תוך 10 דקות: פרצת האבטחה החמורה של אינסטגרם. shutterstock

תוך 10 דקות: פרצת האבטחה החמורה של אינסטגרם

התגלתה פרצת אבטחה באינסטגרם המאפשרת על ידי שלושה שלבים פשוטים, לחדור ולפרוץ לחשבונו של כל משתמש תוך 10 דקות בלבד

הרשתות החברתיות מהוות חלק בלתי נפרד מחיינו, ניתן אף להגזים ולומר כי הרשתות החברתיות כיום מקבילות ליומנים האישיים של דאז. כל השיחות שלנו, התמונות שלנו, ולעיתים אף המידע האישי שלנו, נמצאים שם, לעיני כל מי שברשותו הפרטים. לאחרונה התגלתה פרצת אבטחה חמורה באינסטגרם, המעניקה גישה לחשבונות האישיים של כלל המשתמשים על ידי שלושה שלבים פשוטים. 

עוד בערוץ הדיגיטל של פרוגי:

איפוס סיסמא, בקשת קוד שחזור ומשחק ניחושים זריז הם כל מה שדרוש על מנת לקבל גישה לכל חשבון נבחר באינסטגרם. בעת קבלת קוד השחזור עומדות לרשות המבקש בה 10 דקות לנחש את כל הצירופים האפשריים בני שש ספרות, בתקווה לנסות ולנחש את הצירוף הנכון. על פניו, נראה כי הסיכויים לנחש את הצירוף הנכון מתוך מיליון צירופים אפשריים קלושים ביותר. אולם פרצת אבטחה זו, שהתגלתה על ידי חוקר אבטחת המידע לקסמן מותי'אה, מוכיחה כי בעלות סמלית, כל אדם יכול לנחש את הצירוף הנכון. פרצה זו הובילה את מותי'אה לערוך מחקר על מנת להבין ולדעת את גבולות פרצת האבטחה ואת דפוסי הפעולה שלה. 

INSTAGRAM, אינסטגרם
INSTAGRAM, אינסטגרם © GettyImages

כל מחשב מחזיק בכתובת IP אשר ייחודית רק לו, ניתן להתייחס לכתובת זו כמעין תעודת הזהות של המחשב. לאחר שמותי'אה גילה כי ישנו חלון הזדמנויות של 200 ניסיונות עד שתחסם האופצייה לנחש צירופים נוספים, רצה מותי'אה לבדוק את גבולותיה של מגבלה זו ולגלות מהו הטריגר שינעל את כניסתם של צירופים נוספים. מותי'אה רצה לבדוק אם כל 200 הניסיונות חייבות להיעשה מאותו חשבון עד שתחסם האפשרות, או שמא מאותו מחשב. הוא רצה לבחון שני תרחישים: בתרחיש הראשון הוא רצה לבדוק מה יפעיל את החסימה של הניסיון ה-200 אם ייקח 201 מחשבים וכולם מכתובות IP ("תעודות זהות") שונות כאשר כל מחשב ינסה צירוף אחד בלבד. במקביל, רצה מותי'אה לבחון תרחיש נוסף: אם ברשותו 201 מחשבים וכל אחד מבצע את מירב הניסיונות האפשריות, האם כל הניסיונות יסתכמו לסך הכל של 40,200 ניסיונות? על מנת לבחון מצבים אלו, ערך את ניסיונות הכניסה עם 1000 כתובות IP שונות.

תוצאות הניסוי אינן היו מזהירות במיוחד. במסגרת מחקרו, הצליח מותי'אה לבצע 200,000 קומבינציות אפשריות מבלי שייחסם. במידה והניסוי היה נערך עם 5000 כתובות IP, כמות הקומבינוציות האפשריות הייתה מסתכמת למיליון ובכך הייתה מבטיחה את פיצוח הקוד. אם שואלים אתם כיצד למישהו יכולה להיות גישה ל-5000 כתובות IP, התשובה היא פשוטה מאוד, אמזון וגוגל מאפשרות שירות מסוג זה עבור עלות סמלית של כ-150 דולר ובכך תוך 10 דקות, יכול כל אדם, ללא הגבלה כלשהיא לפרוץ לחשבונו של כל אדם שנפשו חפצה בו.

© צילום מסך מיוטיוב

אמיר כרמי, מנהל טכנולוגיות בחברת אבטחת המידע ESET בישראל מציין: "חשוב שכל מה שקשור לשחזור סיסמה, יוגדר דרך אימות דו שלבי בטלפון ודרך כתובת מייל חלופית. במידה שהחשבון שלנו ייפרץ באמצעות באגים שעדיין אינם מוכרים ומנוצלים ע"י עבריינים זה יוכל לעזור לביטחון החשבון". חשוב להבין כי עם התקדמות הטכנולוגיה, כך מתקדמות טכניקות הפריצה השונות ויש לנקוט את מירב אמצעי הבטיחות על מנת לשמור על המידע שלנו ועל פרטיותנו.

פייסבוק הודתה לחוקר לקסמן מות'יאה, שילמה לו 30,000 דולר וטיפלה בפרצה. ככל הנראה השינוי הוא שמספר הניסיונות ייספר לפי החשבון שנפרץ ולא לפי כתובת ה-IP של המחשב הפורץ, וכך יהיו בוודאות 200 ניסיונות לכל היותר.

 
תגובות