פרסום ראשון: פירצת אבטחה ב-Jdate חשפה את כל התמונות, גם אלו שנמחקו

אם נרשמתם פעם לאתר ההיכרות הפופולרי בכדי למצוא אהבה, יכול להיות שהתמונות שלכם, או של האהבה שלכם כבר נמצאות הרבה זמן בידיים אחרות. תחקיר

תמונה: צילומסך, עיבוד תמונה

תמונה: צילומסך, עיבוד תמונה

מי לא מכיר את אתר ההיכרויות JDate? כנראה שכולנו שמענו עליו במוקדם או במאוחר, אם ברדיו, בטלוויזיה, במדיה החברתית, בפרסומות באתרי אינטרנט ואיפה לא. מדובר באחד מאתרי ההיכרויות הפופולארים ביותר ברשת, אשר נוסד בשנת 1997 ומשרת למעלה מ-450 אלף חברים רשומים הממוקמים בארץ ובחו”ל.

אתרי הכרויות נוטים להכיל לרוב מידע אישי ותמונות פרטיות שרבים מהמשתמשים קנאים להם והיו מעדיפים שלא יצאו החוצה מעבר לשירות, אלא שפירצת אבטחה שגילינו לאחרונה ב-JDate מאפשרת לכל אדם, אפילו אם הוא לא בעל חשבון ב-JDate, לקבל גישה למגוון התמונות שהמשתמשים העלו אל האתר וחמור מכך – גישה מלאה גם אל התמונות שנמחקו על ידי המשתמשים.

כיצד זה אפשרי?

לאחר שאימתנו את נכונותה של פירצת האבטחה, החלטנו לפתוח חשבון באתר ההיכרויות JDate ומילאנו כרטיס אמיתי, בתשלום, עם פרטים נכונים ומדוייקים. לאחר מכן, בשיחה שערכנו מול אחת מנציגות התמיכה הטכנית באתר, ביקשנו לודא את מחיקת הכרטיס. נציגת השירות טענה בתוקף שהמנוי הוקפא, התמונה נמחקה ואינה קיימת יותר במאגר התמונות של JDate ואף ביצעה מספר פעולות נוספות למחיקת התמונה.

בתנאי השימוש של JDate המפורטים כאן, מצויין כי עם העלאת התמונות לשירות, המשתמשים למעשה מעניקים לחברה זכות קניינית מלאה ואפשרות להשתמש בהן כיצד שהם רוצים, כך שמצד החברה אין שום עבירה על החוק, אך מצד המשתמש, בהחלט יש מקום לדאגה, שכן התמונות נשארות במאגר התמונות של החברה גם לאחר שמבחינת המשתמשים, מחקו אותן.

מקור: צילום מסך, עיבוד תמונה

מקור: צילום מסך, עיבוד תמונה

בתום השיחה עם נציגת השירות פנינו לבדוק את פירצת האבטחה וגילינו כי על אף שהבטיחה שנמחקה מהמערכת, לנו ולכל אדם אחר היתה גישה חופשית אליה באמצעות הפריצה למאגר התמונות של החברה.

כל התמונות חשופות

על מנת לעשות שימוש בפירצה נכנסנו עם פרטי החשבון שפתחנו, המנוי ב-JDate אל אתר ההיכרויות והתחלנו לדפדף בכרטיסים של משתמשים שונים. בחרנו באקראי פרופיל של בחורה המנויה לשירות והחלטנו לבדוק את התמונות שלה.

מקור: צילום מסך, עיבוד תמונה

לחץ להגדלה. מקור: צילום מסך, עיבוד תמונה

תוך כדי קבלת הכתובת של התמונה עם שימוש מתאים בכלי ה-Inspect Element של דפדפן ה-Chrome, נתקלנו בכתובת המלאה של התמונה, המגיעה בפורמט של photos.sparksites.com/year/month/day/number/picnumber.jpg

מקור: צילום מסך, עיבוד תמונה

מקור: צילום מסך, עיבוד תמונה

פה חשדתי

נכנסנו אל הכתובת photos.sparksites.com בכדי לראות מה קורה, וקיבלנו את התוצאה הבאה:

מקור: צילום מסך, עיבוד תמונה

לחץ להגדלה. מקור: צילום מסך, עיבוד תמונה

מהרשומה הראשונה שמופיעה בקובץ ה-XML להלן, ניתן לראות שישנו פרמטר בשם Name המכיל את הערך sparkmemberphotos, כלומר שם החשבון (או בשפה של אמזון – Bucket) של החברה בשרתי אמזון. הערך תואם את שם חברת “Spark Networks” המפעילה את אתר JDate בישראל.

בשלב זה לקחנו את הערך sparkmemberphotos, והצבנו אותו בסאב הדומיין בשירותי הענן של אמזון (s3.amazonaws.com), מה שיצא זה sparkmemberphotos.s3.amazonaws.com.

לחץ להגדלה. מקור: צילום מסך, עיבוד תמונה

לחץ להגדלה. מקור: צילום מסך, עיבוד תמונה

למרבה הפלא, קיבלנו את אותה התוצאה: כלומר, בתוך הדומיין sparkmemberphotos.s3.amazonaws.com ניתן למצוא את שמות כל התמונות באתר JDate, על פי הפרמטרים השונים של התמונה:

  • Key – התאריך בה הועלתה התמונה.
  • LastModified – התאריך והשעה בה שונתה התמונה לאחרונה.
  • ETag – פרמטר ייחודי לכל תמונה (מבוסס md5).
  • Size – גודל התמונה (בבתים).
  • StorageClass – סוג האחסון, בדרך כלל Standard.

בטוחה, סודית ומאובטחת?

עוד גילינו, כי הכנסת ה-path של תמונה מסויימת לפרמטר marker מראה לנו את התמונות הבאות אחריו, אשר הועלו אל האתר בסדר כרונולוגי, בכמויות של 1,000 תמונות לכל דף xml. כלומר, באפשרותנו לגשת לכל הכתובות של כל התמונות באתר JDate החל מה-11 למרץ 2002 ואילך ולהוריד אותן ישירות אל המחשב.

לחץ להגדלה. מקור: צילום מסך, עיבוד תמונה

לחץ להגדלה. מקור: צילום מסך, עיבוד תמונה

מיותר לציין כי משתמשים בעלי ידע בתכנות אתרים, יכולים תוך מספר שעות לבנות סקריפט שיסרוק את כלל הקבצים, אחד אחרי השני תוך שימוש בפרמטר Marker ויקבל את הכתובות של כל התמונות באתר JDate, יוריד אותם למחשב ויאפשר להאקרים לעשות בהן שימוש כרצונם.

מקור: צילום מסך, עיבוד תמונה

בטוחה, סודית ומאובטחת? לא בטוח. מקור: צילום מסך, עיבוד תמונה

גם אם לא ניתן לזהות את המשתמש או לדעת באופן אוטומטי מהן כל התמונות השייכות לאותו המשתמש, עדיין ניתן להוריד את כל התמונות ולמיין אותן על פי טכנולוגיית זיהוי פנים כלשהי. עוד דרך, היא להיכנס לחיפוש התמונות של גוגל ולחפש תמונות דומות על פי התמונה. סביר להניח, כי עבור חלק מהמשתמשים התמונה ודרכי זיהוי התמונה ברשת יביאו לחשיפה חלקית של פרטי המשתמש. בנוסף, ניתן לשלוח בקשות API ישירות לשרת של JDate באמזון, ללא כל צורך בשימוש בסיסמא, מה שיכול להביא לרשימה ארוכה של סקריפטים המבצעים מניפולציות שונות על התמונות.

יש לציין כי גם לאחר מחיקת התמונה מחשבון המשתמש ב-JDate, התמונה המשיכה להופיע בכתובת ה-URL שלה, מה שאומר שמשתמש המעוניין למחוק את התמונה מהפרופיל שלו, אינו בהכרח מוחק את התמונה משירות הענן של אמזון. צילמתם תמונה מביכה והעליתם אותה אל השירות? יכול מאוד להיות שהאקרים, אשר גילו על דבר הפירצה לפנינו מחזיקים בתמונות הללו ועשו זאת ללא כל קושי.

התוצאה

סקריפט שנבנה ומשך את כל התמונות הציג לנו את התוצאה הבא, היישר לתוך תיקייה במחשב:

מקור: צילום מסך

מקור: צילום מסך

טרם פרסום הכתבה יצרנו קשר עם חברת Spark Networks המפעילה את שירות JDate ושיתפנו אותם עם פירצת האבטחה על מנת למנוע פגיעה במשתמשים ובפרטיותם. החברה הבטיחה לחסום במהירות את פירצת האבטחה ואנחנו הבטחנו שלא נפרסם אותה עד שיעשו כן. היום בבוקר חסמה החברה המפעילה את אתר JDate את הפירצה אך טרם העבירה לנו תגובה רשמית לידיעה.

[13:30] עדכון: מספר קוראים הפנו את תשומת ליבנו לכך שהפירצה טרם נחסמה באופן מוחלט על ידי החברה על אף שנמסר לנו כי תעשה כן.

אבישי בר

מנהל מוצר. מפתח Web ו-React Native, חולה גאדג'טים, הולך נגד הזרם ואוהב את כל מה שקשור לגוגל, לאנדרואיד ולקוד פתוח. עיסוקו העיקרי הוא לפרק לחלקים כל צעצוע חדש שמגיע למשרד ואז לכתוב עליו מדריך.

הגב

6 תגובות על "פרסום ראשון: פירצת אבטחה ב-Jdate חשפה את כל התמונות, גם אלו שנמחקו"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.

סידור לפי:   חדש | ישן | הכי מדורגים
אורח
Guest

הממ…
זה עדיין פתוח… #גאסטסיינג.

פשוט תורידו את הפרמטר ?marker
ותפנו כ uri שלם.

אלון
Guest

כל הכבוד על הכתבה,
ועל דרך הפעולה שלכם.

כנראה שפשוט צריך להבין:
אל תשים בשירות אינטרנט משהו שאתה לא רוצה שיהיה חשוף לכולם.

זה נכון בין אם זה אינטרסים של מפעילי השירות, או אוזלת ידם…

אבי
Guest

זלזול של מפתחים!

יש דרך פשוטה למנוע את הצגת הקבצים שנשמרים באמזון, ואמזון אפילו שולחים מייל (לפחות שלחו לי בעבר) במידה ומשאירים את ההרשאות פתוחות לצפייה בכל הקבצים.

ישראל
Guest

גם אחרי מחיקת התמונה הלינק נשאר.

לאון
Guest

wget והכול במשחב

אלון
Guest
wpDiscuz

תגיות לכתבה: