חושבים שאתם אנונימיים בסיקרט? האקרים הוכיחו שלא

שני חוקרי אבטחה אמריקאים הצליחו לחשוף בקלות מי עומד מאחורי פוסטים באפליקציית הסודות; לדבריהם, החברה מיהרה לטפל בבעיה

עודד ירון
שתפו בפייסבוק
שתפו כתבה במיילשליחת הכתבה באימייל
שתפו כתבה במיילשליחת הכתבה באימייל
מעבר לטוקבקיםכתוב תגובה
הדפיסו כתבה
עודד ירון

איזה סוד חלקתם בסיקרט? משהו על חיי המין הסוערים שלכם או הבוס שאתם שונאים? בטח תשמחו לדעת שבנג'מין קודיל ובראיין סילי, שני חוקרי אבטחה אמריקאים מחברת Rhino Security Labs, מצאו דרך לזהות מי עומד מאחורי כל סיקרט חדש. השניים דיווחו לחברה וסיפרו שהיא הגיבה במהירות ופעלה כדי לבלום תקיפות דומות.

סיקרט, שנפתחה בתחילת השנה זוכה בחודשיים האחרונים לפופולאריות רחבה בישראל ובעולם, אחרי שהתפשטה בהצלחה בעמק הסיליקון בארה"ב. האפליקציה מאפשרת לכל אחד מהמשתמשים לכתוב בעילום שם את הדברים שהוא לא יכול לכתוב למשל בפייסבוק  - אם הוא משתמש שם בזהותו האמיתית, כפי שרובנו עושים. האפליקציה סיפקה לרבים פתח לשחרור קיטור, אבל בה בעת היא שימשה גם לבריונות רשת והתעללות באנשים שלא יכלו אפילו לגלות מי פוגע בהם - במקרים רבים מדובר בצעירים. רק השבוע סיפרה אורנה היילינגר מנהלת המרכז לאינטרנט בטוח של איגוד האינטרנט, כי באחרונה התגלו מספר "מקרים מזעזעים" של התעללות באמצעות סיקרט. "האנונימיות בסיקרט מזמנת תכנים פוגעניים בהרבה ממה שהכרנו עד היום", הוסיפה.

אבל לטוב או לרע, מהדיווח האחרון מתברר שניתן למצוא דרכים לחשוף את מי שכתב באפליקציה, ולפחות בשביל שני החוקרים, זה לא היה כל כך מסובך. קודיל, המייסד והמנכ"ל של ריינו סקיוריטי לבס, סיפר ל-Wired שכל מה שהם צריכים לעשות זה להקליד את כתובות האימייל או מספר הטלפון של המשתמש, כדי לגלות בדיוק במי המדובר. השניים דיווחו על הפרצה לסיקרט בשבוע שעבר במסגרת תוכנית Bug Bounty שהחברה מפעילה ובמסגרתה היא משלמת לחוקרים שחושפים בפניה פרצות אבטחה.

צילום: סיקרט

מנכ"ל סיקרט דייוויד בייטו אמר לוויירד שעל פי הבדיקות שלהם עד כה לא נראה שמישהו נפגע מהפרצה, אך הם צריכים להשלים את הבדיקות כדי לוודא זאת. הוא הוסיף שזו אינה התקיפה הראשונה, למעשה, אמר, 38 חוקרים שונים חשפו כבר 42 פרצות אבטחה.

השיטה של קודיל וסילי לא הצריכה מציאת פרצות בקוד, אלא בעיקר הבנה של האופן בו עובדת סיקרט כדי לנצל זאת לחשיפת משתמשים. האפליקציה מסתמכת על כך שהמשתמשים אינם יודעים מי מחבריהם גם הורידו את אותה ועל כן גם אחרי מי מהם הם עוקבים. כדי שתוכלו לעקוב אחרי הפרסומים של חבריכם אתם חייבים לאפשר לאפליקציה גישה לרשימת אנשי הקשר שלכם. בנוסף, כדי לוודא שמירה על אנונימיות, סיקרט אינה מאפשרת לכם  לצפות בפוסטים של חברים לפני שאתם עוקבים אחרי שבעה חברים מרשימת הכתובות שלכם (כלומר הם צריכים להיות משתמשים פעילים באפליקציה), או מחשבון הפייסבוק שלכם.

חוקרי האבטחה פשוט יצרו 50 חשבונות מזוייפים, ולאחר מכן קודיל מחק את כל אנשי הקשר מהאייפון שלו והוסיף את שבעת חשבונות המייל המזוייפים. כאשר רצה לגלות מה מישהו הוא כותב, הוא הוסיף את חשבון האימייל או הטלפון שלו לאנשי הקשר שלו. כך היה לו ברור שכל סיקרט שנכתב בידי חבר, נכתב בידי אותו איש. ראוי לציין שהשיטה הזאת לא מאפשרת לזהות את היוצרים של סיקרטים קיימים.

צילום: סיקרט

בייטו אמר לוויירד כי האקרים רוסים כבר ניסו לפתוח חשבונות מזוייפים רבים למרות דומות. מאז החברה שיפרה את האלגוריתמים שלה לזיהוי ומלחמה בחשבונות מזוייפים. כאשר היא מזהה "אנומליה" היא מתייגת סיקרטים ככאלה שהגיעו מחבר של חבר, או במעגל החברים. אבל, נכתב בוויירד, לאחרונה היא הרחיבה את התשתית שלה, ומערכת זיהוי הבוטים שלה כשלה בזיהוי התקיפה של קודיל וסילי.

בייטו חזר ואמר לוויירד מה שאמר כבר כמה פעמים בעבר. "אנחנו מנסים לסייע לאנשים להבין שאנונימיות אין פירושה שהם בלתי ניתנים לאיתור. סיקרט אינה מקום לפעילות בלתי חוקית, לאיומים בהנחת פצצה או לשיתוף תמונות חושפניות. אנחנו לא אומרים שאתה תהיה בטוח לחלוטין כל הזמן, ותהיה אנונימי לגמרי".

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ