אתר הברכות של משרד התפוצות

שנה טובה עם פרצת אבטחה: באדיבות משרד התפוצות

האתר שהזמין גולשים לשלוח ברכות שנה טובה ליהודים מכל העולם הכיל גם פרצה שאפשרה לנצל את הברכה למתנה מאוד לא סימפטית; הפרצה דווחה למערך הסייבר ותוקנה

בכל פעם כשאני מדבר על חורי אבטחה משנת תרפפ״ו, תמיד יש מישהו שקופץ ואומר – ״למה אתה מדבר על זה? זה מזמן לא רלוונטי כי זו פרצה בת 25 שנה״. הבעיה היא שיש מקומות שבהם עדיין חיים בשנות השמונים.

למשל, ממשלת ישראל - המתנה שלא מפסיקה לתת. קחו למשל את האתר של משרד התפוצות שמאפשר לשלוח שנה טובה לכל יהודי בעולם. על פניו זה נשמע כמו רעיון נחמד, אבל פרצת XSS באתר היתה יכול להפוך ברכות מהאתר לכאלה שמבשרות על שנה רעה במיוחד. אחרי דיווח למערך הסייבר הלאומי ביום חמישי, הפרצה נסגרה תוך כמה שעות.

פרצת XSS היא פרצה מאוד פשוטה, וכאמור, מאוד ותיקה לתקיפת אתרים ומשתמשים. היא מאפשרת לתוקפים לשתול תוכן שלהם באתר מוכר. כך הם מנצלים את האמינות של האתר כדי לשטות בנו. זאת גם אחת הסיבות שאתרים גדולים ומרכזיים בדרך כלל משתדלים לשלב הגנות רחבות כדי למנוע שינוי את התוכן שלהם. 

מדובר בשם מסובך מאוד לשיטה מאוד פשוטה. אבל מאוד, שכבר הסברתי עליה באריכות בכתבה הבאה

כרום כבר מגן עלינו מהתקפות של ג׳אווהסקריפט, אבל לא מהתקפות של השתלת תוכן. למשל, אם אני אכניס תגית style ותוכן משלי, אני עדיין יכול להציג מה שבא לי על הדומיין ולשלוח את הכתובת לכל מאן דהו.

עם גילוי הבעיה נשלח מייל למערך הסייבר הלאומי (שהגיב מהר והחל לטפל באירוע) ולמשרד התפוצות. הפרצה נסגרה.

רן בר-זיק הוא מפתח בחברת OATH וכותב אתר internet-israel.com