פייסבוק: פרצת אבטחה אפשרה השתלטות על 50 מיליון חשבונות
לפי הודעה שפרסמה הרשת החברתית, התוקפים ניצלו פרצה בתכונת View As כדי לאפשר להם לגנוב את טוקן ההתחברות; החברה מדריכה כיצד להתחבר מחדש לחשבונות שנפגעו, וכן ל-40 מיליון חשבונות נוספים שייתכן שהיו חשופים לפרצה
מתקפה נגד פייסבוק ניצלה כשל טכני בקוד הרשת החברתית שאפשר לתוקפים להתחבר לחשבונותיהם של 50 מיליון משתמשים, כך הודיעה הערב (ו') החברה. לדברי פייסבוק, בשלב זה לא ידוע האם החשבונות או פרטי משתמשים נפגעו בפועל.המייסד והמנכ"ל מארק צוקרברג אמר שהחברה מטפלת בפרצה, שהתגלתה ביום שלישי השבוע, "באופן רציני". בעקבות ההודעה, רושמת מניית הרשת החברתית ירידה של 3% במסחר בוול סטריט.
- תמונה קשה: מייסדי אינסטגרם עזבו בזעם את פייסבוק
- "מכרתי את הפרטיות של המשתמשים שלי": מייסד ווטסאפ מכה על חטא
- צוקרברג בעט את מייסדי אינסטגרם בדרך אל הכסף הגדול
לפי הודעה שפרסמה הרשת החברתית, התוקפים ניצלו פרצה בתכונת View As, שמאפשרת למשתמשים לראות איך אנשים אחרים רואים את הפרופיל שלהם. "זה אפשר להם לגנוב את טוקן ההתחברות, מה שמאפשר להם להשתלט על החשבונות של הקרבנות", אמר סגן נשיא לניהול מוצר בפייסבוק, גיא רוזן, "טוקן התחברות שווה ערך למפתח דיגיטלי שמייתר את הצורך להזין סיסמה כל פעם שפותחים את האפליקציה".
פייסבוק נקטה בכמה צעדים בתגובה לזיהוי המתקפה. ראשית, תיקנה את הפרצה והודיעה על המתקפה לרשויות החוק. שנית, החברה איפסה את טוקן ההתחברות של 50 מיליון המשתמשים שנפגעו. "אנחנו גם נוקטים בצעדים לאפס טוקני התחברות של עוד 40 מיליון חשבונות שנצפו באמצעות תכונת View As", הוסיף רוזן. "כתוצאה, כ-90 מיליון חשבונות יצטרכו להזין מחדש סיסמה כדי להיכנס לפייסבוק או לאפליקציות שעושות שימוש בפייסבוק לוגאין. אחרי הכניסה, הם יראו הודעה בראש הניוז פיד שמסבירה מה קרה". כמו כן, פייסבוק כיבתה זמנית את התכונה בזמן שהיא מבצעת בדיקת אבטחה.
איך זה קרה?
המתקפה ניצלה אינטראקציה מורכבת של משתנים רבים בקוד פייסבוק. הפרצה היא תוצאה של שינויים שעשתה החברה ביולי 2017 בכלי העלאת הווידיאו, שהשפיעו על View As. לפי החברה, התוקפים היו צריכים לא רק לאתר את הפרצה ולהשתמש בה כדי לקבל גישה לטוקן, אלא גם למנף זאת לחשבונות אחרים כדי לגנוב טוקנים נוספים.
"מכיוון שרק התחלנו את החקירה, אנחנו לא קבענו עדיין האם נעשה שימוש לרעה בחשבונות אלו או אם נגנב מהם מידע", הסביר רוזן. "אנחנו גם לא יודעים מי מאחורי המתקפות האלו או מאיפה הן בוצעו. אנחנו עובדים קשה כדי להבין טוב יותר את הפרטים. אם נמצא חשבונות נוספים, מיד נאפס את טוקני ההתחברות שלהם".
צוקרברג הוסיף בפוסט שפרסם בעמוד הפייסבוק שלו כי"אנחנו מתמודדים עם איומים קבועים מאנשים שרוצים להשתלט על חשבונות או לגנוב מידע. אני שמח שזיהינו את המתקפה, תיקנו את הפרצה ואבטחנו את החשבונות שבסכנה, אבל המציאות היא שאנחנו צריכים להמשיך בפיתוח כלים חדשים שימנעו מתקפות כאלו מראש. אנחנו ממשיכים לחקור את הנושא".
פרצות אבטחה מסוג זה הן אמנם לא עניין של מה בכך, אבל חלק מקבוע מאורך החיים המקוון. בעידן שבו שירותים מקוונים עושים שימוש בקודי תוכנה מורכבים וארוכים כמעט בלתי-אפשרי לחסום לחלוטין פרצה ומתקפה מכל סוג. האחריות של חברות כמו פייסבוק היא לא למנוע מראש כל מתקפה אפשרית – דרישה בלתי סבירה בעליל – אלא לעשות כל שביכולתן כדי למנוע מתקפות כאלו, וכאשר הן מזהות אותן להגיב להן מהר וביעילות ככל האפשר תוך שמירה על שקיפות מרבית. פייסבוק צריכה להישפט לפי מדדים אלו, ולא בעצם כישלונה למנוע את המתקפה.