מחקר קובע: אתרי חדשות וספורט – פגיעים למתקפות

צוות של מומחי אבטחת מידע באינטרנט בדק את פרוטוקולי האבטחה המשמשים את 500 האתרים המובילים בתעשיות השונות ומצא נתונים מדאיגים, בפרט בכל הקשור לאתרי חדשות וספורט. החוקרים גילו שפחות מ-10% מהאתרים שמהווים מקור בולט לצריכת המידע על ידינו השתמשו בפרוטוקולי אבטחה בסיסיים בלבד, כגון HTTPS ו-TLS (ר"ת Transport Layer Security). עוד התגלה במחקר כי גם האתרים שנהגו כך, לא השתמשו תמיד "בפרוטוקולים העדכניים או החזקים ביותר".

"ככל שחולף הזמן, כל הצפנה נחלשת, משום שאנשים מוצאים דרכים לעקוף אותה", אמר פרופ' אלן וודוורד, מומחה לביטחון מאוניברסיטת סארי שבבריטניה, ל-BBC. "בדקנו את אתר האינטרנט של אוניברסיטת סארי באמצעות אתר שנקרא Security Headers לפני מספר שבועות והוא קיבל A, אבל כעת הציון שלו הוא רק C", הדגים.

גם אתרי קניות ומשחקים – פחות מאובטחים

המחקר, שפורסם בכתב העת Journal of Cyber Security Technology, הראה שחלק מהמגזרים הרבה יותר מודעים מבחינת אבטחה מאחרים. האתרים של חברות מחשבים וטכנולוגיה ושל ארגונים פיננסיים הראו רמה גבוהה בהרבה של אימוץ אמצעי אבטחה מאשר אתרי קניות ומשחקים, למשל. "במגזר הפיננסי, כמעט בכל אחד מהאתרים שבדקנו היו קישורים מוצפנים", אמר וודוארד, "אבל בתחום הקמעוני, אימוץ הסטנדרטים החדשים ביותר נמוך".

רבע מאתרי הקניות שנבדקו השתמשו ב-TLS, שמציע כלים שכוללים תעודות דיגיטליות, סיסמאות מרוחקות ומבחר קודים להצפנת התנועה בין אתר האינטרנט למבקריו. אבל בקרב אתרי חדשות וספורט נמצא שפחות מ-8% עשו בכלל שימוש בפרוטוקול כלשהו. בין אלה שעשו, רבים לא השכילו להשתמש בכלים החזקים ביותר, כמו HSTS, שבאופן אוטומטי דוחף משתמשים שניגשים לגרסה לא מאובטחת של אתר לגרסה המוצפנת שלו.

"ספקי תוכן לא מעריכים את האבטחה שלהם"

"זה כאילו שספקי תוכן של חדשות וספורט לא מעריכים את האבטחה של התוכן שלהם", אמר פרופ' וודוורד. "הם משאירים את עצמם חשופים למתקפות, כמו סקריפטים בין אתרים, שבהם התוקף יכול להעמיד פנים שמשהו בא מאתר אינטרנט כשלמעשה הוא לא".

מנגד, הזהיר החוקר גם מפני הפגנת יותר מדי אמון באתרים שנראה שכן עובדים עם הפרוטוקולים העדכניים והמקיפים ביותר. "אנשים מניחים שמאחר שהם משתמשים ב-TLS הם מנהלים שיחה מאובטחת, אבל אין ערובה לגבי מי הוא זה שאיתו הם מנהלים את השיחה", הסביר. "חלק מהאתרים המזויפים משתמשים באבטחה מעודכנת יותר מאשר באתרים אמיתיים. יש ללחוץ על המנעול ולבדוק עם מי אתם מדברים".