חברת האבטחה מקאפי שכחה לאבטח את עצמה

סנדלר הולך יחף. שורה של חורי אבטחה נתגלו באתרי האינטרנט השונים של חברת האבטחה McAfee ואיפשרו, בין השאר, גישה למידע חסוי על חשבונות משתמשים ב-McAfee וביצוע התקפות XSS המאפשרות גניבת מידע והחדרת קודים זדוניים למשתמשים במסווה של הורדות לגיטימיות מהאתר של McAfee.

מקור: skeptikal.org

מקור: skeptikal.org

הסנדלר הולך יחף. אתר ReadWriteWeb מדווח על שורה של חורי אבטחה באתרי האינטרנט השונים של חברת האבטחה McAfee אשר איפשרו, בין השאר, גישה למידע חסוי על חשבונות משתמשים ב-McAfee וביצוע התקפות XSS המאפשרות גניבת מידע והחדרת קודים זדוניים למשתמשים במסווה של הורדות לגיטימיות מהאתר של McAfee. אחת הדרכים המקוריות שניתן לנצל את הפרצה היא לגרום למחשבי המשתמשים להוריד ולהריץ קודים זדוניים בצורה אוטומטית כאשר הם חושבים שהם בכלל מעדכנים את תוכנת האנטי-וירוס שלהם. באופן אירוני למדי, אחד האתרים שהיה חשוף למתקפה היא האתר של McAfee Secure אשר אמור לסרוק אתרים של לקוחות ולדווח על חורי אבטחה מהסוג שנתגלה באתר. זה גורם לנו לתהות האם McAfee לא מריצה את המערכת שלה על האתרים של עצמה או שהמערכת שלה בכלל לא עושה את העבודה שלה כמו שצריך.

על-מנת ליפול קורבן למתקפת Cross-Site Scripting וחשיפת המחשב למתקפה, על המשתמש להיות מחובר לחשבון המשתמש שלו ב-McAfee ולבצע סריקה של אתר אינטרנט אשר מממש את המתקפה המדוברת בקוד שלו. מייק ביילי כתב בבלוג Skeptikal.org כי בעיית האבטחה שנתגלתה באתרים של החברה מצביעה על כך ש-McAfee איננה עומדת ברגולוציות של ה-PCI אשר דורשות מכל יצרני מנועי הסריקה לעבוד בשיטת פיתוח מאובטחת (SDL) ולבצע בדיקות חדירות יסודיות לאתרים המספקים את השירות.

האתר ReadWriteWeb הרחיק לכת קצת יותר ואף פרסם סרטון קצר ב-YouTube אשר מדגים ניצול של החור לצורך שתילת תמונה באתר של McAfee.

חברת McAfee איננה הראשונה שנופלת קורבן לבעיות אבטחה באתרי שלה. רק בחודש שעבר דיווח אתר The Register על מתקפת Cross-Site Scripting באתר של חברת Symantec ולפני כחודשיים טען אתר רומני כי הוא השתמש בכלי Cross-Site ו-SQL Injections כדי לפרוץ לאתרים של F-Secure, Kaspersky ו-BitDefender.

דובר חברת McAfee, ג’וריס אוורס, הודיע אתמול בשעה מאוחרת בלילה כי רוב החורים שדווחו, תוקנו לאלתר וחלק אחד שנמצא שנמצא בטיפול, הורד כרגע מהאתר עד לתיקונו. לדבריו סוגים כאלה של פגיעויות לרוב אינן מנוצלות במציאות ולכן ההבעייה שנתגלתה איננה כמורה כמו שעושים ממנה. כמו כן, אף אחת מהפגיעויות לא חשפה מידע רגיש על החברה ואנשי החברה לא מצאו עדויות לניצול ממשי של חורי האבטחה המדוברים. אוורס ממשיך וגורס כי לחברה יש מדיניות מאוד נוקשה בכל הנוגע לאבטחת האתרים שלה והם כרגע חוקרים כיצד נעלמו להם חורי האבטחה מעיניהם של העובדים שהיו ממונים לבדוק את הדברים הללו.

לנו זה נשמע כמו תירוץ. זה בסדר לעשות טעויות מידי פעם. זה אמנם מביך להיות חברת אבטחה ולעשות טעות בדברים שעלולים להשפיע על ה-Core Business של החברה, אבל אני הייתי מצפה מחברה שעשתה טעות להגיד “טעות, טעינו, טועים, למדנו, נתקן” ולעשות את זה כמו שצריך.

יניב פלדמן

צ’יף-גיק ועורך ראשי. יזם, סטטיסטיקאי חובב, טכנולוג בדם, בעל תואר ראשון במנהל עסקים ו-Microsoft MVP בתחום אבטחת מידע. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

4 Comments on "חברת האבטחה מקאפי שכחה לאבטח את עצמה"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
Hacker
Guest

פעם שנייה לגנוב מבלוג אחר מידע זה לא יפה

yanivf
Guest

אין כאן שום גניבה. הפוסט נכתב באישור ReadWriteWeb והם קיבלו קרדיט מלא כמקור הידיעה כחלק מהפוסט עצמו.

Hacker
Guest

נראה לי שאתה מספיק בוגר להבין למה אני מתכוון ואם לא חבל

Status0
Guest

אך.. ילדים. HACKER. תקשיב, מה שאני אוהב באתר הזה שזה ממכרז לי כתבות פה. כל כתבה פה אני יכול למצוא 1000 וריאציות באתרים שונים. המידע לא כנתב בלעדי פה על טכנולוגיה. והיופי שאני לא צריך לפתוח 1000 אתרים בכדי לראות דברים חדשים.
עם המידע העתק או לא, משתמש קצה (אני) לא מעניין אותי. אני צרכן מידע.

wpDiscuz

תגיות לכתבה: