$
  • חיפוש
שירות לקוחות מינוי דיגיטלי מינוי לעיתון כלכליסט ביוטיוב ניוזלטר
אינטרנט
כלכליסט-טק גיימריסט הקברניט IT מכשירים ומדריכים הייטק והון סיכון יומנו של סטארט-אפיסט TechTalk מוסף מרץ 2022 תחבורת המחר הסטארטאפים המבטיחים 2023 הסטארט-אפים המבטיחים 22 יוניסטרים 2022 Tech@Work יוניסטרים 2023 קוקיז על חלל CES2023 שוברת קודים דו"ח טכנולוגי פטנטים וקניין רוחני הייטק בפקקים WallTech
RSS  RSS כלכליסט-טק|לרשימת כל ה-RSS

כך מסמכי טוויטר נחשפו לעולם

בלוג הטכנולוגיה טקראנץ' פירט את השתלשלות העניינים שהובילה לפרסום המסמכים המסווגים של הנהלת טוויטר. החדירה לג'ימייל של אחד מעובדי החברה היתה רק השלב הראשון

אבנר קשתן 13:1820.07.09
תגיות:

בלוג הטכנולוגיה טקראנץ' פרסם היום תיעוד מקיף על האמצעים שבהם השתמש ההאקר הצרפתי המכונה "האקר קרול" (Hacker Croll), שאחראי לגניבת המסמכים המסווגים של טוויטר בשבוע שעבר. קרול יצר קשר עם טקראנץ' ופירט את האמצעים שבאמצעותם הגיע למסמכים הסודיים, המכילים תוכניות עסקיות, תחשיבים כלכליים ומידע עסקי רגיש.

מה היה כתוב שם תוכניותיה של טוויטר: מיליארד משתמשים עד 2013 בצעד שגרף ביקורת קשה, פרסם טקראנץ' מסמכים גנובים של טוויטר, המתארים את תוכניותיה השאפתניות של החברה. המטרה: להכניס יותר מ-1.5 מיליארד דולר בתוך 4 שנים ולהפוך ל"דופק של האינטרנט" יוסי גורביץ, 5 תגובות לכתבה המלאה 

 

בשלב הראשון, ניגש קרול לחשבון הדואר האישי של אחד מעובדי החברה, שאוחסן בשירות ג'ימייל של גוגל. את הכתובת איתר קרול בקלות באמצעות חיפוש פשוט בגוגל. קרול השתמש במנגנון באתר המאפשר לאפס את סיסמת המשתמש על ידי שליחת הודעה לחשבון דואר משני. ג'ימייל לא מציגה את כתובת החשבון המשני, אבל מרמזים באתר הבין קרול שמדובר בכתובת בשירות הוטמייל של מיקרוסופט. עקב מדיניות השימוש של הוטמייל, המוחקת תיבות דואר שאינן בשימוש למשך כמה חודשים, גילה קרול שתיבת הדואר המשנית אינה קיימת עוד. הוא יצר את התיבה מחדש ואיפס את הסיסמה של חשבון הג'ימייל.

 

נקודת הכשל: שאננות

 

מאותה נקודה היתה לו גישה מלאה להודעות ולמסמכים המצורפים של אותו עובד. גישה זו שימש לו כמקפצה להמשך הפריצה. כמו משתמשים רבים, אותו עובד השתמש באותה סיסמה בג'ימייל האישי שלו ובחשבון דואר העסקי, שאוחסן על שירותי הדואר הארגוניים של גוגל, Google Apps for Domains. בתיבת הדואר הזו הוא מצא סיסמאות נוספות בתוך קבצים מצורפים, כולל סיסמאות של מייסדי טוויטר, אוון וויליאמס וביז סטון, מסמכים השמורים בשירות Google Docs, ואפילו פרטי כרטיסי האשראי של החברה, איתם הוא יכול לשנות את רישום שם המתחם twitter.com, למשל. כל זאת בלי שעובדי טוויטר ידעו על המתרחש.

 

כמו בפריצות מתוקשרות רבות, נקודת הכניסה למערכת לא היתה פגם טכני במערך האבטחה או שימוש בכלים מתוחכמים, אלא השאננות של המשתמשים. אפילו משתמשים בעלי ידע טכנולוגי רב שמודעים לסכנות שבאינטרנט חוטאים ברבים מהטעויות הללו. שימוש באותה סיסמה בכמה אתרים, שמירת סיסמאות ומידע רגיש בתיבת הדואר, קישור חשבונות משתמש לחשבון דואר שאינו קיים ושימוש בשאלת-תזכורת שאת תשובתה קל לנחש או לבדוק – כל אלה יאפשרו להאקר לקבל גישה מלאה לחיינו המקוונים.

 

קרול וטקראנץ' טוענים שהפריצה נעשתה ללא כוונות רווח או גרימת נזק. היא שמה דגש על הצורך בחידוד נוהלי האבטחה והאחריות האישית של עובדים בארגונים המאפשרים גישה מרוחקת למידע שלהם ומאחסנים מידע על גבי שירותי ענן ברשת.
בטל שלח
    לכל התגובות
    עקוב אחר כל השווקים ב-TradingView
    x