‫ زیمنس متاورس داده‌های حساس شرکت را افشا می‌کند.

Siemens Metaverse، یک فضای مجازی که برای انعکاس ماشین‌های واقعی، کارخانه‌ها و دیگر سیستم‌های بسیار پیچیده ساخته شده است، داده‌های حساسی از جمله برنامه‌های اداری شرکت و دستگاه‌های اینترنت اشیا (IoT) را در معرض نمایش قرار داده است.
در حالی که متاورس دیگر یک کلمه رایج نیست، در میان محبوبیت ناگهانی ChatGPT و ابزارهای هوش مصنوعی مشابه، آن جهان های مجازی هنوز اینجا هستند و فرصت های هیجان انگیزی را برای شرکت ها، کاربران و، متأسفانه، بازیگران تهدید ارائه می دهند.

زیمنس، یک شرکت چندملیتی آلمانی با بیش از 71 تریلیون دلار درآمد و 300000 کارمند در سرتاسر جهان، نیز به بازار متاورس جهش کرده است. در سال 2022، با NVidia، یک شرکت فناوری چند ملیتی آمریکایی، برای ساخت متاورس صنعتی شریک شد.
اخیرا، تیم تحقیقاتی Cybernews کشف کرده است که Siemens Metaverse – پلتفرمی که هدف آن ایجاد دوقلوهای دیجیتالی از کارخانه‌ها و دفاتر خود است – اطلاعات حساسی را فاش می‌کند.
اگر مهاجمان به داده های افشا شده می رسیدند، می توانست عواقب مخربی برای شرکت و سایر شرکت های بزرگ که از خدمات آن استفاده می کنند، از جمله حملات باج افزار داشته باشد.
از سوی دیگر، زیمنس این موضوع را غیر بحرانی می‌داند و افزود که کاهش یافته است.
نشت متاورس: آنچه ما کشف کردیم
در 1 مارس، تیم تحقیقاتی Cybernews یک فایل محیطی را کشف کرد که در دامنه metaverse.siemens.com میزبانی شده بود. این شامل اعتبار ComfyApp و نقاط پایانی بود. همچنین کشف کرد که زیمنس چهار مجموعه از کاربران وردپرس، و سه مجموعه از آدرس‌های انتهایی backend و احراز هویت در نقاط پایانی مختلف سیستم‌های آسیب‌دیده را فاش می‌کند.
وردپرس فقط نام‌های کاربر و تصاویر آواتار در معرض نمایش را تنظیم می‌کند، اما هر چهار زیردامنه مبتنی بر وردپرس زیمنس در برابر نقصی آسیب‌پذیر بودند که خود وردپرس در سال 2017 آن را برطرف کرد و محققان را متعجب کرد که آیا آسیب‌پذیری‌های شدیدتری در این سایت‌ها وجود دارد یا خیر.
آدرس‌های اینترنتی نقطه پایانی Backend و احراز هویت، که برای تأیید کاربران قبل از دسترسی به آنها استفاده می‌شوند، می‌توانند منجر به آزمایش مهاجمان برای آسیب‌پذیری‌ها و سوءاستفاده از آنها شود.
نگران‌کننده‌ترین کشف مربوط به افشای اعتبار کاربری ComfyApp پلتفرم مدیریت اداری بود. برنامه متعلق به زیمنس به مدیریت فضای کاری کمک می کند، به این معنی که تشنه داده های حساس از جمله نقشه های طبقه، اطلاعات مربوط به دستگاه های اینترنت اشیا (IoT)، تقویم کارمندان و تصاویر داخلی است.
ما نمی‌توانیم با اطمینان بگوییم که تنها با استفاده از اعتبار ComfyApp می‌توان به چه مقدار از داده‌های فوق‌الذکر دسترسی داشت.
اعتبار ComfyApp و نقاط پایانی. توسط سایبرنیوز
محققان سایبرنیوز می‌گویند: «ما صمیمانه امیدواریم که عوامل تهدید این نشت را قبل از اینکه زیمنس موفق به رفع آن شود، کشف نکرده باشند. با داشتن دسترسی، آن‌ها می‌توانند گنجینه‌ای از داده‌های حساس را استخراج کنند، با توجه به اینکه زیمنس بسیاری از فناوری‌ها و ماشین‌های مورد استفاده در زیرساخت‌های حیاتی را تولید و نگهداری می‌کند.
تیم Cybernews افزود: «مشتریان زیمنس شامل شرکت‌های چند میلیارد دلاری هستند که داده‌های بسیار حساس را مدیریت می‌کنند و مهاجمان قطعا آن را بسیار ارزشمند می‌دانند».
یک هدف بسیار جذاب
پس چه می شود اگر شخصی وارد سیستم شود و به نقشه ها و تصاویر دفتر شما، حتی تقویم شما نگاهی بیاندازد؟ کارمندان به خوبی می‌دانند که نباید اجازه ورود غریبه‌ها به دفترشان را بدهند، پس چرا قوانین در مورد محیط کار دیجیتالی متفاوت است؟
مهاجمان پس از گشت و گذار در دفتر دیجیتال، به سادگی می توانند در دفتر فیزیکی ظاهر شوند، انگار سال ها در آنجا کار کرده اند، همه فضاها را می شناسند و با دستگاه های اداری مانند کولرهای هوشمند آشنا هستند. به گفته محققان Cybernews، این فقط نفوذ مهاجمان را آسان‌تر می‌کند.
و آنها فقط برای دزدیدن یک قلم وارد نمی شوند. به احتمال زیاد، آنها یک درایو USB آلوده را وصل می کنند که در نهایت می تواند حتی به باج افزار منجر شود.
از آنجایی که متاورس به گونه ای ساخته شده است که باید داده های کارخانه ای به روز داشته باشد، مهاجمان حتی می توانند برخی از اسرار تجاری مانند تکنیک های ساخت را استخراج کنند.
«در اینجا فرصت‌های زیادی برای عوامل تهدید وجود دارد. اما از آنجایی که این یکی از اولین مواردی است که از فناوری‌های متاورس در مواردی استفاده می‌شود که می‌توانند داده‌های حساس دنیای واقعی را افشا کنند، خیلی واضح نیست که بازیگران تهدید چه روش‌هایی را برای بهره‌برداری از چنین مسائلی اتخاذ کنند. تیم تحقیقاتی گفت.
مشکلات متاورس
در اوج تبلیغات متاورس، فیس بوک مارک زاکربرگ حتی به متا تغییر نام داد تا یک شرکت " اول متاورز ، نه اولین فیس بوک" باشد. اما بدون شک پرفروش‌ترین پروژه متاورس از بین همه آنها همچنان پول از دست می‌دهد و به نظر می‌رسد هیاهوی پیرامون این مفهوم به پایان رسیده است.
بنابراین، آن سناریوهای روز قیامت که توضیح می‌دهند چگونه کلاهبرداران می‌توانند از متاورس سوء استفاده کنند، به جای تهدیدهای زندگی واقعی، تئوری باقی می‌مانند.
پس کارشناسان اینقدر نگران چه بودند؟ خوب، اول از همه، این یک غرب وحشی جدید از مسائل مربوط به حریم خصوصی و نگرانی های جنایی است، زیرا نشان دهنده سطح حمله دیجیتال و فیزیکی بی سابقه است.
پذیرندگان اولیه متاورس قبلاً آزار و اذیت، قلدری، سخنان نفرت‌انگیز و حتی تجاوز جنسی را گزارش کرده‌اند . به احتمال زیاد جلوگیری از حملات سایبری مانند فیشینگ دشوارتر است زیرا در متاورس، بردار حمله به مغز شما گسترش می یابد .
محققان Trend Micro حتی ظهور تاریک‌ورس را پیش‌بینی کردند - نوعی شبکه تاریک در فراجهان که در آن عوامل تهدید دور از دسترس مجریان قانون رشد می‌کنند. و اگر کاربر مورد سرقت، قلدری، یا خدای ناکرده تجاوز قرار گیرد - شکایت های او را کجا می برد؟
موضوع متاورس ممکن است تحت الشعاع ChatGPT و رقبای آن قرار گیرد، اما این مفهوم هنوز نمرده است.
سئول، پایتخت کره جنوبی، اخیراً به اولین شهر بزرگ جهان تبدیل شد که یک پلتفرم متاورس برای تجارت رسمی و سرگرمی راه اندازی کرد.
سال گذشته، دبی یک استراتژی جاه طلبانه متاورس را با هدف ایجاد بیش از 40000 شغل مجازی تا سال 2030 راه اندازی کرد.
اتحادیه اروپا مکان دیجیتالی شبیه به متاورس جوان محور خود را با قیمت 400000 دلار ایجاد کرد تا جوانان را از آنچه اتحادیه اروپا در صحنه جهانی انجام می دهد آگاه کند.
اینها فقط چند نمونه اخیر از بسط متاورس هستند. شاید کندتر از آن چیزی که برخی پیش‌بینی می‌کردند، اما قطعاً برای شرکت‌ها برای شروع جدی گرفتن امنیت سایبری متمرکز بر متاورژانس بسیار مهم است.
انتظار می رود بازار متاورس تا سال 2026 به 760 میلیارد دلار افزایش یابد .