פגם חדש במספר רשתות חברתיות ובאתרים המאפשרים כניסה באמצעות חשבונות קיימים מאפשר לפורצים גישה לחשבונות של משתמשים תמימים
חוקרים ישראלים מצוות ה-X-Force של חברת IBM העולמית מצאו פגם חדש שמאפשר לכל אחד גישה לכמעט כל חשבון התומך בכניסה באמצעות רשת חברתית, פגם שהחוקרים קראו לו "SpoofedMe". מאז עלייתן של רשתות חברתיות באינטרנט, מנגנון ההתחברות דרך משתמש חיצוני באחת מרשתות אלה נועד להקל על המשתמש ולפתור אותו מלזכור את כל פרטי ההתחברות (אימייל, סיסמה ושם משתמש) למספר אתרים שונים.
מנגון זה אולי מקל עלינו והופך את תהליך ההתחברות לאתרים מגוונים לבעיה של העבר, אך מחקר חדש מציג את הבעיה החדשה שנוצרה בעקבות המנגון הזה – כניסה שלא באישור אל חשבונות של משתמשים. המחקר, שנעשה על ידי החוקרים אור פלס ורועי חי מצוות ה-X-Force של IBM, מציג לנו דרך אחת (לפחות), שבה כל משתמש יכול להיכנס לכמעט כל חשבון באתר שתומך בכניסה באמצעות רשת חברתית, בתנאי שלאותו משתמש יש את כתובת האימייל של הקורבן.
בכדי להבין יותר את הסיטואציה, נגדיר את החלקים השונים שבפריצה:
הפורץ: המשתמש שמנסה להיכנס אל חשבון שאינו שלו
הקורבן: בעל החשבון שאליו הפורץ מנסה להיכנס
אתר המטרה: האתר בו מאוחסן החשבון של הקורבן בעזרת האימייל האישי שלו (שנקבע בתור אימייל X)
הרשת החברתית: הרשת החברתית בה אין לקורבן משתמש אך הפורץ פותח אחד באמצעות אימייל X של הקורבן מאתר המטרה (רשתות כמו +Facebook, LinkedIn, Google וכו)
שלב ראשון – בשלב ההכנה של לפני הכניסה לחשבון, על הפורץ להיות בעל כתובת האימייל של הקורבן שאל חשבונו הוא מתכנן להיכנס, ללא הצורך להכניס את סיסמתו הפרטית. על הפורץ להירשם לרשת חברתית בה לקורבן אין חשבון קיים עם האימייל בו הוא משתמש להיכנס אל החשבון, או במקרה שלנו אימייל X. רוב הרשתות החברתיות דורשות אימות על ידי אימייל לחשבון האימייל איתו נעשתה ההרשמה, ופה בא הפגם הראשון.
שלב שני – ללא כל אימות של האימייל (אימייל X) איתו נפתח החשבון החדש ברשת החברתית, הפורץ עובר אל אתר המטרה ובו חשבון המטרה של הקורבן, ובאפשרויות התחברות למשתמשים, הפורץ בוחר את הרשת החברתית בה הוא פתח משתמש עם האימייל של הקורבן.
שלב שלישי – אתר המטרה יפנה את הפורץ אל האתר של הרשת החברתית אליו הוא נרשם מספר רגעים לפני כן, וללא הצורך באימות החשבון באמצעות האימייל של הקורבן (ובהינתן אישור לקישור חשבון הרשת החברתית עם החשבון שבאתר המטרה), יופנה הפורץ בחזרה אל אתר המטרה. החשבון של הקורבן לא רק ייקשר אל החשבון המזוייף ברשת החברתית שפתח הפורץ, אלא תינתן לפורץ גישה רגילה לחשבון של הקורבן באתר המטרה, שוב, ללא כל הכנסת סיסמה או פרטים מזהים אחרים (חוץ מאימייל) שנדרשים בכדי להיכנס לחשבון.
https://www.youtube.com/watch?v=kC0s3S00Dmk
סרטון הדגמה של הפגם בתהליך הכניסה לחשבון באמצעות התחברות דרך רשת חברתית
הפגם, שהציג את פניו במספר מקומות בהם החוקרים ניסו את השיטה (כמו הרשת החברתית LinkedIn, אתר הקמעונאות Amazon ושירות ההתחברות MYDIGIPASS), הוא בהחלט עניין רציני שמשפיע על מליוני משתמשים וחשבונות. עם השחרור של פרטי המחקר והתוצאות המדאיגות שלו, אנחנו מקווים כי רשתות חברתיות, בנוסף לאתרים המאפשרים התחברות באמצעות אותן רשתות יאבטחו את מנגנון ההתחברות הזה, בשבילנו.