חוקרי אבטחה מיבמ ישראל זיהו פרצה באמזון ולינקדאין

חוקרי אבטחה מיבמ (IBM) ישראל זיהו פרצה המאפשרת להאקרים להזדהות בשם משתמשים תמימים ולהפוך אותם לקורבנות.

החוקרים מקבוצת האבטחה X-Force Application Security Research של הענק הכחול, שפועלים בישראל, זיהו פרצה המאפשרת לנצל את תהליך הכניסה לאתרים בעזרת ספקי זהות דוגמת לינקדאין (Linkedin) ואמזון (Amazon), לצורך השתלטות על חשבונות משתמשים במגוון רחב של אתרים שעושים שימוש באותם ספקי זהויות.

בטרם הפרסום על קיום הפרצה, אנשי הענק הכחול דיווחו על קיומה ללינקדאין ולאמזון – ואלה כבר עדכנו את המערכות שלהן או שיפרו את התיעוד שלהן, כדי שאתרי צד שלישי שעושים שימוש במערכות אלה לא יהיו חשופים לתקיפה.

אתרי אינטרנט רבים מציעים למשתמשים להיכנס לחשבונותיהם באתר, בעזרת שימוש בחשבונות קיימים ברשתות חברתיות, כגון לינקדאין, פייסבוק (Facebook) וטוויטר (Twitter), במקום להקליד שם משתמש וסיסמה לכל אתר. חוקרי יבמ גילו כי תהליכי הזדהות מסוימים עלולים לאפשר לתוקף זדוני להיות מסוגל להזדהות בשם הקורבן.

הפרצה, שזכתה לשם SpoofedMe ("התחזו אלי"), מתבססת על שתי חולשות שונות. האחת, חולשה בפלטפורמת ספקי הזהות (לדוגמה לינקדאין), בה עושה שימוש אתר צד שלישי. אותה פגיעות מאפשרת לתוקף להירשם עם כתובת מייל מזוייפת של הקורבן, ללא צורך להוכיח עליה בעלות. חולשה נוספת קשורה לפגיעות באתר הצד השלישי, אשר משתמש בכתובת המייל החוזרת מ-ספק הזהות, בתור המזהה הייחודי של המשתמש.

החוקרים של הענק הכחול, אור פלס ורועי חי, גילו כי תהליכי זיהוי המשתמש באמזון ובלינקדאין חשופים לפרצה הזאת. בין האתרים המאפשרים הזדהות בעזרת חשבונות לינקדאין, ניתן למצוא שמות דוגמת Nasdaq.com, Slashdot.org, Crowdfunder.com ו-Spiceworks.com.

לדברי פלס, "כיוון שהפורצים יכולים להשתמש ב-SpoofedMe על מנת להיכנס לחשבונות של משתמשים קיימים באתרים אלה, הם מסוגלים לגשת למידע הרגיש של המשתמש אליו הם נכנסים ולעשות פעולות באתר בשמו. במקרה שהם נכנסים לחשבונות של משתמשים מוכרים ואמינים – ביכולתם להפיץ בקלות רבה יותר מידע שגוי או קוד זדוני".

הוא הוסיף כי "שני גורמים הופכים את המתקפה הזו לקריטית: ניצולה מאוד פשוט והשלכותיה חמורות. לכן, מומלץ ביותר למפתחי אתרים העושים שימוש בספקי זהות, באופן פגיע, ללכת בעקבות המלצותינו לתיקון המופיעות במאמר".