בואו לגלות את עמוד הכתבה החדש שלנו
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

ההאקרים שמו את גולשי תפוז על הכוונת

אחרי שאלפי כתובות מייל וסיסמאות דלפו לרשת, גילה מומחה אבטחה כי בשבוע שעבר ניצלו תוקפים פרצה נוספת באתר כדי לגנוב שוב מידע; תפוז: מדובר בניסיון פישינג שלא צלח

6תגובות

לפני יותר משבוע דווח על דליפת אלפי סיסמאות וכתובות אימיילים של משתמשי אתר "תפוז", ואולם מתברר שבכך לא הסתיימו ניסיונות ההתקפה על משתמשי האתר. בשבוע שעבר שוב נפוצו ברחבי האתר הודעות תחת הכותרת Tapuz Hacked, והנהלת האתר מיהרה להודיע כי מדובר בניסיון להפצת היסטריה והוסיפה כי היא מוחקת את ההודעות. בתשובה לשאלת "הארץ" בנושא נמסר מממערכת "תפוז" כי מדובר בניסיון לפישינג שלא צלח.

ואולם, שחר טל, ראש צוות מחקר בקבוצת Malware & Security Research בחברת צ'קפוינט, גילה במחקר עצמאי שעשה כי למעשה מדובר בניסיון תקיפה נוסף כנגד המשתמשים. הוא יצר קשר עם תפוז ודיווח לחברה כי ההודעות הללו כללו לינק לאתר שנשמר בשירות אחסון אתרים חינמי. מי שנכנס לאתר ראה הודעת אתר בבנייה ולא הבין שהתוקפים בעצם השתמשו בו כדי לגנוב את קובצי הקוקיז (עוגיות) של המשתמשים במערכת, מה שמאפשר חדירה לחשבונם באתר.

אותו אתר ניצל פרצה מסוג XSS (או Cross Site Scripting) ב"תפוז" שאפשרה להם להריץ קוד זדוני באתר למרות שהוא הגיע מבחוץ. "ההודעה היתה מלכודת כדי שאנשים ייכנסו לזה. בתוך השרת הם הריצו את הקוד שהפעיל את ה-XSS בתפוז. המשמעות היא שהעוגיה שלהם, שאמורה להיות פרטית בינם לבין תפוז מועברת לאתר חיצוני", הסביר טל.

הוא הוסיף כי לא נראה שיש קשר בין המתקפה החדשה למתקפה הראשונה שהובילה לפרסום של עשרות אלפי רשומות. "במתקפה הראשונה השתמשו בהרבה יוזרים מזויפים שהם יצרו, בעוד שבמתקפה החדשה היו להם להם חשבונות שנראו יותר הגיוניים. זאת לא נראית כמו אותה שיטה, אבל אי אפשר לפסול קשר", סייג.

בתפוז הגיבו לכך ומסרו כי מישהו פרסם הודעות בכמה פורומים עם לינק לעמוד שבו ניסה לעשות פישינג שלא עבד. ההודעות הוסרו מיד והוא נחסם.

הדיווח האחרון של טל מגיע לאחר ביקורת קודמת שנמתחה על אופן הטיפול של תפוז בדליפת פרטי המשתמשים. בין היתר הועלו תלונות על כך שחלק מהגולשים כלל לא מודעים לכך מפני שתפוז לא פרסמה הודעות בכל הפורומים ולא שלחה הודעות מייל אישיות. על כך נמסר אתמול (ראשון) בתגובה מהחברה כי פורסמו הודעות בבלוג הבית ובכל הפורומים וכי החברה מתחילה לשלוח הודעות אימייל לכל המשתמשים.

על פי דיווח נוסף שהגיע ל"הארץ", גם השיטה שבה החברה בחרה לאמת את חשבונות המשתמשים לאחר הפריצה סבלה מבעיה, שהיתה עשויה להקל על תוקפים פוטנציאליים לעקוף את מנגנון האימות בתנאים מסוימים. על פי הדיווח, תוקף שמחזיק בשמות המשתמשים ובסיממאות של משתמשים יכול למעשה לעקוף את מנגנון האימות במייל בצורה די פשוטה.

תפוז הגיבה לטענה באומרה כי הנתונים שנחשפו לא כוללים את שם המשתמש אלא מייל וסיסמה, וללא שם המשתמש אי אפשר לנצל זאת.

לשאלת "הארץ" בנושא, טל אמר כי לא הצליח לשחזר את הפרצה המדווחת משום שלא מצא דרך להכריח את תפוז להוביל להוביל חשבון שיצר לאחר הפריצה לתהליך איפוס הסיסמה. אך הוא ציין כי סביר להניח שלפחות לתוקפים המקוריים יש גם את שמות המשתמש, למרות שלא פרסמו אותם - כלומר הם לפחות יוכלו לנצל את הפרצה.

הוא הוסיף כי "הפרצה המתוארת אכן נשמעת הגיונית ומתאימה לפתרון אבטחה שנכתב בחופזה וברמה נמוכה. אם זו המציאות, תפוז בהחלט לא יהיו הראשונים שטועים בצורה כזו. משמעות הממצא היא שמערכת ההגנה, שהיתה אמורה למנוע שימוש לא מורשה על ידי "ההאקרים" (מהפריצה של שבוע שעבר, שנראית אמיתית מאוד ומשמעותית מאוד), כשלה במשימתה באופן נחרץ, עקב תכנון ותכנות לקוי". לדבריו, "אם לנסח זאת בעדינות, תפוז לא הפגינו בשבוע האחרון יכולת מרשימה בהתמודדויות מול איומי אבטחת מידע".



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות
*#
בואו לגלות את עמוד הכתבה החדש שלנו