נחשפו פרצות אבטחה בשירותי אחסון, שסיכנו רבבות אתרים בישראל

פרצות אבטחה חמורות אצל חמישה ספקי אחסון בינלאומיים פופולריים יכולות לאפשר לתוקפים להשתלט על עשרות מיליוני אתרים שמאוחסנים אצל אותן חברות, ביניהם עשרות אלפי אתרים ישראלים - כך לפי בדיקה נרחבת שביצע אתר Website Planet.

וובסייט פלאנט הוא אתר ביקורות עצמאי שסוקר שירותי אחסון מכל העולם. כחלק מכתיבת הביקורת על שירותי אחסון פופולריים, האתר בודק עמידות לפריצות ואבטחה באופן כללי. לצורך הבדיקה הנוכחית, צוות חוקרים בראשות מומחה הסייבר פאולוס יבלו בחר חמישה ספקי אחסון גדולים – Bluehost, Dreamhost, HostGator, OVH ו-iPage – שפופולריים במיוחד בקרב מפעילי אתרים עצמאיים ועסקים קטנים ובינוניים, ובדק את עמידותם למתקפות רשת. "למרבה הצער, מצאנו לפחות פרצת אבטחה אחת בכל הפלטפורמות שבדקנו, שמאפשרת לתוקפים להשתלט על חשבונות משתמש כשהקרבן מקליק על קישור או מבקר באתר זדוני", כתב יבלו. כל הפרצות דווחו לספקים טרם פרסומן בתקשורת.

לדברי OVH, בשרתים שלהם מאוחסנים 18 מיליון אתרים, כאשר לפי הערכות כל אחד מהשירותים האחרים מאחסן כעשרה מיליון אתרים נוספים לפחות. הפרצות גם מעמידות בסיכון אתרים מקומיים. "ישראלים הקוראים את המחקר עלולים לחשוב שמדובר בחברות אמריקאיות שאין להן נגיעה בישראל, אך למעשה כמעט עשרה אחוזים מהאתרים הישראלים (בעלי סיומת .co.il) מאוחסנים בחברות שנבדקו והתגלו כפרוצות במחקר", מסר יבלו לכלכליסט.

בבלוהוסט איתרו החוקרים ארבע פרצות שונות. אחת מהן קשורה להגדרות שגויות של פרוטוקול שיתוף משאבים פנימי, שהביאה לחשיפת מידע אישי של משתמשים כמו שם, מיקום ומספר טלפון ומידע חלקי של פרטי תשלום כתאריך תפוגה וארבע ספרות אחרונות של כרטיס אשראי (מידע בעייתי במיוחד, שכן הוא יכול לשמש לגניבת זהות המשתמש מול נותני שירות מגוונים). כן נחשפו טוקנים שיכולים לספק לתוקפים גישה לאתרים מבוססי וורדפרס או כאלו שעושים שימוש בכלי האבטחה של SiteLock, ומאוחסנים בבלוהוסט.

פרצה אחרת אפשרה לתוקפים לשנות את כתובת המייל בחשבון הבלוהוסט של המשתמש לאיזו כתובת שיבחרו, מה שמאפשר להם להוציא לדרך תהליך איפוס סיסמה ולהשתלט לחלוטין על החשבון, אם המשתמש מקליק על קישור לאתר זדוני.

בדרימהוסט, זוהתה פרצה שמאפשרת לתוקפים לשנות את כתובת המייל או את הסיסמה של המשתמש כאשר הוא מבקר באתר זדוני. פרצה מסוג אחר ב-HostGator וב-OVH יכולה לאפשר לתוקפים לשנות את כל פרופיל המשתמש של הקרבן, כולל כתובת המייל והמידע האישי שלו.

ב-iPage זיהו החוקרים כשל משונה בעמוד עדכון הסיסמה של חשבון המשתמש. בעת החלפת סיסמה, לא נדרש המשתמש להזין את הסיסמה העדכנית ולא נוצר לבקשה טוקן מזהה ייחודי. לדבריהם, כשל זה יכול לאפשר לתוקפים לשנות את הסיסמה בקלות, וכך להשתלט למעשה על חשבון המשתמש והאתר של הקרבן. פרטים טכניים מלאים על הפרצות השונות אפשר למצוא בקישור זה.

"מבין חמש ספקי האחסון שבדקנו, גילינו שלכולם ניתן לפרוץ בקלות", סיכם יבלו. "המשמעות היא שלא משנה באיזה ספק אחסון אתה נעזר, משתמשים תמיד צריכים לנקוט בצעדים נוספים כדי להגדיל את אבטחת האתר שלהם".

עורכי המחקר הציגו את הממצאים לחברות האחסון השונות. ב-Dreamhost הודו להם על איתור הפרצות. "אנחנו מפיצים תיקון שימנע את ניצול הפרצה, ועושים מאמצים להגדיל את האבטחה ולנקות את הקלט שמתקבל מנקודות הקצה שלנו", נמסר. מ-Endurance International Group, שמפעילה את המותגים Bluehost, iPage ו-HostGator, נמסר: "אחרי ניתוח פנימי של המידע על הפריצות, נקטנו בצעדים הנדרשים כדי לתקן אותן".