משתמשי פייסבוק חשופים למתקפת ספאמרים

שתי פרצות אבטחה קריטיות ברשת החברתית פייסבוק חושפות חשבונות אימייל ושמות משתמש של חברים ברשת למתקפת האקרים, כך מדווח איש אבטחת המידע הישראלי שלומי נרקולייב.

לדברי נרקולייב, פרצת האבטחה בפייסבוק מאפשרת לתוקף להריץ תוכנה שמסוגלת לאתר כתובות אימייל של המנויים ברשת. כך עובדת השיטה: מסך שחזור הסיסמה בפייסבוק דורש ציון חשבון אימייל, אם קיים חשבון כזה, אפליקציית הפייסבוק מאשרת כי נשלחה לכתובת האימייל בקשה לשחזור סיסמה. אם כתובת האימייל שגויה - או שאינה קיימת - לא מתקבל אישור כזה. כך, תוכנה אוטומטית שמריצה שמות אפשריים של כתובות מייל מסוגלת להבחין בין כתובות אימייל פעילות ובין כתובות שאינן פעילות, ולהשתמש ברשימת הכתובות הפעילות ליצירת מאגר כתובות מייל שיכול להיות שימושי לספאמרים.

מסך שחזור הסיסמה בפייסבוק. למעלה: הודעה במקרה שהכתובת אינה פעילה, למטה: אישור שחזור סיסמה לכתובת פעילה צילום מסך: facebook.com

הפרצה השנייה מאפשרת להיכנס לחשבונות קיימים ברשת באמצעות שיטת פריצה מוכרת בשם "Brute Force". במקרה הזה, לדברי נרקולייב, לאחר שבידי התוקף קיימת רשימת כתובות אימייל פעילים ברשת פייסבוק, גם כאן ניתן באמצעות תוכנה פשוטה לנחש את סיסמת המשתמש: "התוכנה מריצה התקפה שמנסה לנחש את שם המשתמש באמצעות שימוש בסיסמאות נפוצות כמו '1111' או 'AAAA', ברגע שיש התאמה, יש לתוקף גישה לחשבון בפייסבוק". רוב האתרים הגדולים משתמשים במגנוני הגנה שונים כדי למנוע מבוטים אוטומטיים להריץ כתובות וסיסמאות, אך פייסבוק, אחד האתרים הגדולים והפופולריים בעולם, אינו עושה זאת.

לדברי נרקולייב, אפשר לחסום את הפרצות בדרך פשוטה של הוספת "captcha" - מבחן שמבקש מהמשתמש לזהות את המלל המעוות שבתמונה, וכך מבחין בין אדם לתוכנה אוטומטית (רובוט). צוות האבטחה של פייסבוק אישר לנרקולייב כי הוא מודע לקיומם של הפרצות וכי הוא עובד כעת על פתרון הבעיה. יחד עם זאת, נמסר כי פייסבוק אינה מתחייבת למועד מסוים שבו יתוקנו הפרצות. יש לציין כי בפייסבוק קיים מבחן capthcha, אולם כאמור - הוא אינו מותקן במסכי זיהוי המשתמש ושחזור הסיסמה.

captcha בפייסבוק. לא קיים במקומות הקריטיים צילום מסך: facebook.com