אינטרנט ישראל
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
ראשי » חדשות אינטרנט » פרצת אבטחת מידע חשפה מידע רגיש של קשת (ערוץ 12)

פרצת אבטחת מידע חשפה מידע רגיש של קשת (ערוץ 12)

רן בר-זיק פברואר 11, 2018 1:19 pm 12 תגובות

לפעמים כל מה שצריך כדי לחשוף את כל הארגון שלך הוא קישור לא נכון

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.

עולם אבטחת המידע הוא עולם קצת מוזר, בקצה העליון שלו אפשר למצוא חוקרים מתוחכמים שעוסקים בפרצות מחוכמות, בהנדסה מורכבת ובאלגוריתמיקה מסובכת להפליא. מהצד השני אפשר למצוא חבורה של משתמשים שפשוט חושפים ומסכנים את עצמם במה שאי אפשר שלא להגדיר אותו כטפשות מוחלטת.

והפעם? הפעם קשת הצליחה לחשוף את כל הססמאות של המיילים שלה במסמך אחד לעיני כל. וכשאני מתכוון לעיני כל אני מתכוון לפרסום בדף פייסבוק בולט.

יניב הרוש, פנה אלי וסיפר לי שבעמוד של תוכנית הטראש ׳אופירה וברקו׳ הפופולרית הופיע סטטוס שהזמין את הגולשים לקרוא על הזוגיות החדשה של הזמר ועבריין המס אייל גולן. מי שהעז ללחוץ על הקישור, גילה לתדהמתו שבמקום להיות מופנה לוידוי ״מרתק״ על זוגתו החדשה של הזמר, הוא מופנה למסמך פנימי של ההפקה בגוגל דוקס.

סטטוס הפייסבוק שהפנה את הגולשים למסמך במקום לוידוי הלוהט
סטטוס הפייסבוק שהפנה את הגולשים למסמך במקום לוידוי הלוהט

גוגל דוקס, למי שלא יודע, זו החלופה של חברת גוגל למעבד התמלילים וורד מבית מיקרוסופט. מדובר בשירות המאפשר ליצור מסמכים ברשת שנשמרים בגוגל דרייב. גוגל דוקס גם מאפשר לשתף את המסמך. או עם אנשים ספציפיים (באמצעות חשבון גוגל) או באמצעות קישור. כשאני יוצר קישור פומבי למסמך – כל מי שיש לו את הקישור יכול להכנס, לצפות בתוכנו ואם הגדרתי את הכל כמו שצריך: לערוך אותו.

מה שקרה הוא שעובד ההפקה שהיה אחראי על פרסום הסטטוס פרסם קישור למסמך בטעות וכך אלפי גולשים נחשפו אליו. המסמך הוא מסמך פנימי של ההפקה שהיה בו מידע לגבי האייטמים המתוכננים וכו׳. מה שעוד היה בו הוא מידע נרחב על כל חשבונות המייל של קשת כולל מיילים.

המיילים שנחשפו במסמך - חלק מהם
המיילים שנחשפו במסמך – חלק מהם

ברגע שבקשת קלטו את גודל הבושה, הם ערכו את הסטטוס. אך לאחר מכן הם לא חסמו את המסמך והוא נותר פתוח במשך זמן רב (עשרות דקות) עד שהתחלתי לצעוק על כך בקבוצת ה-ITC (קבוצת ווטסאפ של אנשי טכנולוגיה ועיתונאים). עד אז, הגולשים כמובן עטו על השלל כמוצאי שלל רב. לא ברור בשלב זה כמה חשבונות נפרצו (אם בכלל) ואם התוכן שהיה בהם נגנב. מה שכן, אפשר לצאת מנקודת הנחה שהם נפרצו וייתכן שכל המידע שהיה בהם נשאב.

כניסה לחשבון מייל כזה, גם אם הסיסמה ידועה, נחשבת כעבירת מחשב. בכל מקרה, מן הסתם לא נכנסתי על מנת לראות אם במייל של עובדה (למשל)יש תכתובות רגישות של מקורות. יש סיכוי סביר שכל המיילים שנשלחו לתיבות הדואר האלו כבר דלפו הלאה. ולתוכניות תחקירים חשובות זה עלול להיות מאוד בעייתי אם במיילים האלו היה מידע של מקורות. יש גם סיכוי גבוה שהססמאות האלו היו לדפים/חשבונות פייסבוק/חשבונות ג׳ימייל של המנחים עצמם.

בנוסף, היו במסמך שמות משתמש וססמאות למחשבים באולפן עצמו שאיפשרו גישה והשתלטות.

ללא ספק יום חג לכל קראקר. יום בעייתי למנהלי אבטחת המידע של קשת.

הכשל האבטחתי כאן הוא לא בחשיפת הלינק. טעויות אנוש יכולות לקרות. הכשל כאן הוא שימוש בג׳ימייל באופן לא תקין, בחוסר מדיניות לניהול ססמאות ואבטחת מידע. גם בארגון שלי משתמשים בג׳ימייל. ועדיין לכל משתמש יש הגדרה משלו, מופעלת אבטחה דו שלבית ובטח ובטח יש איסור חמור למסור ססמאות או לאחסן אותן על גבי מסמך טקסטואלי כלשהו. מי שרוצה לשמור ססמאות נדרש להשתמש במנהל ססמאות.

רני עינב ציין שמעיון בסטטיסטיקה של קישור הביט.לי (זמין באמצעות הקלדת הקישור https://bitly.com/2ExUbpH ואז + אחריו), אפשר לראות ש-80 גולשים נכנסו למסמך הזה. באופן אישי ראיתי שכמה וכמה סימנו והעתיקו אותו. כנראה לשם הפצה.

תגובות ומידע נוסף יפורסם בהמשך.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.
אבטחת מידע חדשות אינטרנט

12 תגובות

  1. מוישה סוכמיר הגב פברואר 11, 2018 בשעה 1:48 pm

    המלצה למנהל סיסמאות בטוח שלא ייפרץ גם הוא?

    • רן בר-זיק הגב פברואר 11, 2018 בשעה 2:13 pm

      האמת? קטונתי. אני לא משתמש במנהל ססמאות אלא זוכר. יש לא מעט ארגונים שמשתמשים ב LastPass אנטרפרייז.

  2. גלעד הגב פברואר 11, 2018 בשעה 3:13 pm

    למוישה – PasswordSafe
    גם בקוד פתוח
    גם תומך בזיהוי דו שלבי עם יוביקי

  3. שׁימי הגב פברואר 11, 2018 בשעה 4:56 pm

    אתם לא מבינים שהאייטם הרציני כאן הוא ש-80 איש אשכרה נכנסו ללינק עם וידוי של __________ קטינות??

    • לא יכול לומר הגב פברואר 11, 2018 בשעה 6:18 pm

      צודק.

  4. מיכל הגב פברואר 11, 2018 בשעה 5:33 pm

    כיצד ניתן להצטרף לקבוצת ה-ITC?

  5. רוסקי פרוסקי בלאט דורוי בלאט הגב פברואר 11, 2018 בשעה 9:54 pm

    אתה ממש רוסי האקר!

    http://www.commdiginews.com/wp-content/uploads/2016/12/putinCyber.jpg

  6. רוסקי פרוסקי בלאט דורוי בלאט הגב פברואר 11, 2018 בשעה 9:56 pm

    כל הכבוד האקר!

    עכשיו רק לשים פרסומות ולהרוויח כסף.. אולי תפרסם מידע על פרשת תימן?

    ~פוטין

  7. גבר הגב פברואר 12, 2018 בשעה 1:39 am

    יש מצב שאתה שולח לי תקובץ?

    • רן בר-זיק הגב פברואר 12, 2018 בשעה 9:00 am

      ברור, אפילו בשמחה 🙂 הנה קישור לכל המעוניינים:
      http://bit.ly/IqT6zt

      • רוסקי פרוסקי בלאט דורוי בלאט הגב פברואר 12, 2018 בשעה 6:48 pm

        שקרן

  8. רוסקי פרוסקי בלאט דורוי בלאט הגב פברואר 13, 2018 בשעה 12:23 am

    רן תעשה לי אקספלויט

השארת תגובה

ביטול

ללמוד ג'אווהסקריפט בעברית

ללמוד לתכנת ג'אווהסקריפט בעברית שגייס יותר משלוש מאות אלף שקל ולמעלה מ-2000 תומכים - בואו ללמוד עכשיו איך לתכנת.

רשימת הנושאים
  • מדריכים
    • ריאקט
    • טייפסקריפט
    • ECMAScript 6
    • ES20XX
    • Node.js
    • Express
    • רספברי פיי
    • Babel
    • docker
    • MongoDB
    • Git
    • לימוד MySQL
    • SASS
    • jQuery
    • CSS3
    • HTML 5
    • SVN
    • LESS
  • פיתוח אינטרנט
    • פתרונות ומאמרים על פיתוח אינטרנט
    • jQuery Scripts
    • jQuery למתקדמים
    • יסודות בתכנות
    • נגישות אינטרנט
  • חדשות אינטרנט
  • מידע כללי על אינטרנט
    • רשת האינטרנט
    • בניית אתרי אינטרנט
  • rss logo

    לכל המאמרים

    לכל המאמרים שפורסמו באינטרנט ישראל משנת 2008 ועד עכשיו.
  • rss logo

    RSS Feed

    משתמשים בקורא RSS? אם כן, עקבו אחרי אינטרנט ישראל באמצעות פיד ה-RSS!
    מה זה RSS?
  • Twitter logo

    עקבו אחרי בטוויטר

    בחשבון הטוויטר שלי אני מפרסם עדכונים מהירים על חדשות בתחום התכנות והיזמות, התרעות על מצבי חירום ורכילות בוערת על תחום הווב.
    מה זה טוויטר?
  • facebook like image

    ערוץ הטלגרם של אינטרנט ישראל

    בערוץ הטלגרם של אינטרנט ישראל אני מפרסם את הפוסטים של באתר וכן עדכונים טכנולוגיים נוספים.
    מה זה טלגרם?
  • github logo

    הפרויקטים שלי בגיטהאב

    הפרויקטים שאני כותב ושוחררו לציבור ברישיון קוד פתוח נמצאים ברובם בגיטהאב.
חיפוש

כל הזכויות שמורות לרן בר-זיק ולאינטרנט ישראל | מדיניות הפרטיות של אתר אינטרנט ישראל | אתר אינטרנט ישראל נגיש לפי תקן WCAG 2.0 AA | הצהרת הנגישות של האתר | אבטחת מידע ודיווח על בעיית אבטחת מידע

גלילה לראש העמוד