פרסום ראשון: פירצת אבטחה ב-Jdate חשפה את כל התמונות, גם אלו שנמחקו
אם נרשמתם פעם לאתר ההיכרות הפופולרי בכדי למצוא אהבה, יכול להיות שהתמונות שלכם, או של האהבה שלכם כבר נמצאות הרבה זמן בידיים אחרות. תחקיר
מי לא מכיר את אתר ההיכרויות JDate? כנראה שכולנו שמענו עליו במוקדם או במאוחר, אם ברדיו, בטלוויזיה, במדיה החברתית, בפרסומות באתרי אינטרנט ואיפה לא. מדובר באחד מאתרי ההיכרויות הפופולארים ביותר ברשת, אשר נוסד בשנת 1997 ומשרת למעלה מ-450 אלף חברים רשומים הממוקמים בארץ ובחו”ל.
אתרי הכרויות נוטים להכיל לרוב מידע אישי ותמונות פרטיות שרבים מהמשתמשים קנאים להם והיו מעדיפים שלא יצאו החוצה מעבר לשירות, אלא שפירצת אבטחה שגילינו לאחרונה ב-JDate מאפשרת לכל אדם, אפילו אם הוא לא בעל חשבון ב-JDate, לקבל גישה למגוון התמונות שהמשתמשים העלו אל האתר וחמור מכך – גישה מלאה גם אל התמונות שנמחקו על ידי המשתמשים.
כיצד זה אפשרי?
לאחר שאימתנו את נכונותה של פירצת האבטחה, החלטנו לפתוח חשבון באתר ההיכרויות JDate ומילאנו כרטיס אמיתי, בתשלום, עם פרטים נכונים ומדוייקים. לאחר מכן, בשיחה שערכנו מול אחת מנציגות התמיכה הטכנית באתר, ביקשנו לודא את מחיקת הכרטיס. נציגת השירות טענה בתוקף שהמנוי הוקפא, התמונה נמחקה ואינה קיימת יותר במאגר התמונות של JDate ואף ביצעה מספר פעולות נוספות למחיקת התמונה.
בתנאי השימוש של JDate המפורטים כאן, מצויין כי עם העלאת התמונות לשירות, המשתמשים למעשה מעניקים לחברה זכות קניינית מלאה ואפשרות להשתמש בהן כיצד שהם רוצים, כך שמצד החברה אין שום עבירה על החוק, אך מצד המשתמש, בהחלט יש מקום לדאגה, שכן התמונות נשארות במאגר התמונות של החברה גם לאחר שמבחינת המשתמשים, מחקו אותן.
בתום השיחה עם נציגת השירות פנינו לבדוק את פירצת האבטחה וגילינו כי על אף שהבטיחה שנמחקה מהמערכת, לנו ולכל אדם אחר היתה גישה חופשית אליה באמצעות הפריצה למאגר התמונות של החברה.
כל התמונות חשופות
על מנת לעשות שימוש בפירצה נכנסנו עם פרטי החשבון שפתחנו, המנוי ב-JDate אל אתר ההיכרויות והתחלנו לדפדף בכרטיסים של משתמשים שונים. בחרנו באקראי פרופיל של בחורה המנויה לשירות והחלטנו לבדוק את התמונות שלה.
תוך כדי קבלת הכתובת של התמונה עם שימוש מתאים בכלי ה-Inspect Element של דפדפן ה-Chrome, נתקלנו בכתובת המלאה של התמונה, המגיעה בפורמט של photos.sparksites.com/year/month/day/number/picnumber.jpg
פה חשדתי
נכנסנו אל הכתובת photos.sparksites.com בכדי לראות מה קורה, וקיבלנו את התוצאה הבאה:
מהרשומה הראשונה שמופיעה בקובץ ה-XML להלן, ניתן לראות שישנו פרמטר בשם Name המכיל את הערך sparkmemberphotos, כלומר שם החשבון (או בשפה של אמזון – Bucket) של החברה בשרתי אמזון. הערך תואם את שם חברת “Spark Networks” המפעילה את אתר JDate בישראל.
בשלב זה לקחנו את הערך sparkmemberphotos, והצבנו אותו בסאב הדומיין בשירותי הענן של אמזון (s3.amazonaws.com), מה שיצא זה sparkmemberphotos.s3.amazonaws.com.
למרבה הפלא, קיבלנו את אותה התוצאה: כלומר, בתוך הדומיין sparkmemberphotos.s3.amazonaws.com ניתן למצוא את שמות כל התמונות באתר JDate, על פי הפרמטרים השונים של התמונה:
- Key – התאריך בה הועלתה התמונה.
- LastModified – התאריך והשעה בה שונתה התמונה לאחרונה.
- ETag – פרמטר ייחודי לכל תמונה (מבוסס md5).
- Size – גודל התמונה (בבתים).
- StorageClass – סוג האחסון, בדרך כלל Standard.
בטוחה, סודית ומאובטחת?
עוד גילינו, כי הכנסת ה-path של תמונה מסויימת לפרמטר marker מראה לנו את התמונות הבאות אחריו, אשר הועלו אל האתר בסדר כרונולוגי, בכמויות של 1,000 תמונות לכל דף xml. כלומר, באפשרותנו לגשת לכל הכתובות של כל התמונות באתר JDate החל מה-11 למרץ 2002 ואילך ולהוריד אותן ישירות אל המחשב.
מיותר לציין כי משתמשים בעלי ידע בתכנות אתרים, יכולים תוך מספר שעות לבנות סקריפט שיסרוק את כלל הקבצים, אחד אחרי השני תוך שימוש בפרמטר Marker ויקבל את הכתובות של כל התמונות באתר JDate, יוריד אותם למחשב ויאפשר להאקרים לעשות בהן שימוש כרצונם.
גם אם לא ניתן לזהות את המשתמש או לדעת באופן אוטומטי מהן כל התמונות השייכות לאותו המשתמש, עדיין ניתן להוריד את כל התמונות ולמיין אותן על פי טכנולוגיית זיהוי פנים כלשהי. עוד דרך, היא להיכנס לחיפוש התמונות של גוגל ולחפש תמונות דומות על פי התמונה. סביר להניח, כי עבור חלק מהמשתמשים התמונה ודרכי זיהוי התמונה ברשת יביאו לחשיפה חלקית של פרטי המשתמש. בנוסף, ניתן לשלוח בקשות API ישירות לשרת של JDate באמזון, ללא כל צורך בשימוש בסיסמא, מה שיכול להביא לרשימה ארוכה של סקריפטים המבצעים מניפולציות שונות על התמונות.
יש לציין כי גם לאחר מחיקת התמונה מחשבון המשתמש ב-JDate, התמונה המשיכה להופיע בכתובת ה-URL שלה, מה שאומר שמשתמש המעוניין למחוק את התמונה מהפרופיל שלו, אינו בהכרח מוחק את התמונה משירות הענן של אמזון. צילמתם תמונה מביכה והעליתם אותה אל השירות? יכול מאוד להיות שהאקרים, אשר גילו על דבר הפירצה לפנינו מחזיקים בתמונות הללו ועשו זאת ללא כל קושי.
התוצאה
סקריפט שנבנה ומשך את כל התמונות הציג לנו את התוצאה הבא, היישר לתוך תיקייה במחשב:
טרם פרסום הכתבה יצרנו קשר עם חברת Spark Networks המפעילה את שירות JDate ושיתפנו אותם עם פירצת האבטחה על מנת למנוע פגיעה במשתמשים ובפרטיותם. החברה הבטיחה לחסום במהירות את פירצת האבטחה ואנחנו הבטחנו שלא נפרסם אותה עד שיעשו כן. היום בבוקר חסמה החברה המפעילה את אתר JDate את הפירצה אך טרם העבירה לנו תגובה רשמית לידיעה.
[13:30] עדכון: מספר קוראים הפנו את תשומת ליבנו לכך שהפירצה טרם נחסמה באופן מוחלט על ידי החברה על אף שנמסר לנו כי תעשה כן.
הגב
6 תגובות על "פרסום ראשון: פירצת אבטחה ב-Jdate חשפה את כל התמונות, גם אלו שנמחקו"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
הממ…
זה עדיין פתוח… #גאסטסיינג.
פשוט תורידו את הפרמטר ?marker
ותפנו כ uri שלם.
כל הכבוד על הכתבה,
ועל דרך הפעולה שלכם.
כנראה שפשוט צריך להבין:
אל תשים בשירות אינטרנט משהו שאתה לא רוצה שיהיה חשוף לכולם.
זה נכון בין אם זה אינטרסים של מפעילי השירות, או אוזלת ידם…
זלזול של מפתחים!
יש דרך פשוטה למנוע את הצגת הקבצים שנשמרים באמזון, ואמזון אפילו שולחים מייל (לפחות שלחו לי בעבר) במידה ומשאירים את ההרשאות פתוחות לצפייה בכל הקבצים.
גם אחרי מחיקת התמונה הלינק נשאר.
wget והכול במשחב
http://docs.aws.amazon.com/AmazonS3/latest/dev/S3_QSAuth.html