לטוויטר שלי הרבה חורים

הפופולאריות של שירות המיקרובלוגינג בשנה האחרונה הופכת אותו לקרקע פוריה עבור פורצים ותוקפים. השבוע נחשפה פרצת אבטחה נוספת אשר נוצלה באמצעות קוד XSS והספיקה להגיע למעל ל-100 אלף משתמשים לפני שהחור התגלה וטופל. מה יהיה הסוף?

מוקדם יותר השבוע דיווחי מספר מומחי אבטחה על באג בשירות המיקרו-בלוגינג טוויטר המאפשר שימוש לא-מאושר בחשבונות האישיים של משתמשים בשירות. כפי הנראה, הבאג התגלה בעקבות ניצולו על ידי תולעת אשר מופיעה כידיעה כוזבת על “תאונה טרגית” שקרתה ללהקה פופולארית. הידיעה המקורית, אשר נכתבה בשפה בפורטוגזית, מכילה קישור המבטיח מידע נוסף על התאונה. במידה והמשתמשים לוחצים על הקישור בידיעה, נפתח עמוד חדש המוריד קוד ג’אווה סקריפט זדוני למחשב, המשתמש בחשבון הטוויטר של המשתמש על-מנת להמשיך ולפרסם את הידיעה הלאה.

על פי סטאפן טאנאסה, מומחה אבטחת מידע מחברת האנטי-וירוס הרוסית קספרסקי, פרצת האבטחה למעשה מבוססת על Cross Site Scripting אשר מאפשר לשירות חיצוני להשתמש ב-Cookie עם פרטי המשתמש בשביל לבצע פעולות באתר תחת שמו, כגון פרסום הודעות ושינוי פרטים. למעשה, הפירצה עצמה יכולה להיות מנוצלת רק באמצעות הדפדפן ועובדת רק כאשר המשתמש מחובר באמצעות הדפדפן לחשבון הטוויטר שלו. במידה והמשתמש מתנתק מהחיבור לטוויטר באמצעות הדפדפן (או שהוא עובד באמצעות אפליקציות צד-שלישי דוגמת Tweetdeck), הקוד הזדוני לא יכול לגשת ל-Cookie עם פרטי המשתמש ולא יכולה לבצע את פעולתה.

לאחר פרסום ההודעה על חשיפת הבעייה, הודיע טנסה כי הוא עובד במשותף עם החברה על-מנת להסיר את הקישורים שהופצו באמצעות מחשבים נגועים. מספר שעות לאחר מכן כבר פורסמה הודעה רשמית מצוות אבטחת המידע בטוויטר כי חור האבטחה נחסם ולא ניתן יהיה לנצלו יותר באמצעות שימוש בקוד הזדוני או בכלל.

על פי סטטיסטיקה משירות הקיצורים Bit.ly הקישור אל תוכנת הרושעה נלחץ יותר מ-116 אלף פעמים – אך מספר האנשים שסבלו מההתקפה הוא כנראה קטן בהרבה. נוסף על כך, העובדה שלבאג שנוצל על ידי תוכנת הרושעה יש דמיון מפתיע לבאג דומה שטוויטר תיקנו ביום שלפני התקרית, מעלה חשש גדול לגבי יכולות אבטחת המידע של החברה. זוהי עובדה מדאיגה במיוחד, בעיקר כאשר לוקחים בחשבון את מספר המשתמשים הגבוה בשירות – כ-105 מיליון משתמשים – ואת העובדה שמדובר במטרה מפתה ביותר עבור נוכלי רשת. אומנם הסוג המדובר של הקוד הזדוני אינו מסוגל לשנות את הסיסמא של המשתמש (מכיוון שהשירות דורש את הקשת הסיסמא הנוכחית כחלק מתהליך העדכון – נתון שאליו אין לרושעה גישה), אך היכולת לפרסם תחת שם של אדם אחר היא כבר סיבה מספקת לדאגה.

אור בוטון

גיק וגיימר מהסוג הישן שזוכר ימים טובים יותר. תושב קבע בכפר הגלובלי של הרשת ואובססיבי לגבי טכנולוגיה, חדשנות ותרבות רשת. בעל חיבה בלתי מובנת למציאות מדומה וכל הקשור בכך.

הגב

6 תגובות על "לטוויטר שלי הרבה חורים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
ארד אקיקוס
Guest

יש לי שני פתרונות פשוטים שיצמצמו את הכניסות לחשבון שלכם ב99%:
1. אל תתקינו אפליקציות מפגרות/תלחצו על קישורים שאתם לא מכירים
2. תקנו מק

רן בר-זיק
Guest

קניית מק גם תמנע התקנת אפליקציות מפגרות כי פשוט אין כאלו למק… ;-)

מור
Guest

ואם בכל זאת לחצנו על קישורים….. מה עושים במקרה כזה?

ים מסיקה
Guest

רוטינת אבטחה שגרתית – בדיקת וירוסים למקרה שקוד הורץ על המכונה, להחליף שם משתמש וסיסמה, והכל אמור להיות סביר.
*המקרים דווחו בבלוג שלי, אגב.

פרוייקה
Guest

מה הקשר למק ואנטי וירוס? הבעייה הינה באג בטוויטר. זה יכול לקרות לכל מי שגולש לטוויטר מהדפדפן.

ים מסיקה
Guest

אנטי וירוס עוזר לכל מקרה של הורדת תוכנה זדונית על ידי המשתמש בשוגג, ומומלצת תמיד כרשת בטחון.
הבעיה אכן הייתה פירצת XSS בטוויטר, וזה בהחלט לא יכול לקרות לכל מי שגולש לטוויטר מהדפדפן – משתמשי NoScript ודומיהם ואנשים שלא לוחצים על קישורים לא בטוחים לא ידבקו בוירוס.

wpDiscuz

תגיות לכתבה: