בואו לגלות את עמוד הכתבה החדש שלנו
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

פרצה חמורה בפייסבוק סיכנה מאות מיליוני חשבונות

חוקר אבטחה גילה נתיב שחזור סיסמה, שעוקף מנגנון אבטחה קריטי של הרשת החברתית; פייסבוק העניקה לו 15,000 דולר

2תגובות
אשה מסתכלת בפייסבוק
אי–פי

חוקר אבטחה הודי חשף פרצה שמאפשרת לפרוץ לכל חשבון פייסבוק בעולם. לאחר שהחוקר, אננד פראקש, דיווח לפייסבוק על הפרצה, החברה תיקנה את הבעיה והעניקה לו 15,000 דולר. אלכס סטאמוס, אחראי האבטחה בפייסבוק, צייץ בטוויטר: "אחלה פרצה אננד, תיהנה מה-15 אלף דולר".

פייסבוק מסרה לאתר Threat post כי זהו אחד הפרסים הגבוהים ביותר שהחברה נתנה אי פעם במסגרת תוכנית bug bounty, שבה החברה משלמת פרסים כספיים לחוקרים שמדווחים על פרצות אבטחה. פייסבוק דיווחה בחודש שעבר כי שילמה עד כה 4.3 מיליון דולר ליותר מ-800 חוקרים על דיווחים בנושא.

הפרצה שמצא פראקש, איש אבטחה באתר הקניות ההודי Flipkart, קיימת במנגנון לאיפוס הסיסמה במקרה שמישהו שכח אותה. היא היתה חמורה במיוחד, מפני שהנתון היחיד שתוקף היה צריך להחזיק כדי לנצל אותה היה שם המשתמש של הקורבן.

אחד מהאמצעים של פייסבוק לאיפוס סיסמה הוא שליחה של קוד בן שש ספרות לטלפון של בעל החשבון, שמשמש אמצעי כניסה זמני לחשבון עד שבעליו יזין את הסיסמה החדשה. כדי למנוע מתוקפים להריץ מספר גדול של סיסמאות באופן אוטומטי (מה שמכונה Brute Force) לאחר כעשרה עד 12 ניסיונות להזנה של הסיסמה, פייסבוק בולמת את התהליך.

פרקאש גילה כי מנגנון ההגנה הזה פועל באתר פייסבוק הרגיל, אבל הוא לא מופעל בלינקים ל- mbasic.beta.facebook.com ול-beta.facebook.com, שבו מפתחים מנסים כלים לפני שהם יכולים לשלב אותם באתר הרגיל. זה אפשר לו לבצע התקפת Brute force על הסיסמאות.

מפייסבוק נמסר כי "אחד היתרונות החשובים ביותר של תוכניות bug bounty היא היכולת לזהות בעיות אפילו לפני שהן מגיעות לפיתוח. אנחנו שמחים להכיר בדיווח המצויין של אננד ולהעניק לו פרס על כך".



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות
*#
בואו לגלות את עמוד הכתבה החדש שלנו