$
אינטרנט

כך מסמכי טוויטר נחשפו לעולם

בלוג הטכנולוגיה טקראנץ' פירט את השתלשלות העניינים שהובילה לפרסום המסמכים המסווגים של הנהלת טוויטר. החדירה לג'ימייל של אחד מעובדי החברה היתה רק השלב הראשון

אבנר קשתן 13:1820.07.09

בלוג הטכנולוגיה טקראנץ' פרסם היום תיעוד מקיף על האמצעים שבהם השתמש ההאקר הצרפתי המכונה "האקר קרול" (Hacker Croll), שאחראי לגניבת המסמכים המסווגים של טוויטר בשבוע שעבר. קרול יצר קשר עם טקראנץ' ופירט את האמצעים שבאמצעותם הגיע למסמכים הסודיים, המכילים תוכניות עסקיות, תחשיבים כלכליים ומידע עסקי רגיש.

 

בשלב הראשון, ניגש קרול לחשבון הדואר האישי של אחד מעובדי החברה, שאוחסן בשירות ג'ימייל של גוגל. את הכתובת איתר קרול בקלות באמצעות חיפוש פשוט בגוגל. קרול השתמש במנגנון באתר המאפשר לאפס את סיסמת המשתמש על ידי שליחת הודעה לחשבון דואר משני. ג'ימייל לא מציגה את כתובת החשבון המשני, אבל מרמזים באתר הבין קרול שמדובר בכתובת בשירות הוטמייל של מיקרוסופט. עקב מדיניות השימוש של הוטמייל, המוחקת תיבות דואר שאינן בשימוש למשך כמה חודשים, גילה קרול שתיבת הדואר המשנית אינה קיימת עוד. הוא יצר את התיבה מחדש ואיפס את הסיסמה של חשבון הג'ימייל.

 

נקודת הכשל: שאננות

 

מאותה נקודה היתה לו גישה מלאה להודעות ולמסמכים המצורפים של אותו עובד. גישה זו שימש לו כמקפצה להמשך הפריצה. כמו משתמשים רבים, אותו עובד השתמש באותה סיסמה בג'ימייל האישי שלו ובחשבון דואר העסקי, שאוחסן על שירותי הדואר הארגוניים של גוגל, Google Apps for Domains. בתיבת הדואר הזו הוא מצא סיסמאות נוספות בתוך קבצים מצורפים, כולל סיסמאות של מייסדי טוויטר, אוון וויליאמס וביז סטון, מסמכים השמורים בשירות Google Docs, ואפילו פרטי כרטיסי האשראי של החברה, איתם הוא יכול לשנות את רישום שם המתחם twitter.com, למשל. כל זאת בלי שעובדי טוויטר ידעו על המתרחש.

 

כמו בפריצות מתוקשרות רבות, נקודת הכניסה למערכת לא היתה פגם טכני במערך האבטחה או שימוש בכלים מתוחכמים, אלא השאננות של המשתמשים. אפילו משתמשים בעלי ידע טכנולוגי רב שמודעים לסכנות שבאינטרנט חוטאים ברבים מהטעויות הללו. שימוש באותה סיסמה בכמה אתרים, שמירת סיסמאות ומידע רגיש בתיבת הדואר, קישור חשבונות משתמש לחשבון דואר שאינו קיים ושימוש בשאלת-תזכורת שאת תשובתה קל לנחש או לבדוק – כל אלה יאפשרו להאקר לקבל גישה מלאה לחיינו המקוונים.

 

קרול וטקראנץ' טוענים שהפריצה נעשתה ללא כוונות רווח או גרימת נזק. היא שמה דגש על הצורך בחידוד נוהלי האבטחה והאחריות האישית של עובדים בארגונים המאפשרים גישה מרוחקת למידע שלהם ומאחסנים מידע על גבי שירותי ענן ברשת.
בטל שלח
    לכל התגובות
    x