האקר ישראלי, עובד אבנת, מצא פירצת אבטחה שניה בפייסבוק בתוך חודש

לאחר שאנשי האבטחה של הרשת החברתית תיקנו את הפירצה, איתר ההאקר הישראלי פירצה בקוד התיקון ● הפירצה החדשה תוקנה לפני שלושה ימים ● "ההשתלטות על חשבון הפייסבוק לא מחייבת אותי לדעת מהי הסיסמה של בעל החשבון וגם עוקפת את מנגנון האישור הדו-שלבי, הכולל שליחת SMS עם קוד אימות", הסביר ההאקר, ניר גולדשלגר

ההאקר ניר גולדשלגר, חבר בצוות התקיפה והסייבר באבנת אבטחת מידע, איתר פירצת אבטחה בפייסבוק (Facebook) זו הפעם השניה בתוך חודש. גולדשלגר חשף בחודש שעבר פירצה קריטית, המאפשרת להשתלט על חשבונות משתמשים באמצעות מנגנון ה-OAuth. הוא דיווח על כך לאנשי האבטחה של הרשת החברתית והם תיקנו את הפירצה. לפני ימים אחדים דיווח ההאקר, כי איתר פירצה קריטית נוספת, הפעם בקוד התיקון עצמו, המאפשרת להשתלט על כל חשבון עסקי ופרטי ברשת החברתית.

"גם אחרי תיקון הפירצה הצלחתי לבצע השתלטות דרך שני ערוצים מקבילים", הסביר ההאקר הישראלי: "האחד, באמצעות שליחת לינק ישירות למשתמש, שבעצם פתיחתו קיבלתי גישה מלאה לפרופיל שלו; השני, באמצעות הזרקת קוד לאתר תוכן גדול, שבו גולשים משתמשים רבים, ובעצם כניסתם לאתר הם הופכים חשופים להשתלטות שלי על החשבונות שלהם".

"חשוב להדגיש", אמר, "כי ההשתלטות על חשבון הפייסבוק לא מחייבת אותי לדעת מהי הסיסמה של בעל החשבון וגם עוקפת את מנגנון האישור הדו-שלבי, הכולל שליחת SMS עם קוד אימות".

"גם אחרי שחדרתי לחשבון הפייסבוק של המשתמש", אמר גולדשלגר, "אין לו כל דרך לדעת שאני נמצא שם ומסוגל לגשת לכל מידע אישי ופרטי שלו – כולל בעמודים עסקיים, שם גלוי בפני כל המידע העסקי – סטטיסטיקות, תכנים, רשימות חברים ועוד".

גולדשלגר הוסיף, כי הפרצה שזיהה אפשרה גישה לחשבונות המשתמשים גם מבלי שאלה יפעילו אצלם יישומי צד שלישי כמו אינסטגרם (Instagram). הוא ציין, כי "למרות מורכבותה של הפירצה, הוכחתי שוב עד כמה 'קלה' – לבעלי ידע ואינטרס – הגישה למידע האישי והעסקי, שרובנו היום שומרים ברשת החברתית, מבלי בכלל לדעת שגורם בעל עניין מסתובב בתוככי המידע הפרטי שלנו".

הפירצה החדשה תוקנה לפני שלושה ימים. לדעת גולדשלגר ואנשי פייסבוק, לא דווח על נזקים כתוצאה ממנה, ככל הנראה כי האקרים ברחבי העולם טרם זיהו אותה בעצמם. לדבריו, "הדרך היחידה למנוע מהאקר שהצליח לעשות בפירצה שימוש בזמן שבין איתורה ועד תיקונה, היא להחליף סיסמה. זאת, כיוון שהפירצה אפשרה גישה לחשבון ללא כל דרישות הזדהות מהתוקף".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים