$
אינטרנט

פרצת אבטחה בפייסבוק איפשרה גניבת מידע אישי דרך הדפדפן

אתר פייסבוק כלל חולשה שאיפשרה למפעילי אתרים אחרים לשתות ממנו מידע משתמשים, על ידי תמרון טכניקה מקובלת להצגת תוכן של אתר אחד באתר אחר. הפירצה, שנחשפה בידי אימפרבה הישראלית, תוקנה - אך לא ידוע איזה מידע נגנב דרכה ובאילו סדרי גודל

רפאל קאהאן 13:2214.11.18

פרצה חמורה בפייסבוק, שאיפשרה לאתרים לשאוב מידע מפרופילים של משתמשים, אותרה ונסגרה - כך עולה ממחקר של חברת הסייבר הישראלית אימפרבה.

 

 

הפרצה התבססה על טכניקה שנקראת מתקפת CSRF ואיפשרה לאתר לבצע חיפוש ברשת החברתית ולמשוך מידע מהפרופיל של המשתמש, כשהאתר היה פתוח בחלון גלישה בדפדפן.

 

ליקוי משמעותי, שמשפיע גם על אתרים אחרים ליקוי משמעותי, שמשפיע גם על אתרים אחרים צילום: משאטרסטוק

 

 

הפירצה איפשרה שימוש ב-IFRAME, טכניקה להצגת תוכן של אתר אחד בתוך עמוד של אתר אחר, כדי לרמות את פייסבוק ולמשוך מידע.

 

בין השאר, יכלו מפעילי האתרים להשיג כך מידע אישי כלייקים שביצע הגולש, רשימת חברים שלו ופרטים אישיים פומביים. בנוסף, ניתן היה לבצע חיפוש חברים בחיתוכים שונים כגון שם או דת. הפרצה דווחה לפייסבוק עוד במאי, והיא נסגרה. ואולם, לא ידוע כמה זמן היתה קיימת, אילו גורמים ניצלו אותה ובאיזה היקף.

 

 

 

הפירצה הזו אינה ייחודית לפייסבוק, וקיימת באתרים רבים אחרים. פייסבוק נבדלת מהם בהיותה אוצר בלום של מידע אישי, חומר סחיר ומבוקש בקרב פושעי האינטרנט. הפיתרון עבורה צריך להגיע מצד מפתחי הדפדפנים, שצריכים להקשיח את ההפרדה בין אתרים במהלך גלישה.

בטל שלח
    לכל התגובות
    x