הפריצה לטוויטר מוכיחה: מחשוב ענן לא מספיק מאובטח

ביום שלישי האחרון קיבל מייקל ארינגטון, עורך הבלוג הטכנולוגי Techcrunch, לתיבת הדואר האלקטרוני שלו 300 מסמכים חסויים המתארים את האסטרטגיה של חברת המיקרו-בלוגינג Twitter. המסמכים הועברו לפרסום מהאקר המכונה Croll לאחר שפרץ לתיבת הדואר האלקטרוני של מנהל המוצר בחברה. מעבר להיבטים האתיים בתקיפה האחרונה, שעליהם בודאי ידובר עוד רבות, מדובר ביריית אזהרה למי שמשתמש או מתכוון להשתמש בשירותי “מחשוב הענן” אשר הפכו כל כך פופולאריים.

twitterbreachהבלוג Techcrunch פרסם כי ביום שלישי האחרון התקבלו לתיבת הדואר האלקטרוני שלו 300 מסמכים חסויים המתארים את האסטרטגיה של חברת המיקרו-בלוגינג Twitter. לאחר התלבטויות רבות ושיחות לתוך הלילה עם הגורמים השונים הוחלט לפרסם בבלוג חלק מהמסמכים. המידע המסווג הגיע בעקבות פריצה של חשבון הדואר האלקטרוני של אחד ממנהלי החברה.

זו לא הפעם הראשונה שבה נפרצים חשבונות של החברה. בינואר, האקר בשם GMZ פרץ לחשבון ה-Twitter של אחת מעובדות החברה. הוא אשר זאת באמצעות הקלדת שם המשתמש שלה וניחוש הסיסמא באמצעות תוכנה פשוטה המנחשת סיסמאות. הסיסמא אכן היתה פשוטה מהצפוי וכאשר הוא נכנס לחשבון, הוא גילה כי היא עובדת בשירותי התמיכה של החברה ויש לה הרשאות לשנות או למחוק משתמשים של השירות. בעקבות הפריצה, החברה ערכה סקר אבטחה מקיף, הסיקה את המסקנות ולכאורה סגרה את הפרצות. אך חברה כמו טוויטר, בעלת משתמשים כל כך רבים, צפוי שתהפך במהרה למטרה פוטנציאלית להאקרים.

בחודש אפריל, החברה נפגעה קשות מתולעת זדונית שהשתלטה על שמות משתמש שונים ושלחה בשמם הודעות שונות. התוכנה השתמשה בשמות שונים של כוכבים על מנת לגרום למשתמשים לראות את ההודעה, וכך נדבקו המשתמשים השונים.

גם ב-Newsgeek דווח בתחילת החודש על התוכנה הזדונית בשם koobface אשר השתלטה על שמות משתמש שונים. התולעת היא למעשה תוכנה זדונית המקבלת הוראות באמצעות שרת היוצר את ההודעות למשלוח. התולעת מסוגלת לחדור למחשבים ולגנוב מהם מידע או לשתול תוכנות זדוניות אחרות הפוגעות במחשבים. בעקבות המתקפה, החלה החברה לחסום משתמשים שונים, על מנת למנוע את התפשטות התולעת.

בחודש מאי דווח שוב על פריצה נוספת על-ידי האקר בשם Croll. לפי הדיווחים, Croll הצליח לפרוץ לחשבונות עובדים ב-Twitter ואף פרסם לכידות מסך של החשבון של ג’ייסון גולדמן, אחד ממנהלי המוצר בחברה. הפרסום הראשון של הפריצה דווח בפורום צרפתי בשם KORBEN בו גם נחשפו צילומי מסך של 13 מסמכים שונים.Croll סיפר אז בפורום הצרפתי כי הוא הצליח לחדור לתיבת הדואר האלקטרונית באמצעות איפוס הסיסמא לאחר שענה נכון על שאלת האיפוס הסודית, ושם מצא את הסיסמא לחשבון ה-Twitter. בבוקר של יום שני, קיבל גולדמן הודעה על כך שחשבון הדואר האלקטרוני שלו  בשירות של יאהו נפרץ. Croll פרסם כי מסמכים רבים נפלו לידיו, כגון חוזים של עובדים, לוחות הזמנים של המייסדים, תאריכי ראיונות עבודה של מועמדים חדשים, חשבונות טלפון ורישומי שיחות, רשימתה עובדים המלאה, נהלים הקשורים בהפעלת האזעקה בחברה, תחזיות פיננסיות,ההצעה לטלויזיית Twitter, הסכמים סודיים עם AOL, Dell, Ericsson ונוקיה, מספרי כרטיס אשראי, צילומי מסך של Gmail ושירות PayPal ועוד. מנהלי טוויטר אישרו את הפריצה והגדירו אותה בתחילה כמטרידה מאוד, אך לא היתה ודאות מה היה היקף המידע האמיתי, והתגובה התייחסה לכך שרוב המידע שנחשף הוא אישי אך לא על החברה.

יומיים לאחר הפריצה, הגיע כל החומר הלתיבת הדוא”ל של מייקל ארינגטון, עורך הבלוג Techcrunch ולאחר דין ודברים עם בעלי החברה, הוחלט לפרסם חלק מהמידע לקהל הרחב.

אוון ויליאמס, ממייסדי החברה, הגיב במכתב רשמי שפורסם ב-Techcrunch ובו הוא מאשר את קיום הפריצה, אך לטענתו לא נחשפו שום פרטים של משתמשים או חשבונות משתמש במערכת. כמו כן, טוען וויליאמס כי בשום שלב לא זכה הפורץ לגישה לחשבון הטוויטר האישי של ויליאמס ואין שום הוכחות כי הוא השיג גישה לחשבון המייל האישי שלו. מה שכן, ויליאמס מספר כי חשבון ה-Gmail של אישתו נפרץ והפורץ קיבל גישה למספר פרטים אישיים כולל מספרי כרטיס אשראי. כמו כן, הצליח הפורץ גם לפרוץ חשבונות אישיים נוספים של מספר עובדים בחברה בשירותי Amazon, AT&T ו-Paypal. רוב המידע שנחשף בפני הפורץ הינו פרטי ואישי בטיבו ואינו קשור לחברה. ויליאמס מציין כי המקרה מהווה שיעור חשוב עבור החברה והם נוקטים כעת מספר צעדים שיהפכו את האבטחה של המידע בטוויטר לגבוה יותר. אף על-פי כן, אומר ויליאמס כי הם לעולם לא יכולים להיות בטוחים מה גורל המידע שהם משתפים במייל ולכן הם הולכים להנחות את צוות העובדים לא להשתמש במייל על-מנת לשתף חומרים רגישים.

נראה כי החיסרון בלהיות סטארט-אפ כל כך פופולארי, הוא להפוך למטרת תקיפה שאי אפשר לעמוד בפניה. מעבר להיבטים האתיים בתקיפה האחרונה, שעליהם וודאי ידובר עוד רבות, מדובר ביריית אזהרה למי שמשתמש או מתכוון להשתמש בשירותי מחשוב העננים אשר הפכו כל כך פופולאריים בתקופה האחרונה ומצרפים משתמשים רבים. חברת Google קיבלה את סימן האזהרה הכי משמעותי שלה ותצטרך למצוא את הדרכים להגן על מנגנון שחזור הסיסמא, שבאמצעותו כנראה התבצעה הפריצה. בעיקר תצטרך החברה להראות כי ביכולתה להגן על מערכות שמירה ושיתוף מסמכים כמו Google Docs  והדואר האלקטרוני Gmail הפופולאריות ומחזיקות כמות מידע רבה על משתמשים וחברות בכל העולם.

כשל האבטחה המשמעותי ביותר במחשוב ענן הוא יכולת הגישה של גורמים מצד שלישי למידע שנמצא בתוך הענן. מכיוון שעכשיו הכל חשוף לעיני כל ולמחשבים שמחזיקים את המידע, כמו גם לתכתובות על המידע עצמו יש גישה דרך האינטרנט. יחד עם זאת, נראה כי המעבר לשימוש במחשוב עננים לא ייפסק, לשם העולם הטכנולוגי מכוון והולך. בתוך כל זה, מישהו יצטרך לחשוב על דרך לשמור על המידע בצורה טובה יותר, אך עדיין פרקטית- הרי אף אחד לא יגדיר סיסמאות שונות לגישה לכל שירות או אפליקציה בה הוא משתמש ברשת.

מערכת גיקטיים

גיקטיים, שהוקם בגלגולו הקודם כניוזגיק במרץ 2009, פונה לאנשי טכנולוגיה ואינטרנט בארץ הרוצים לקבל חדשות, עדכונים וכתבות בתחומים אלה בעברית. בנוסף לסיקור טכנולוגי לקח על עצמו גיקטיים לקדם את תעשיית ההיי טק בארץ.

הגב

5 Comments on "הפריצה לטוויטר מוכיחה: מחשוב ענן לא מספיק מאובטח"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
yanivh
Guest

מה קשור מחשוב ענן??
אתם אמורים להבין בטכנולוגיה, בגלל זה אני קורא את הבלוג הזה
למה לכתוב שטויות.
אם זה מחשוב שנן,אז כל שרות אונליין הוא מחשוב ענן,
כותרת לא קשורה בכלל!!

Moran Bar
Guest
חברות רבות משתמשות בשירותי מחשוב הענן, בין אם מדובר בג'ימייל – דרכו מעבירים גם תכתובות חסויות וקבצים סודיים או גוגל דוקס – שאליו מעלים מסמכים או תמונות .כך נוצר מצב בו כל מידע על משתמשים רבים מרוכז וזמין ברשת. שירותי חיפוש שמאנדקסים את מילות המפתח, מיילים המאפשרים לנו להעביר קבצים, ואפליקציות רשת כמו של אדומי או ג'ימייל – כולן מהוות חלק ממחשוב ענן- ומי שיפרוץ לענן מסוים יגיע להרבה יותר מידע מאשר לו היה פורץ לשרת שמוגבל לחברה מסוימת =לכן, בהסתמכות על שירותי ענן ועל אנונימיים שמאבטחים את המסמכים החשובים יש בעיה לא קלה, שעלתה לכותרות עם הפריצה למייל שסופרה… Read more »
אבי
Guest

מישהו מוכן להסביר לי מה הכוונה כשאומרים “מחשב ענן”?

גוגלון
Guest

לאבי
מחשב ענן,זהו מחשב שמשתמש ביכולת ההחזר של עננים נמוכים בכדי להעביר את התשדורת.
המחשב משדר דרך הווי פי שלו ואם אין חיבור אינטרנט אלחוטי בסביבה, אז ההחזר מהענן שבמקרה זה מתפקד כמו ראי גדול, מעביר את התשדורת לכיוון הקרקע, לחיבור האלחוטי הזמין ומשם זה מתחבר לרשת האינטרנט.
עדיין לא נמצא פתרון להעברת שידור ביום שמש בהיר ולכן הטכנולוגיה טובה בעיקר לארצות צפוניות עם עננים רבים.

נזיקין
Guest

האמריקאים תובעים על כל שטות. לכל פיפס יש טיפול של עו”ד ייעודי. נו, אנחנו ממתינים לאיזה תביעה ייצוגית של כמה מליונים כמו שהם אוהבים לנפח (ובסוף גם זוכים בתביעה).
חברה, הכי בטוח זה 2 גביעי אשל עם חוט, כמו בגן מזמן.

wpDiscuz

תגיות לכתבה: