیت‌هایی، گاهی افراد ناخواسته به دنبال مقصر و یا علتی برای خالی‌کردن فشار روانی می‌گردند. تلاش کردیم که با آگاهی از این مورد، در موقعیت پیش‌آمده گرفتار چنین مواجهه‌هایی نشویم.

۳. تلاش کردیم که برروی مسئله‌ی اصلی متمرکز بمانیم و از ورود به جزییات پرهیز کنیم. در این مواقع، به دلیل فشار روانی بر روی افراد و امکان تاثیرگذاری این فشار برروی تصمیم‌گیری، بسیار مهم بود که تمامی جزئیات از ابتدا به صورت تیمی مورد بررسی قرار گیرد. تمرکز بر روی صورت‌مسئله‌ی اصلی، تعریف دقیق صورت مسئله، مشاهده‌ی جزئیات به صورت تیمی و درعین‌حال مراقبت برای از دست‌ندادن زمان، بسیار مهم و الزامی‌ بود.

۴. امنیت، صددرصدی نیست. این واقعیتی ست که به ذات امنیت سایبری برمی‌گردد. لازم می‌دانستیم که در شرایط پیش‌آمده نیز پذیرش آن را برای خود و تیم یادآور شویم. ضمن این‌که این پذیرش را نافی مسئولیت خویش درقبال کاربران خود نمی‌دانستیم.

۵. ریسک و یا ریسک‌های اصلی حفره‌ی امنیتی پیداشده را به‌صورت صریح، شفاف و واقع‌بینانه لیست کردیم.

۶. هم‌زمان نماینده‌ی هیئت مدیره و نفرات مرتبط دیگر که حضور نداشتند را در جریان ماجرا و شواهد به‌دست‌آمده در هر مرحله می‌گذاشتیم.

۷. لیست اولویت‌ها و اقدامات لازم را به تفکیک هر فرد به صورت شفاف و مکتوب اعلام کردیم. برای پیش‌بردن کارها جمع‌بندی‌های کوتاه داشتیم. گروهی به بررسی آسیب پذیری گزارش‌شده، گروهی به بررسی نقاط دیگر و بررسی احتمال‌های وجود حفره‌های مشابه، گروهی به تعامل و جلسه با شکارچی آسیب‎ پذیری، گروهی به پیگیری کارها و آماده‌سازی اطلاعیه پرداختند.

۸. به مسئله واقع‌بینانه نگاه کردیم و برای مواجهه با بدترین سناریوی ممکن خود را آماده کردیم.

۹. به یاد داشتیم که بابت این آسیب پذیری، درمقابل کاربران خود مسئولیم. وظیفه‌ی خود می‌دانستیم که آن‌چه اتفاق افتاده‌ست را، صادقانه و شفاف با آن‌ها درمیان بگذاریم. فلذا درصدد آماده‌سازی هرچه‌سریع‌تر متن اطلاعیه و انتشار آن از طریق کانال‌های مختلف برآمدیم.

۱۰. حفظ آرامش، حفظ آرامش و حفظ آرامش

۱۱. قبل از انتشار بیانیه، زمانی را برای استراحت تیم در نظر گرفتیم و بازنگری داشتیم.

سخن آخر: تصمیم گیری در خصوص نحوه‌ی مواجه با این رخداد با توجه به شاخص‌های زیادی که عملا غیر قابل پیش‌بینی هستند، کار را سخت‌تر می کرد. تصمیم قاطع راورو در این رخداد، مواجهه با واقعیت و پذیرش مسئولانه‌ی این رخداد بود.

بلاگ‌پست‌های مرتبط:

پرداخت ۶۰ میلیون تومان بانتی در ازای گزارش یک حفره امنیتی، توسط راورو

کتابچه‌ی راهنمای برنامه‌نویسی امن

چک‌لیست اصول امنیتی دورکاری

گفتنی‌هایی راجع به نقش پلتفرمی راورو بین شکارچی آسیب پذیری و میدان

چرا کسب‌وکارهای ایران امنیت اطلاعات را جدی نمی‌گیرند؟