האקר ישראלי חשף פירצה שאיפשרה להשתלט על חשבונות פייסבוק

ניר גולדשלגר גילה כי תיקון לפירצה קודמת שמצא איפשר להשתלט על חשבונות תוך עקיפת הסיסמה ומנגנון האימות SMS

עודד ירון
שתפו כתבה במיילשתפו כתבה במייל
עודד ירון

פייסבוק תיקנה פירצה חדשה שהתגלתה בידי האקר ישראלי. ניר גולדשלגר, חבר בצוות התקיפה והסייבר בחברת אבנת אבטחת מידע, חשף כבר בחודש שעבר פירצה במנגנון ה-OAuth, שאפשרה לו להשתלט על כל חשבון משתמש בפייסבוק, וכעת הוא גילה פירצה נוספת במנגנון.

OAuth הוא פרוטוקול המאפשר לשירותים כמו אפליקציות להתחבר לחשבונכם באתרים כמו פייסבוק מבלי שתיאלצו לחשוף את כל המידע או לתת להם את כל ההרשאות לחשבונכם. לאחר שגולדשלגר דיווח לפייסבוק על הפירצה, החברה מיהרה לתקן את הבעיה, אולם מחקירות נוספות של גולדלשגר מתברר שגם התיקון כלל פרצות משלו.

גולדשלגר, שניצב כבר שנתיים בראש היכל התהילה של ההאקרים של פייסבוק, סיפר כי "גם אחרי תיקון הפרצה הצלחתי לבצע השתלטות דרך שני ערוצים מקבילים: באמצעות שליחת לינק ישירות למשתמש שבעצם פתיחתו קיבלתי גישה מלאה לפרופיל שלו. או באמצעות הזרקת קוד לאתר תוכן גדול שבו גולשים משתמשים רבים ובעצם כניסתם לאתר הם הופכים חשופים להשתלטות שלי על החשבונות שלהם".

כך בוצעה הפריצה המקורית:

גולדשלגר הדגיש כי בזכות השיטה שלו הוא עקף לחלוטין את הסיסמה של בעל החשבון, כך שהוא לא היה צריך להטריח את עצמו בפיצוחה. בנוסף הוא עקף גם את מנגון האישור הדו שלבי הכולל שליחת ההודעת SMS עם קוד אימות.

"גם אחרי שחדרתי לחשבון הפייסבוק של המשתמש אין לו כל דרך לדעת שאני נמצא שם ומסוגל לגשת לכל מידע אישי ופרטי שלו", אמר גולדשלגר. לדבריו, ניתן לפרוץ גם לעמודים עסקיים.

פייסבוק תיקנו את הפירצה לפני שלושה ימים, ולדברי גולדשלגר לא זוהו מקרים שבהם נפגעו משתמשים כתוצאה משימוש בה.

פייסבוק טרם השיבה לפניית הארץ בנושא, אבל בצוות האבטחה של פייסבוק אישרו את הגילוי.

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ