פגיעות בג'ימייל אפשרה השתלטות על חשבונות פייסבוק

באחרונה נחשף כשל אבטחה בג'ימייל (Gmail), שעלול לסכן מיליונים בפריצה לחשבונות הפייסבוק (Facebook) שלהם.

הממצא נחשף על ידי החוקר יוסוף סמוטה, שפרסם פוסט בבלוג הטכנולוגי שלו, ובו הזהיר מפני שימוש באישורי Gmail לצורך ביצוע כניסה לפייסבוק, הרשת החברתית שבבעלות מטא (Meta).

סמוטה הסביר כי הצליח להשתמש בהפניות OAuth של גוגל (Google) כדי לעקוף את מערכות האבטחה של פייסבוק על מנת לפרוץ חשבונות.

גוגל OAuth (ר"ת של Open Authorization) היא אחת המערכות המאפשרות לאמזון, פייסבוק, מיקרוסופט, טוויטר ומשתמשים נוספים לקשר את החשבונות שלהם לאתרים חיצוניים. טכניקה זו יכולה לשמש, ככל הנראה, גם כדי לפרוץ לחשבונות באתרים או שירותים אחרים, לא רק לפייסבוק, כך אמר סמוטה.

Multiple bugs chained to takeover Facebook Accounts which uses Gmail. ( $42k )https://t.co/tdXO3u5ddA pic.twitter.com/CehY5cthUc

— Youssef Sammouda (@samm0uda) May 14, 2022

סמוטה ציין בדבריו כי "ניתן היה להשתמש בפגיעות זו בקנה מידה גדול", והתעקש שקיבל "פרס" של כ-45,000 דולר מפייסבוק בתמורה לליקוי האבטחה שגילה. הוא אמר שפייסבוק הגיבה ויישמה אמצעים נגד פריצת ההרשאה הפתוחה. מצד שני לא דווחה כל התייחסות של גוגל לממצא.

לדברי מומחים שונים, חשבונות מקושרים הומצאו כדי להקל על כניסה לשירותים כמו רשתות חברתיות או חנויות אונליין, אבל החיבור באופן זה – שרבים מאיתנו ביצעו ועדיין מבצעים כל הזמן – אנו מומלץ מטעמי אבטחה.

מי שמעוניין לשנות כעת את המצב, וודאי ישמח לגלות כי ניתן לבטל את הקישור בין חשבונות, כולל Google OAuth. בפייסבוק, למשל, ניתן לגשת אל 'הגדרות ופרטיות' –> 'הגדרות' –> 'מרכז חשבונות –> 'חשבונות ופרופילים', ולאחר מכן לבחור 'מחק קישור'. ניתן לעשות זאת גם באתרים אחרים כמו טוויטר, אמזון ומיקרוסופט.