פרטיהם של משתמשי ג'י-מייל באיראן נחשפו לגניבה בסוף השבוע

משתמשי ג'י-מייל (Gmail) שניסו לגשת לחשבון שלהם במהלך סוף השבוע האחרון, היו נתונים בסכנה שאמצעי הזיהוי שלהם ייגנבו – זאת לאחר שפורצים שהצליחו לחדור לשרתים של חברה הולנדית גנבו "תעודת זיהוי דיגיטלית" של גוגל (Google).

"המשתמשים שהיו בסיכון הם בעיקר מאיראן", נכתב בהודעה שפרסמה גוגל. "התוקפים עשו שימוש בתעודת SSL שהונפקה בכזב על ידי חברת DigiNotar, שהיא גוף רשמי מוכר שמנפיק תעודות זיהוי דיגיטליות, אך אינה אמורה להנפיק תעודות עבור אתר Google.com. התעודה שהונפקה כבר בוטלה".

במענה לשאלה על מספר המשתמשים שנפגעו, השיב נציג גוגל, כי "קשה לברר פרטים מדויקים במתקפות מסוג זה, ואנו עדיין חוקרים את הפרשה. התוקפים הנפיקו תעודות כוזבות גם עבור אתרים רבים נוספים. המשתמשים בדפדפן כרום (Chrome) היו מוגנים בזכות מנגנון חדשני שמשולב בדפדפן, אך המנגנון מעניק לפי שעה הגנה רק במהלך גלישה ב-Google.com, כך שקשה לדעת מה אירע באתרים אחרים".

בעקבות התקרית נוספו לרשימה השחורה של מנגנון ההגנה בדפדפן כרום 247 תעודות זיהוי דיגיטליות, על פי הפרסומים של גוגל. לא ברור עדיין מי ניצב מאחורי המתקפה. כדי למנוע פגיעה במתקפות מסוג זה ממליצה גוגל, במיוחד למשתמשים באיראן, להקפיד על עדכון קבוע של הדפדפן ולעקוב אחר התראות שמציג הדפדפן.

בתגובה נמסר מחברת DigiNotar, כי הפריצה לתשתיות ההנפקה שלה התגלתה ב-19 ביולי, ובמהלכה נעשה ניסיון להנפיק תעודות זיהוי דיגיטליות עבור מספר שמות מתחם, אך הבקשה נדחתה. "בשלב מאוחר יותר התברר כי אחת הבקשות שהוגשו לא נדחתה", על פי ההודעה של DigiNotar. החברה השעתה את המכירה של תעודות הזיהוי הדיגיטליות באופן זמני, עד לסיום הבדיקה.

"בעזרת תעודות זיהוי דיגיטליות אפשר להתחזות לגוגל, אם מצליחים לנתב את התעבורה שאמורה הייתה להגיע לאתר Google.com למקומות אחרים", הסביר מיקו היפונן, חוקר אבטחה ראשי בחברת האבטחה F-Secure, בהודעה שפרסם בבלוג. "פעולות כאלה יכולים לבצע גופים ממשלתיים או ספקיות אינטרנט בעלות כוונות זדוניות, והן ישפיעו רק על המשתמשים באותה מדינה או על הלקוחות של אותה ספקית אינטרנט".

עוד מתח היפונן ביקורת על DigiNotar וציין, כי חברת F-Secure גילתה כבר שלושה דפי אינטרנט שהושחתו על ידי האקרים מאיראן באתר של DigiNotar. "כיצד לא חשדו אנשי DigiNotar שיש משהו מוזר בכך שבחברת גוגל מבקשים פתאום לחדש את תעודות הזיהוי הדיגיטליות, ופונים דווקא לחברה הולנדית לא גדולה?" תוהה היפונן.