---
یک روزنهٔ صفر‑روز در نرمافزار PeopleSoft، محصول اوراکل، کشف شد. این حفره میتونه به راحتی گگابایتها داده حساس را از سرورهای صدها سازمان سرقت کند. اگر شما هم توی شرکت یا دانشگاهی از PeopleSoft استفاده میکنید، این خبر حتماً باید توی کافهتان بپیچد.
PeopleSoft یک پلتفرم مدیریت منابع انسانی و مالی است که توسط هزاران شرکت بزرگ دنیا به کار میرود. اوراکل، سازندهٔ این سیستم، اخیراً یک آسیبپذیری «صفر‑روز» (۰‑day) را کشف کرد که به مهاجمان اجازه میدهد بدون هیچگونه اعتبارسنجی، به دادههای ذخیرهشده در سرورهای PeopleSoft دسترسی پیدا کنند.
این حفره در لایهٔ احراز هویت و کنترل دسترسی برنامه نهفته است؛ یعنی حتی اگر کاربر فقط دسترسی «خواندن» داشته باشد، میتواند با ارسال درخواستهای خاص، کل دیتابیس را استخراج کند. اوراکل اعلام کرده که این مشکل «به اندازهٔ تمام حفرههای بحرانی دیگر» است.
* **نوع آسیبپذیری:** Remote Code Execution (RCE) ترکیبی با SQL Injection.
* **بخش تحت تأثیر:** ماژولهای Payroll و HRMS که دادههای مالی، حقوق، و اطلاعات شخصی را نگهداری میکنند.
* **حجم سرقت:** برخی از گزارشها حاکی از سرقت چند گگابایت داده در عرض ۲۴ ساعت است.
اوراکل تا به امروز تنها یک پچ اضطراری منتشر کرده و میگوید تا پایان ماه جاری تمام مشتریان باید بهروزرسانی کنند. اما چون PeopleSoft در بسیاری از سازمانهای دولتی و خصوصی بهصورت داخلی (on‑premise) نصب شده، توزیع سریع این بهروزرسانی دشوار است.
اقتصاد این حمله هم چشمگیر است: سرقت دادههای حقوقی میتواند به سرقت هویت، تقلب مالی، و حتی شلیکسازهای تبلیغاتی هدفمند منجر شود. برای شرکتهای بزرگ، هزینهٔ پاکسازی و جبران خسارت میتواند به صدها میلیون دلار برسد.
در ایران هم تعداد قابلتوجهی از دانشگاهها، بیمارستانها و شرکتهای بزرگ از PeopleSoft برای مدیریت پرسنل و مالی استفاده میکنند. اگر این سیستم در سازمانها بهروزرسانی نشود، دادههای حساس مثل شمارهٔ ملی، حقوق، و سوابق کاری میتواند در دست هکرها بیفتد.
همچنین، بسیاری از استارتاپهای فناوریمحور که بهصورت زیرساختی از سرویسهای اوراکل استفاده میکنند، ممکن است بهطور غیرمستقیم تحت تأثیر این حفره قرار بگیرند. برای کاربران نهایی، این یعنی احتمال دریافت ایمیلهای فیشینگ هدفمند یا حتی دسترسی غیرمجاز به حسابهای بانکی.
حفرهٔ صفر‑روز PeopleSoft نشان داد که حتی نرمافزارهای «سازمانی» هم میتوانند هدف حملات بزرگ شوند. اوراکل در حال پچ کردن است، اما زمان کافی برای بهروزرسانی در محیطهای داخلی ممکن است نباشد.
اگر در سازمانتان از PeopleSoft استفاده میکنید، فوراً با تیم IT تماس بگیرید و از نصب آخرین پچ اطمینان حاصل کنید.
آیا سازمانهای ایرانی آمادگی مقابله با چنین حملات پیچیدهای را دارند؟
---
اینستاگرام، یوتیوب، تیکتاک، اسپاتیفای و بیشتر — با ربات دانلودچی رایگان دانلود کنید
🤖 ربات دانلودچی
گزارش در حال آمادهسازی دربارهٔ ردیابی تغییرات آب و هوایی میتونه نقطهٔ عطفی برای کشمکش بین علم و سیاست باشه. ببینید چهجوری این مسئله میتونه به تصمیمات آیندهٔ شما در ایران مرتبط بشه.
بخش 702 قانون FISA امشب به پایان میرسد، اما گواهینامه تا مارس 2027 اعتبار دارد؛ بدانید این چهمعنی برای حریمخصوصی و تکنولوژیست.
الون ماسک با عرضه سهام SpaceX بهدستآمدن اولین تریلیونر جهان را جشن گرفت. ببینید این تغییر چطور میتونه دنیای فناوری و کاربران ایرانی را تحتتاثیر قرار بده.
دانلودچی یه پلتفرم فارسیزبانه که دو سرویس اصلی داره: یه رسانه خبری برای اخبار روز تکنولوژی و جهان، و یه ربات تلگرامی رایگان برای دانلود محتوا از شبکههای اجتماعی. کافیه لینک رو به ربات بفرستی — بقیهاش با ما.
بله، کاملاً رایگانه. ربات @Dlchii_bot دانلود پست، ریلز، استوری و هایلایت اینستاگرام رو بدون هزینه انجام میده. نیازی به VPN یا اشتراک نیست.
بله. ربات کیفیتهای ۳۶۰p، ۴۸۰p، ۷۲۰p و ۱۰۸۰p رو پشتیبانی میکنه. همچنین میتونی فقط صدا (MP3) دریافت کنی — ایدهآل برای پادکست و موزیک.
بله. تِرَک، آلبوم و پلیلیست اسپاتیفای (تا ۵۰ آهنگ) پشتیبانی میشه. ساندکلاد هم کامل کار میکنه — میکسست، پادکست و تِرَک تکی.
مقالات از معتبرترین سایتهای خبری و تحلیلی خارجی انتخاب میشن، سپس با هوش مصنوعی به فارسی روان بازنویسی و بهینهسازی سئو میشن — نه ترجمه ماشینی خشک، بلکه محتوای اصیل و خوانا برای مخاطب فارسیزبان.
نه. فقط کافیه به @Dlchii_bot در تلگرام پیام بفرستی. بدون ثبتنام، بدون ایمیل، بدون VPN.