נער ישראלי מצא פרצת אבטחה בווטסאפ וקיבל פרס
תלמיד תיכון ישראלי הצליח להגיע לפרצת אבטחה באפליקציית הווטסאפ, דיווח עליה לחברת האם שלה, פייסבוק, וקיבל על כך פרס
יובל שפרינץ, תלמיד תיכון ממושב צורית במשגב, גילה לאחרונה פרצת אבטחה באפליקציית המסרים וואטסאפ. הוא דיווח על הפרצה לפייסבוק (שוואטסאפ בבעלותה), וזו תיקנה את הפרצה ואף העניקה לו פרס כספי של 1,250 דולר.
עוד בערוץ הדיגיטל של פרוגי:
- 8 שנים לאחר שהצילו סנאי / הוא עדיין בא לבקר כל יום
- האמן שמשלב כמה אובייקטים לתמונה אחת
- כובשת את הרשת: החתולה עם הפרצוף העצבני
שפרינץ בן ה-17, תלמיד כיתה י"ב, שוקד על תואר במדעי המחשב באוניברסיטת חיפה ומשתתף בתוכנית "אלפא" במכון דוידסון לחינוך מדעי במכון ויצמן למדע, המיועדת לנערים ולנערות מחוננים. "התחלתי להתעניין באבטחת מידע כבר מגיל צעיר, ואת הכול למדתי בעצמי דרך האינטרנט", הוא אומר.
לפני כמה חודשים עבד יובל על הכנת כלי תוכנה שיוכל לאחד בין שתי קבוצות וואטסאפ. במהלך העבודה הוא נכנס לנבכי הקוד של וואטסאפ־ווב, שפועל על גבי הדפדפן במחשב. "שיחקתי קצת עם הפונקציות וניסיתי לעשות איתן משהו מגניב", הוא מספר. כך הוא מצא בסופו של דבר פרצת אבטחה בוואטסאפ, שמאפשרת להוסיף לקבוצה מספרי טלפון "מזויפים" - כאלה שכלל לא מייצגים חשבון וואטסאפ.
יובל גילה כי בעקבות אותה פרצה כל משתמש יכול תאורטית לצרף לקבוצות וואטסאפ משתמשים אחרים ואמיתיים לגמרי כאוות נפשו (בניגוד למצב הקיים, שבו רק מנהל קבוצת וואטסאפ יכול להוסיף משתמשים חדשים) ולהוסיף אפילו משתמשים שנחסמו בעבר בקבוצה. תוצאה נוספת של הפרצה היא שהיה אפשר להוסיף לקבוצות משתמשים מזויפים בעלי מספר טלפון ארוך במיוחד - מה שגרם לקריסת אפליקציית וואטסאפ בסמארטפונים מסוימים.
בסוף ספטמבר פנה יובל לפייסבוק באמצעות "באג באונטי", תוכנית המאפשרת לחוקרים ולאנשי אבטחה עצמאיים לדווח לפייסבוק על בעיות אבטחה ולקבל מענקים כספיים בתמורה, ושלח את פרטי הפרצה לנציגי החברה. אומנם נדרשו לנציגי פייסבוק כמה שבועות להגיב, אבל לבסוף הוציאה פייסבוק תיקון לבעיה וסגרה את הפרצה. נציג החברה הודה ליובל, החמיא לו על הממצא ובישר שיוענקו לו 1,250 דולר כפרס.
ומה הוא יעשה עם הכסף? "קניתי לאחרונה מחשב חדש וחזק - אז המענק יכול לעזור מאוד", משיב יובל.
מפייסבוק נמסר בתגובה לynet: "אנו אסירי תודה שהעניין הובא לתשומת ליבנו. תיקנו במהירות את הנושא והענקנו פרס לחוקר באמצעות תוכנית הבאג באונטי שלנו. הפגיע?ת שהוא מצא הייתה עלולה לאפשר למישהו להוסיף מספר חסום לצ'אט קבוצתי. טיפלנו בנושא, ולא ידוע לנו על ניסיונות קודמים לנצל אותה".
|
|