ஏப்ரல் 2025 நடுப்பகுதியில் ஆன்லைன் இமேஜ்போர்டு 4chan கணிசமான பாதுகாப்பு மீறலை சந்தித்தது, போட்டி மன்றமான Soyjak.party உடன் இணைக்கப்பட்ட நபர்கள் பொறுப்பேற்றனர். நிர்வாக சலுகைகளைப் பெறவும், தனிப்பட்ட மின்னஞ்சல்கள் மற்றும் கடவுச்சொற்கள் உள்ளிட்ட மதிப்பீட்டாளர் சான்றுகளை கசியவிடவும், முன்னர் நீக்கப்பட்ட /QA/ விவாதப் பலகையை தற்காலிகமாக மீட்டெடுக்கவும், காலாவதியான சர்வர் மென்பொருளில் கடுமையான பாதிப்புகளைப் பயன்படுத்தியதாக தாக்குதல் நடத்தியதாகக் கூறப்படுகிறது.
இந்த சம்பவம் தளத்தின் வயதான தொழில்நுட்ப உள்கட்டமைப்பில் கடுமையான வெளிச்சத்தை வீசுகிறது, ஏப்ரல் 14 ஆம் தேதி வாக்கில் “ஆபரேஷன் சோயாக்ளிப்ஸ்” ஐ செயல்படுத்துவதற்கு முன்பு ஒரு வருடத்திற்கும் மேலாக அணுகலைப் பராமரித்ததாக தாக்குபவர் “Chud” என்ற கைப்பிடியைப் பயன்படுத்தியதாகக் கூறப்படுகிறது.
தசாப்த கால பாதிப்புகளைச் சுரண்டுதல்
பல அறிக்கைகள் மற்றும் பகுப்பாய்வுகள், தாக்குபவர்கள் தசாப்த கால மென்பொருளைப் பயன்படுத்துவதற்கு குறைந்தது இரண்டு தனித்துவமான முறைகளைப் பயன்படுத்தியதாகக் கூறுகின்றன. உங்கள் மீமின் அறிக்கையிடல் மற்றும் பயனர் பகுப்பாய்வை ஆரம்பத்தில் விவரித்த ஒரு குறிப்பிடத்தக்க திசையன், /sci/ மற்றும் /tg/ போன்ற பலகைகளில் கிடைக்கும் PDF பதிவேற்ற அம்சத்தை கையாளுவதை உள்ளடக்கியது.
இந்தக் கணக்குகளின்படி, 4chan இன் அமைப்பு பதிவேற்றப்பட்ட கோப்பு வகைகளை சரியாகச் சரிபார்க்கத் தவறிவிட்டது, இதனால் தாக்குபவர்கள் .pdf நீட்டிப்புடன் மாறுவேடமிட்டு தீங்கிழைக்கும் போஸ்ட்ஸ்கிரிப்ட் கோப்புகளைச் சமர்ப்பிக்க அனுமதிக்கிறது. போஸ்ட்ஸ்கிரிப்ட் என்பது அதன் நிரலாக்கத் திறன்களுக்குப் பெயர் பெற்ற ஒரு பக்க விளக்க மொழியாகும். பட சிறுபடங்களை உருவாக்க 2012 முதல் கோஸ்ட்ஸ்கிரிப்ட் இன்டர்பிரட்டர் பதிப்பால் இந்தக் கோப்புகள் செயலாக்கப்பட்டதாகக் கூறப்படுகிறது.
கோஸ்ட்ஸ்கிரிப்ட் மற்றும் PDF கோப்புகளைக் கையாள்வதற்கான ஒரு பொதுவான கருவி கோஸ்ட்ஸ்கிரிப்ட் ஆகும். இந்த பழமையான பதிப்பில் அறியப்பட்ட, முக்கியமான பாதிப்புகளைப் பயன்படுத்தி, “மொழிபெயர்ப்பு எல்லை முறிவு” நுட்பத்தைப் பயன்படுத்தி, சர்வரில் நேரடியாக கட்டளைகளை இயக்கவும், ஷெல் அணுகலை அடையவும் தாக்குபவர்கள் வெளிப்படையாகப் பயன்படுத்தினர். இந்த குறிப்பிட்ட கோஸ்ட்ஸ்கிரிப்ட் குறைபாடுகள் நீண்ட காலமாக நவீன, பேட்ச் செய்யப்பட்ட பதிப்புகளில் தீர்க்கப்பட்டுள்ளன.
இரண்டாவது புகாரளிக்கப்பட்ட பாதிப்பு பாதை 4chan இன் முக்கிய PHP குறியீட்டுத் தளத்தை உள்ளடக்கியது. இடுகையிடுதல் மற்றும் கட்டுப்படுத்துதலுக்குப் பொறுப்பான விரிவான yotsuba.php ஸ்கிரிப்ட் உட்பட கசிந்த மூலக் குறியீட்டின் பகுப்பாய்வு, காலாவதியான PHP பதிப்புகளுடன் காலாவதியான MySQL செயல்பாடுகளையும் பயன்படுத்துவதைக் குறிக்கிறது.
இந்தப் பிரச்சினையை மேலும் சிக்கலாக்கும் வகையில், FreeBSD 10.1 ஐ இயக்கும் குறைந்தது ஒரு சேவையகமாவது இருப்பதைக் காட்டும் சான்றுகள் வெளிவந்தன. இது 2014 ஆம் ஆண்டின் பிற்பகுதியில் வெளியிடப்பட்ட ஒரு இயக்க முறைமை பதிப்பாகும், இது 2016 ஆம் ஆண்டில் பாதுகாப்பு ஆதரவுக்காக அதன் அதிகாரப்பூர்வ ஆயுட்காலத்தை எட்டியது. இணைக்கப்படாத, ஆதரிக்கப்படாத இயக்க முறைமைகள் மற்றும் தசாப்த கால கூறுகளில் முக்கியமான வலை உள்கட்டமைப்பை இயக்குவது வெளிப்படையான மற்றும் கணிசமான பாதுகாப்பு அபாயங்களை முன்வைக்கிறது, இதனால் அமைப்புகள் நன்கு ஆவணப்படுத்தப்பட்ட சுரண்டல்களுக்கு ஆளாகின்றன.
முறையான சிக்கல்கள் மற்றும் சமரசம் செய்யப்பட்ட தரவு
காலாவதியான தொழில்நுட்பத்தை நம்பியிருப்பது புறக்கணிக்கப்பட்ட பராமரிப்பு மற்றும் தொழில்நுட்ப கடன் குவிப்பின் வடிவத்தை பிரதிபலிக்கிறது, தற்போதைய உரிமையாளர் ஹிரோயுகி நிஷிமுரா 2015 இல் தளத்தை வாங்கிய பிறகு மோசமடையக்கூடும்.
இந்த சமீபத்திய மீறலின் உடனடி விளைவு தோராயமாக 218 தன்னார்வ மதிப்பீட்டாளர்களுக்கு (“துப்புரவு பணியாளர்கள்”) சொந்தமான முக்கியமான தரவு வெளிப்படுவதை உள்ளடக்கியது. கசிந்த தகவல்களில் மின்னஞ்சல் முகவரிகள், கடவுச்சொற்கள் மற்றும் IRC பதிவுகள் ஆகியவை அடங்கும் என்று கூறப்படுகிறது.
கசிவில் பல .edu மின்னஞ்சல் முகவரிகள் இருப்பது உறுதி செய்யப்பட்டது, இருப்பினும் .gov மின்னஞ்சல்களைக் குறிப்பிடும் ஆரம்ப சமூக ஊடக வதந்திகள் நம்பகமான ஆதாரங்களால் சரிபார்க்கப்படவில்லை. சைபர் பாதுகாப்பு ஆராய்ச்சியாளர் கெவின் பியூமண்ட் தி ரிஜிஸ்டருக்காக நிலைமையை மதிப்பிட்டு, இது “SQL தரவுத்தளங்கள், மூல மற்றும் ஷெல் அணுகல் உள்ளிட்ட மிகவும் விரிவான [சமரசம்]” என்று கூறினார். தீவிரத்தை உறுதிப்படுத்தும் வகையில், ஒரு அநாமதேய 4chan மதிப்பீட்டாளர் டெக் க்ரஞ்சிற்கு கசிந்த மதிப்பீட்டாளர் தரவு “அனைத்தும் உண்மையானது” என்று உறுதிப்படுத்தினார்.
பண்புக்கூறு மற்றும் நீடித்த கேள்விகள்
2021 இல் தடைசெய்யப்பட்ட /qa/ வாரியத்தின் மறுசீரமைப்பு, அதன் பயனர்கள் பெரும்பாலும் Soyjak.party ஐ உருவாக்கினர், தாக்குதலுக்கான சாத்தியமான பழிவாங்கும் நோக்கத்தை சுட்டிக்காட்டுகிறது. இந்த சம்பவம் முந்தைய பாதுகாப்பு சிக்கல்களைத் தொடர்ந்து வருகிறது, நிறுவனர் கிறிஸ்டோபர் பூல் உறுதிப்படுத்திய சமரச மதிப்பீட்டாளர் சான்றுகளை உள்ளடக்கிய 2014 ஹேக் போன்றது.
தற்போதைய மீறல், தளத்தின் மீட்பு திறன் மற்றும் மதிப்பீட்டாளர் தகவல் மற்றும் உள் தரவு வெளிப்படுவதால் ஏற்படும் நீண்டகால அபாயங்கள் குறித்து கேள்விகளை எழுப்புகிறது, இருப்பினும் பயனர் தரவு ஒரு இலக்கு அல்ல என்று ஹேக்கர் கூறியதாகக் கூறப்படுகிறது. வெளிப்படுத்தலைத் தொடர்ந்து, 4chan மெதுவாக பகுதி சேவைக்குத் திரும்புவதற்கு முன்பு நீட்டிக்கப்பட்ட செயலிழப்பு நேரத்தை அனுபவித்தார்.
மூலம்: Winbuzzer / Digpu NewsTex