האקר ישראלי המכונה ZHacker13 גילה פגיעות אבטחה באינסטגרם
הבאג, שבינתיים כבר תוקן על ידי פייסבוק הבעלים, איפשר גישה למידע פרטי ואישי - כמו למשל למספרי הטלפון של המשתמשים - והוא בדיוק מסוג הדטה שגורמים זדוניים עלולים לנצל לרעה
פייסבוק הודתה כי פגיעות אבטחה התגלתה באינסטגרם שבבעלותה, ושזו העמידה את נתוני המשתמשים בסיכון, כך על פי דיווח של פורבס משבוע שעבר (ה'). את הפגיעות חשף האקר ישראלי המכונה בטוויטר ZHacker13@ וששמו האמיתי לא נחשף.
הפגם הספציפי שהתגלה, ושהוטלא בינתיים על ידי פייסבוק, איפשר לתוקפים לגשת לפרטים המקושרים לחשבונות אינסטגרם, ביניהם שמותיהם האמיתיים של המשתמשים ומספרי הטלפון שלהם. ההאקר הישראלי סיפר כי הצליח "לקצור" נתוני משתמשים שהיו אמורים להיות מאובטחים, כך על פי פורבס.
"מצאתי פגיעות גבוהה באינסטגרם, שיכולה לגרום לדליפת נתונים רצינית", אמר ZHacker13 לכתב פורבס בשבוע שעבר, אז דווח גם כי "הפגיעות עדיין פעילה – ונראה שפייסבוק לא ממש רצינית בנוגע להטלאתה", סיפר ההאקר הישראלי.
ניצול פגיעות כמו זו שאותרה עלול לאפשר לתוקף זדוני המשתמש בצבא של בוטים ומעבדים לבנות בסיס נתונים, שבו יוכלו עמיתיו וגורמים זדוניים לערוך אחרים חיפוש או פשוט לצפות בפרטים ואז לעשות בהם שימושים לצרכים שונים וחמורים.
דובר פייסבוק אישר את הממצא ואת התיקון המהיר של הבאג, מחשש לניצולו האפשרי ואמר: "אנו מודים לחוקר שהעלה את הנושא, ולקהילת המחקר כולה על המאמצים שלהם".
פופולריות שמביאה צרות
המקרה האחרון מגיע אחרי שרשרת צרות שהביאה איתה הפופולריות ההולכת וגואה של שירות המדיה החברתית מבוסס הצילומים והסטוריז. הפעילות הגבוהה של משתמשים כה רבים בפלטפורמה מושכת מן הסתם גם את תשומת ליבם של האקרים, שמנסים לאתר פגיעויות ופרצות ולדוג דרכם נתונים.
כך למשל, חוקרי אבטחה הבחינו לאחרונה בהונאת דיוג שמשתמשת בבקשת אימות מזויף של שני גורמים בכדי להערים על מקבלי דואר אלקטרוני להגיע למה שנראה כעמוד הכניסה באינסטגרם, ולעשות לוג-אין מחדש, וכך ניסו לגנוב את סיסמתם. קמפיין דיוג אחר פיתה משתמשים באמצעות הבטחת סטטוס 'חשבון מאומת' (וי כחול) – פריט נחשק בקרב משתמשי הרשת החברתית.
אינסטגרם ספגה אש בחודש שעבר בגלל הפיקוח הנרפה שלה על אבטחת המידע, כאשר דווח כי שותף הפרסום שלה, HYP3R, החזיק מסד נתונים של פרופילי אינסטגרם לא מוגן או מאובטח על ענן ציבורי.
בראשית באוגוסט חשף הביזנס אינסיידר כי שותפת השיווק והפרסום – מהמובילות של אינסטגרם – אספה כמויות גדולות של נתונים ממיליוני משתמשי הרשת החברתית, כולל מעקב אחר נתוני המיקומם הפיזי של הגולשים ושמירת הסטוריז שלהם.
HYP3R, היא חברת סטארט-אפ שיווקית הפועלת מסן פרנסיסקו, שהייתה שותפה לגיטימית ומאושרת של אינסטגרם, אבל היא השתמשה במה שכינה כתב הביזנס אינסיידר "שילוב של שגיאות תצורה ופיקוח רופף", בכדי לשמור את נתוני המשתמש, בניגוד למדיניות החברה. כחלק ממעלליה, לכאורה, החברה גם קצרה סטוריז, שאמורים להיעלם כליל מהשטח לאחר 24 שעות, אבל חמור מכך – היא עקבה, כאמור, אחרי התנועות היומיומיות של המשתמשים ועשתה כן במשך חודשים, ואולי אף שנים. לאחר היוודע הפרשה אינסטגרם הגיבה לחשיפה בהרחקה מיידית של HYP3R מהפלטפורמה שלה, כך דיווחה התקשורת, כמו גם ביצעה שינוי מוצר שימנע מגורמים אחרים ודומים לעקוב אחר נתוני מיקום באותה דרך.
אלא שרבים מתקוממים יותר ויותר כעת על אופן הטיפול בבעיות האבטחה מצד פייסבוק ובנוגע לאינסטגרם, שמגיעות בדיעבד ולא מראש ולא עושות די לצורך מניעת הישנות מקרים חמורים שכאלו.
תגובות
(0)