חוקר אבטחה: האקר הצליח להשיג מאות הרשאות כניסה של עובדי פייסבוק

החוקר הטייוואני שביצע מבדקי חדירות גילה שמישהו היה שם לפניו, ואסף סיסמאות ושמות משתמש. פייסבוק: גם החוקר הקודם השתתף בתוכנית, הרשת הפנימית לא היתה בסכנה

עודד ירון
עודד ירון
שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
עודד ירון
עודד ירון

האקר הצליח לחדור לרשת של פייסבוק ולהשיג מאות שמות משתמש וסיסמאות של עובדי פייסבוק - כך דיווח חוקר אבטחת מידע שערך בדיקות חדירות לרשת של החברה. מנגד, פייסבוק מסרה ל"הארץ" כי מדובר בתוכנת צד שלישי שכבר אינה משמשת את פייסבוק ומעולם לא היתה חלק מהמערכת. לדברי החברה, אותם האקרים שהוא גילה ביצעו גם הם מבדקי חדירה לרשת. פייסבוק שילמה לחוקר פרס של 10,000 דולר על החשיפה שלו.

החוקר אורנג' צאי מחברת Devcore הטייוואנית, שפרסם השבוע את הדיווח, ניסה לחפש פרצות בפייסבוק במסגרת תוכנית Bug Bounty שמפעילה פייסבוק. התוכנית מאפשרת לחוקרים לחשוף בעיות אבטחה ברשת החברתית, לדווח עליהן לפייסבוק ולקבל עליהן תשלום. תוכניות דומות מופעלות ברבות מהחברות האינטרנט הגדולות, שזוכות כך לסיוע חיצוני בטיפול בבעיות שאנשיהן לא הבחינו בהן.

לדברי אורנג', ההאקרים שאת עקבותיהם הוא גילה אספו כ-300 פרטי חשבונות של משתמשי facebook.com ובעיקר fb.com - הכתובת הפנימית של החברה, שמעידה על כך שמדובר בעובדיה. הוא ציין שהיה הבדל גם באופן שבו נרשמו והוצפנו פרטי הכניסה של המשתמשים הרגילים ושל עובדי פייסבוק.

"בקיצור, ההאקר יצר פרוקסי על דף הפרטים כדי לשמור את פרטי החשבונות של עובדי פייסבוק", הוא כתב. "הססמאות האלה נשמרו תחת תיקיית רשת כדי שההאקר יוכל להשתמש ב-WGET (תוכנה להורדת מידע משרתים) כל כמה זמן". WGET היא תוכנה שמורידה מידע משרתים ברשת.

מטה פייסבוק במנלו פארק קליפורניה

"אני מאמין שהפרטים שנרשמו שם כללו ססמאות אמיתיות ואני מנחש שהם יכלו לשמש לגישה לשירותים כמו מייל או VPN לחדירה מתקדמת יותר", כתב אורנג'. במלים אחרות, הוא לא התקדם ובדק את פרטי הכניסה - וכאן יש לזכור שחוקרי אבטחה עלולים ללכת על חבל דק לפעמים, ואם הם באמת ינסו ללכת עוד כמה צעדים קדימה, הם עלולים להפר את תנאי ה-Bounty. כך ציינו, למשל, גולשים באתר האקר ניוז שהגיבו לדברים שכתב על הנושא איש אבטחה בפייסבוק.

לדברי איש האבטחה של פייסבוק, שדי חופפים לתגובה הרשמית, מדובר בתוכנת צד שלישי שהופעלה במנותק מהמערכות שבהן פייסבוק מאחסנת את המידע של משתמשים. הוא הוסיף כי לאחר הדיווח הם קבעו כי הפעילות שעליה דיווח אורנג' היא בעצם של חוקר נוסף שהשתתף בתוכנית ובדק את אותה בעיה. הוא הוסיף כי אף אחד מהם לא הצליח לחדור לחלקים נוספים מהתשתית של פייסבוק. "מנקודת המבט שלנו, זה ניצחון כפול: שני חוקרים מוצלחים הצליחו לגשת למערכת, אחד מהם דיווח את מה שהוא מצא לנו וקיבל פרס טוב, איש מהם לא הצליח 'להסלים' את הגישה".

חלק מהגולשים באתר הגיבו לדבריו בספקנות. "האם מותר להם 'להסלים את הגישה' בהתחשב בחוקי ה-Bounty?" שאל אחד הגולשים. אחר השיב לו: "זה בעצם מאוד פשוט: אם אתה בתוך שרת, אתה מדווח. אתה לא הולך לחפור עוד, כי ברגע שאתה בפנים, אתה עלול לגרום יותר נזק בקלות".

כך כתב גם פול דקלין בבלוג של חברת האבטחה סופוס. לדבריו, "אורנג' מתח את החוקים קצת; ההאקר המסתורי מתח אותם הרבה. במיוחד, איסוף של הרשאות כניסה בלי הסכם חתום בדרך נחשב מחוץ לתחום. ולו מפני שברגע שלקחת אותן, אתה מסתכן באובדן השליטה עליה בעצמך, כפי שקרה במקרה הזה. זה מעביר אותך מסיוע לתקן בעיית אבטחה ליצירת בעיה חדשה".

מפייסבוק נמסר בתגובה לפניית "הארץ": "תוכנית ה-Bug Bounty שלנו מסייעת לנו באופן שוטף להגביר את אבטחת השירותים והמוצרים שלנו, תוך שאנו מתגמלים מחקרים מצוינים מקהילת האבטחה. במקרה זה, חוקר זיהה כמה סוגיות בתוכנה שסופקה על ידי צד שלישי. אנו לא משתמשים יותר בתוכנה זו והיא מעולם לא היתה חלק מהמערכות שמריצות את פייסבוק, לרבות המערכות שמארחות את המידע שאנשים חולקים בפייסבוק. ניהלנו חקירה מעמיקה שבה נקבע שהפעילות שאורנג' זיהה היתה למעשה של חוקר אבטחה אחר שגם השתתף בתוכנית ה-Bug Bounty שלנו, שבחן את אותה תוכנת צד ג'. אנו היינו בקשר עם אותו חוקר ודנו במחקר שלו. אנו מודים לחוקרים המסייעים לשמור על הביטחון של פייסבוק".

לחצו על הפעמון לעדכונים בנושא:

כתבות מומלצות

מדפי ממתקים בסופר

כיף כף מטורקיה ופתי בר מפולין: החברות שמוכרות כחול לבן מחו"ל

עטיפת הספר. העיר שהיתה אמורה להיות ייחודית במינה

לרגע היה נדמה שערד יכלה להיות עיר אחרת לגמרי

BW אמזון רחפנים 256

החבילה מתעכבת: למה הרחפנים של אמזון עוד לא סיפקו את הסחורה

קראק פאי הקלאסי של גוז' ודניאל

משחקים עם קראק פאי: ארבעה מתכונים לעוגה הממכרת

פרויקט הרצל 138

סוף סוף יש סיבה לעצור ולהביט בבית הבאר ברחוב הרצל

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ

כתבות שאולי פספסתם

בת ים

שתי דירות במחיר אחת: האם זהו עתיד תחום הפינוי-בינוי?

אפליקציית קלארנה. החברה נמצאת במגעים לגיוס סבב חדש לפי שווי שנמוך בכ-30% מהשווי שקיבלה לפני שנה בלבד

"היערכו לגרוע מכל": נבואות החורבן בהיי-טק מתחילות להגשים את עצמן

בניין דירות בחולון

לקחתם משכנתא בחודשים האחרונים? גם אתם כבר שילמתם על עליית הריבית

"כשבאנו לקבל משכנתא לרכישת הבית, התברר שהבעיה לא פשוטה כלל"

הריבית במשק מזנקת – מה כדאי לעשות עם ההלוואות שלקחתי?

המשווקים של פוליסות החיסכון הם סוכני הביטוח, שנהנים מעמלות שמנות

"הציעו לי להעביר את החיסכון מאלטשולר. האם כדאי לי?"