הפרצה בפייסבוק: לפורצים הייתה גישה גם לחשבונות בשירותים אחרים

אתמול חשפה פייסבוק שמתקפה נגדה ניצלה כשל טכני בקוד הרשת החברתית שאפשר לתוקפים להתחבר לחשבונותיהם של 50 מיליון משתמשים. התוקפים ניצלו פרצה בתכונת View As, שמאפשרת למשתמשים לראות איך אנשים אחרים רואים את הפרופיל שלהם, על מנת לגנוב את טוקן ההתחברות (מעין "מפתח דיגיטלי" שמייתר את הצורך להזין סיסמה כל פעם שפותחים את האפליקציה).

אחזקה בטוקן זה מאפשרת לתוקפים לקבל גישה מלאה לחשבון משתמש, גם בלי לדעת את הסיסמה שלו. בשיחת ועידה עם כתבים הודתה החברה שהטוקן אפשר גישה לא רק לפייסבוק עצמה, אלא גם לשירותים אחרים שעושים שימוש בפייסבוק לוגאין - כלי של הרשת החברתית שמאפשר להתחבר לשירותים אחרים באמצעות פרטי החיבור לפייסבוק בלי צורך להגדיר להם שם משתמש וסיסמה נפרדים. שירותים אלו כוללים אפליקציות פופולריות כמו ספוטיפיי, איירבנב וטינדר. כן ייתכן שחשבונות אינסטגרם של משתמשים היו גם הם בסיכון.

מנכ"ל פייסבוק מארק צוקרברג צילום: youtube

פייסבוק כבר ניטרלה את הפרצה ונקטה בצעדים הנדרשים כדי להגן על נפגעים פוטנציאלים באמצעות איפוס טוקני ההתחברות שלהם - מהלך שיחייב אותם להזין מחדש את הסיסמה בכניסה הבאה לאפליקציה. משתמשים לא צריכים לנקוט בשום פעולה אקטיבית, כולל שינוי סיסמה, כדי לאבטח את החשבון שלהם.

בהנחה שפייסבוק דוברת אמת בתיאורה את פרטי הפרשה, קשה מאוד לתלות בה אשם. שירותים גדולים כמו פייסבוק שעושים שימוש בקוד מורכב ומשתנה תדיר תמיד יהיו חשופים לפרצות אבטחה כתוצאה מכשלים בקוד שלהם. ופייסבוק היא מטרה מושכת במיוחד לאור הפופולריות שלה. שלושת הימים שעברו בין מועד גילוי הפרצה לחשיפתה ועדכון המשתמשים נחשבים לפרק זמן סביר במקרה זה. במיוחד בהשוואה לחברות אחרות, כמו יאהו שרק ב-2016 הודתה שב-2014 הצליחו האקרים לגנוב מידע אישי של חצי מיליארד משתמשים (ורק שנה אחר כך בישרה שכל 3 מיליארד לקוחות החברה נפלו קרבן למתקפה).

פייסבוק צריכה להישפט לא על עצם קיום הפרצה, אלא על השאלה האם עשתה מספיק כדי למנוע אותה, מהירות הגילוי שלה והתגובה שלה לגילוי זה. לגבי שתי הנקודות הראשונות אין עדיין די מידע, ואולם התגובה של החברה לגילוי הפרצה נראית, בשלב זה לפחות, יעילה, מהירה והולמת.