אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
כך מסמכי טוויטר נחשפו לעולם צילום מסך: twitter.com

כך מסמכי טוויטר נחשפו לעולם

בלוג הטכנולוגיה טקראנץ' פירט את השתלשלות העניינים שהובילה לפרסום המסמכים המסווגים של הנהלת טוויטר. החדירה לג'ימייל של אחד מעובדי החברה היתה רק השלב הראשון

20.07.2009, 13:18 | אבנר קשתן

בלוג הטכנולוגיה טקראנץ' פרסם היום תיעוד מקיף על האמצעים שבהם השתמש ההאקר הצרפתי המכונה "האקר קרול" (Hacker Croll), שאחראי לגניבת המסמכים המסווגים של טוויטר בשבוע שעבר. קרול יצר קשר עם טקראנץ' ופירט את האמצעים שבאמצעותם הגיע למסמכים הסודיים, המכילים תוכניות עסקיות, תחשיבים כלכליים ומידע עסקי רגיש.

מה היה כתוב שם תוכניותיה של טוויטר: מיליארד משתמשים עד 2013 בצעד שגרף ביקורת קשה, פרסם טקראנץ' מסמכים גנובים של טוויטר, המתארים את תוכניותיה השאפתניות של החברה. המטרה: להכניס יותר מ-1.5 מיליארד דולר בתוך 4 שנים ולהפוך ל"דופק של האינטרנט" יוסי גורביץ, 5 תגובותלכתבה המלאה

בשלב הראשון, ניגש קרול לחשבון הדואר האישי של אחד מעובדי החברה, שאוחסן בשירות ג'ימייל של גוגל. את הכתובת איתר קרול בקלות באמצעות חיפוש פשוט בגוגל. קרול השתמש במנגנון באתר המאפשר לאפס את סיסמת המשתמש על ידי שליחת הודעה לחשבון דואר משני. ג'ימייל לא מציגה את כתובת החשבון המשני, אבל מרמזים באתר הבין קרול שמדובר בכתובת בשירות הוטמייל של מיקרוסופט. עקב מדיניות השימוש של הוטמייל, המוחקת תיבות דואר שאינן בשימוש למשך כמה חודשים, גילה קרול שתיבת הדואר המשנית אינה קיימת עוד. הוא יצר את התיבה מחדש ואיפס את הסיסמה של חשבון הג'ימייל.

נקודת הכשל: שאננות

מאותה נקודה היתה לו גישה מלאה להודעות ולמסמכים המצורפים של אותו עובד. גישה זו שימש לו כמקפצה להמשך הפריצה. כמו משתמשים רבים, אותו עובד השתמש באותה סיסמה בג'ימייל האישי שלו ובחשבון דואר העסקי, שאוחסן על שירותי הדואר הארגוניים של גוגל, Google Apps for Domains. בתיבת הדואר הזו הוא מצא סיסמאות נוספות בתוך קבצים מצורפים, כולל סיסמאות של מייסדי טוויטר, אוון וויליאמס וביז סטון, מסמכים השמורים בשירות Google Docs, ואפילו פרטי כרטיסי האשראי של החברה, איתם הוא יכול לשנות את רישום שם המתחם twitter.com, למשל. כל זאת בלי שעובדי טוויטר ידעו על המתרחש.

כמו בפריצות מתוקשרות רבות, נקודת הכניסה למערכת לא היתה פגם טכני במערך האבטחה או שימוש בכלים מתוחכמים, אלא השאננות של המשתמשים. אפילו משתמשים בעלי ידע טכנולוגי רב שמודעים לסכנות שבאינטרנט חוטאים ברבים מהטעויות הללו. שימוש באותה סיסמה בכמה אתרים, שמירת סיסמאות ומידע רגיש בתיבת הדואר, קישור חשבונות משתמש לחשבון דואר שאינו קיים ושימוש בשאלת-תזכורת שאת תשובתה קל לנחש או לבדוק – כל אלה יאפשרו להאקר לקבל גישה מלאה לחיינו המקוונים.

קרול וטקראנץ' טוענים שהפריצה נעשתה ללא כוונות רווח או גרימת נזק. היא שמה דגש על הצורך בחידוד נוהלי האבטחה והאחריות האישית של עובדים בארגונים המאפשרים גישה מרוחקת למידע שלהם ומאחסנים מידע על גבי שירותי ענן ברשת.
שיתוף בטוויטר שיתוף בוואטסאפ שיתוף בפייסבוק שיתוף במייל

תגיות

8 תגובות לכתיבת תגובה לכתיבת תגובה

8.
רגע אני לא מבין
אם הוא איפס את סיסמת הג'ימייל של העובד, איך העובד לא שם לב מיד שהוא לא יכול להכנס לתיבה שלו??? הרי גוגל לא שולחים לך את הסיסמה הישנה אלא מאפשרים לך ליצור אחת חדשה. דבר שני, אם לעובד היו 2 חשבונות ג'ימייל אחד פרטי ואחד לעבודה, איך איפוס החשבון הפרטי עזר לו לפרוץ את התיבה של העבודה?
יהודי  |  23.07.09
7.
ל-1
הפאק של הוטמייל הוא שהם מוחקים תיבות ישנות. הפאק של ג'ימייל הוא שהם שומרים סיסמאות. הפאק (הראשון) של העובד הוא שהוא לא שם לב שיש לו תיבת דוא"ל ישנה שנמחקה. מצד שני, גם אם היה משנה את הסיסמה, היה יכול לחפש את המילה "password" בג'ימייל של העובד ולמצוא המון מיילים שבהם יש את אותה הסיסמה, כי יש שירותים מטומטמים ששולחים את הסיסמה בדוא"ל, למרות שזה פרוטוקול לא מאובטח מיסודו.
עומר  |  21.07.09
לכל התגובות