אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
משתמשי פייסבוק חשופים למתקפת ספאמרים

משתמשי פייסבוק חשופים למתקפת ספאמרים

שתי פרצות אבטחה ברשת החברתית מאפשרות להאקרים ליצור מאגר כתובות מייל של מנויים באמצעות תוכנה פשוטה – ואף לחדור לחשבונותיהם. לדברי מומחה אבטחה, את הפרצות ניתן לחסום בקלות

24.03.2009, 12:54 | צמרת פרנט

שתי פרצות אבטחה קריטיות ברשת החברתית פייסבוק חושפות חשבונות אימייל ושמות משתמש של חברים ברשת למתקפת האקרים, כך מדווח איש אבטחת המידע הישראלי שלומי נרקולייב.

לדברי נרקולייב, פרצת האבטחה בפייסבוק מאפשרת לתוקף להריץ תוכנה שמסוגלת לאתר כתובות אימייל של המנויים ברשת. כך עובדת השיטה: מסך שחזור הסיסמה בפייסבוק דורש ציון חשבון אימייל, אם קיים חשבון כזה, אפליקציית הפייסבוק מאשרת כי נשלחה לכתובת האימייל בקשה לשחזור סיסמה. אם כתובת האימייל שגויה - או שאינה קיימת - לא מתקבל אישור כזה. כך, תוכנה אוטומטית שמריצה שמות אפשריים של כתובות מייל מסוגלת להבחין בין כתובות אימייל פעילות ובין כתובות שאינן פעילות, ולהשתמש ברשימת הכתובות הפעילות ליצירת מאגר כתובות מייל שיכול להיות שימושי לספאמרים.

מסך שחזור הסיסמה בפייסבוק. למעלה: הודעה במקרה שהכתובת אינה פעילה, למטה: אישור שחזור סיסמה לכתובת פעילה, צילום מסך: facebook.com מסך שחזור הסיסמה בפייסבוק. למעלה: הודעה במקרה שהכתובת אינה פעילה, למטה: אישור שחזור סיסמה לכתובת פעילה | צילום מסך: facebook.com מסך שחזור הסיסמה בפייסבוק. למעלה: הודעה במקרה שהכתובת אינה פעילה, למטה: אישור שחזור סיסמה לכתובת פעילה, צילום מסך: facebook.com

הפרצה השנייה מאפשרת להיכנס לחשבונות קיימים ברשת באמצעות שיטת פריצה מוכרת בשם "Brute Force". במקרה הזה, לדברי נרקולייב, לאחר שבידי התוקף קיימת רשימת כתובות אימייל פעילים ברשת פייסבוק, גם כאן ניתן באמצעות תוכנה פשוטה לנחש את סיסמת המשתמש: "התוכנה מריצה התקפה שמנסה לנחש את שם המשתמש באמצעות שימוש בסיסמאות נפוצות כמו '1111' או 'AAAA', ברגע שיש התאמה, יש לתוקף גישה לחשבון בפייסבוק". רוב האתרים הגדולים משתמשים במגנוני הגנה שונים כדי למנוע מבוטים אוטומטיים להריץ כתובות וסיסמאות, אך פייסבוק, אחד האתרים הגדולים והפופולריים בעולם, אינו עושה זאת.

לדברי נרקולייב, אפשר לחסום את הפרצות בדרך פשוטה של הוספת "captcha" - מבחן שמבקש מהמשתמש לזהות את המלל המעוות שבתמונה, וכך מבחין בין אדם לתוכנה אוטומטית (רובוט). צוות האבטחה של פייסבוק אישר לנרקולייב כי הוא מודע לקיומם של הפרצות וכי הוא עובד כעת על פתרון הבעיה. יחד עם זאת, נמסר כי פייסבוק אינה מתחייבת למועד מסוים שבו יתוקנו הפרצות. יש לציין כי בפייסבוק קיים מבחן capthcha, אולם כאמור - הוא אינו מותקן במסכי זיהוי המשתמש ושחזור הסיסמה.

captcha בפייסבוק. לא קיים במקומות הקריטיים, צילום מסך: facebook.com captcha בפייסבוק. לא קיים במקומות הקריטיים | צילום מסך: facebook.com captcha בפייסבוק. לא קיים במקומות הקריטיים, צילום מסך: facebook.com

תעשיית הספאמרים העולמית מגלגלת מאות מיליוני דולר מדי שנה בשוק השחור. ועל פי ההערכות, בפורומים מחתרתיים של ההאקרים נמכרים רשימות של כתובות אימייל בעשרות אלפי דולרים. הרשימות הללו משמשות עברייני רשת להפצת פרסומות וחלקם אף מכילים וירוסים וסוסים טרויאניים.

שתי פרצות האבטחה מאפיינות לא רק את הרשת הפופולרית פייסבוק אלא גם רשתות חברתיות אחרות כמו לינקדין, שגם היא אינה עושה שימוש במבחן ה-captcha.

שיתוף בטוויטר שיתוף בוואטסאפ שיתוף בפייסבוק שיתוף במייל

תגיות

16 תגובות לכתיבת תגובה לכתיבת תגובה

14.
מחירון לרשימת מיילים
כידוע לכולם, שוק הספאם מגלגל מאות מיליונים בכל שנה. המחירון נקבע לפי טריות הרשימות והאם המיילים בכלל פעילים. כ - 85% מהמיילים של משתמשים רשומים ברשתות חברתיות פעילים ואפילו מאוד. מי שלא מכיר את תחום ה - Organic traffic מוזמן לקרוא ב - Wikipedia. עקרונית ניתן לבנות אתר עם פרסומות, לשלוח לכל המיילים שאספנו מכל הרשתות החברתיות מייל עם קישור לאתר ומלל מגרה להקלה על הלינק וכבר עשינו כמה מאות אלפי דולרים ואחרי שבוע נעשה בטח את זה שוב רק עם טקסט אחר במייל :-) האקרים, תמהרו לפני שיספיקו לסגור את הפרצות.
אנטי-ספאמר , ירושלים  |  02.04.09
13.
פרצה קוראת לגנב
11 ו-12 אתם בכלל לא מבינים על מה אתם מדברים. מדובר פה על מיליונים. רק בפייסבוק קיימים 130 מיליון משתמשים. תכתוב בגוגל Black Market ותראה בכמה מוכרים רשימות של מיילים, אני לא מדבר כבר על זה שאפשר למכור את זה למשרדי פירסום. ספאמרים תמיד מנסים להגדיל את הרשימות שלהם ופייסבוק ורשתות חברתיות אחרות נותנים את האפשרות לספאמרים להגדיל אותם. שלומי, סחתיין על הגילוי, זוהי באמת פריצת דרך בתחום. אני חושב שצריך למחוק את תגובות 11 ו-12, הם מדברים מקנאה ויורדים על הכתבת. כל הכבוד - כתבה חזקה מאוד !! דרך אגב זה עשה גל חזק מאוד בארה"ב מי שלא יודע וכנראה מפטרים מישהו מפייסבוק בגלל שלא תיקנו את הפירצה בזמן.
HaCkEr , N.Y.  |  02.04.09
12.
ל9
אתה פשוט מגוחך, אתה משווה את ה"פרצת אבטחה" הכושלת הזאת ל SQL Injection? ב SQL Injection אתה בכלל לא צריך לנחש את האימייל, אתה פשוט שולף אותו עם SELECT לפי ה ID ומריץ לולאת FOR עם ביטוי רגולרי - זהו, יש לך את כל האימיילים של פייסבוק. ובוא אני אתן לך עצה, אל תזלזל בXSS, זה שכל מה שאתה יודע (במידה ואתה יודע) זה לגנוב עוגיות מסכנות - זה לא אומר שזה מה שזה, זה הרבה יותר מזה. אנשים יכולים לעשות עם זה עסקים אמיתיים? בוא נעשה ככה, אני מוציא לך DUMP של 500000 אימיילים מכל מדינה שתרצה בעולם - אתה תביא לי 1000 שקל, הולך? ואני לא מדבר על אימיילים שאני אצור עם תוכנה, אימיילים אמיתיים שאנשים משתמשים בהם. אני מתערב שיגמר לך הכסף לפני שיגמרו לי האימיילים, כל אתר הכי מסכן שמתאחסן באיזה חור לא מאובטח מכיל בסביבות ה20000 משתמשים, על מה אתה מדבר בכלל. מוכרים רשימות של 45000 אימיילים בדולר... אתה יודע כמה זמן יקח לו לנחש 45000 אימיילים בפייסבוק? ועוד הוא יצטרך לעבור דומיין דומיין.
-=M.o.B=- , cemetery, gate #666  |  30.03.09
לכל התגובות