האקר מדגים כיצד ניתן לפרוץ בקלות לחשבון ה-Fiverr שלכם

מומחה אבטחה גילה ב-Fiverr פרצה שמאפשרת לכל אחד להשתלט לכם על החשבון. מה שבעיקר מטריד הוא הפשטות והמהירות של השיטה, כפי שניתן לראות בוידאו המצורף

 

ברקע: הסקריפט לפריצה. מקור: עיבוד תמונה

ברקע: הסקריפט לפריצה. מקור: עיבוד תמונה

חברת הסטארטאפ הישראלית Fiverr עלתה לכותרות לאחרונה, כאשר השלימה סבב גיוס שלישי מרשים בגובה 30 מיליון דולר. אולם אחרי החדשות הטובות הללו, נדמה שמגיעות לחברה ולמשתמשיה בשורות קצת פחות טובות: מומחה אבטחת מידע מצרי חשף פרצת אבטחה בשירותי החברה, שמאפשרת לכל אחד להשתלט, ודי בקלות, על חשבון של כל משתמש Fiverr.

שיטת פריצה פשוטה מאוד אבל יעילה מאוד

שיטת ה-Cross-Site Request Forgery או בקיצור CSRF הינה שיטה שכיחה יחסית שגורמת לדפדפן של המותקף לשלוח בקשות http לאתר אליו הוא מחובר ובו הוא מזוהה, דוגמת אתרי בנקים, כרטיסי אשראי או אתרי סחר אלקטרוניים. הבקשות, שנשלחות בשם הקורבן וללא ידיעתו כמובן יכולות להיות שינוי פרטים, החלפת סיסמה, העברת כספים, מחיקת חשבון וכו. כל שעל התוקף לעשות הוא לגרום לקורבן ללחוץ על לינק שיקבל, שיפעיל סקריפט.

מומחה האבטחה המצרי, מוחמד עבדלבאסט, חשף את קיומה של פרצה שכזו ב-Fiverr ואף תיעד את תהליך הפריצה בוידאו. שיטת הפעולה כוללת איתור קורבן; שליחה של לינק ללחיצה באמתלה כלשהי; לאחר שהקורבן לוחץ על הלינק, הסקריפט שהפעיל, מבלי שהוא יודע כמובן, משנה את כתובת המייל שרשומה במערכות של Fiverr לזו שבחר מראש התוקף. כמובן שמדובר בכתובת מייל שנפתחה במיוחד לצורך הפריצה; לאחר מכן, התוקף מבקש מהמערכת של Fiverr לאפס את הסיסמה (“שכחתי סיסמה”), ותוך שניות הוא מקבל הוראות לאיפוס הסיסמה למייל החדש שהזין. לאחר שאופסה הסיסמה, התוקף בוחר סיסמה חדשה ומכאן, החשבון כבר נתון לשליטתו המלאה והבלעדית. על פי מומחה האבטחה, מרגע שהחשבון עבר לבעלות התוקף, האחרון יכול לגנוב את הקרדיט של הקורבן.

Fiverr הוקמה ב-2010 על ידי שי וינינגר ומיכה קאופמן. מאז הספיקה החברה לגייס 50 מיליון דולר בשלושה סבבי גיוס מ-Bessemer Venture, Accel Partners ו-Qumra Capital. באתר רשומים יותר מ-1.7 מיליון משתמשים, מ-200 מדינות, שמעלים למערכת כ-4,000 גיגים (הצעות לשירותים) שונים מדי יום. לחברה משרדים בתל אביב ובניו יורק.

Fiverr: “אין כאן סיפור, הבעיה תוקנה”

מיכה קאופמן, מנכ”ל ומייסד Fiverr, מסר בתגובה לגיקטיים: “אין כאן סיפור והבעייה שדווחה תוקנה כבר”. על פי קאופמן, הם לא קיבלו פניות מיוחדות או תלונות של משתמשים, שחשבונם נפרץ לאחרונה; אולם גם אם חשבונו של משתמש כלשהו אכן נפרץ, לא נגרם לו נזק ממשי, משום שאין קשר למערכת החיוב והסליקה. בנוסף, מסביר קאופמן שכמו כל החברות הגדולות, גם Fiverr מתגמלת האקרים שגילו פרצות אבטחה.

צפו בתיעוד של הפריצה (אזהרה: מוסיקת רקע מזעזעת, מומלץ לצפות ב-Mute):

יניב אביטל

עורך אתר גיקטיים, ובזמנו החופשי גיק, קופירייטר, אבא, חולה על גאדג'טים וקוד, לא בהכרח בסדר הזה

הגב

3 תגובות על "האקר מדגים כיצד ניתן לפרוץ בקלות לחשבון ה-Fiverr שלכם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
רותם
Guest

לא יודע מה אתה מקשקש, אחלה מוזיקה

eli
Guest

למישהו יש את השם של הטראק ברקע?

יהושפט הקטנטן
Guest

מוזיקה אחלה

wpDiscuz

תגיות לכתבה:

נותרו עוד
00
ימים
:
00
שעות
:
00
דקות
:
00
שניות
לכנס המפתחים הגדול בישראל