שתף קטע נבחר

 

חברה ישראלית גילתה פירצת אבטחה בגוגל

פינג'אן איתרה כשל אבטחה באתרי גוגל, שאיפשרה לתוקף לשתול קוד זדוני במחשבי הגולשים, לקבל גישה למידע אישי ועוד

חברת אבטחת המידע הישראלית פינג'אן חשפה פירצת אבטחה באתר גוגל העולמי, שאיפשרה להאקרים להשתלט על חשבונות משתמשים ולקבל גישה למידע אישי. מי שגילה את הדבר היה אביב ראף, צעיר שחשף בעבר פרצות נוספות באתרים ישראלים ובינלאומיים.

 

Malicious Code Research Center (או MCRC), גוף המחקר של פינג'אן, העוסק באיתור וניתוח איומי אבטחה, שלח לאנשי גוגל הוכחות לקיום הפירצה, Cross Site Scripting (בקיצור CSS או XSS) כבר בסוף ספטמבר. על פי המידע שמסרה החברה, גוגל פעלה במהירות על מנת לתקן את הבעיה, שנפתרה בתוך 30 שעות. לדברי אלבז, לשתי החברות לא ידוע על גולשים שנפגעו מהפירצה.

 

במה מדובר?

 

פרצות CSS מאפשרות לתוקפים לשתול מידע מזויף וקוד זדוני באתר, ובעזרתו לגנוב קובצי Cookie מגולשים, בהם מאוחסנים לרוב פרטי כניסה לאתר או מידע אישי אחר. במקרה כזה, יכול התוקף להתחזות לגולש בעת כניסה לאתרים מסוימים, לשלוח דואר אלקטרוני בשמו, או פשוט לעשות שימוש במידע שנחשף לעיניו. הדפים המזוייפים יכולים להכיל למשל טופס להכנסת מספר כרטיס אשראי או כל שדה קלט אחר, שבו מתבקש הגולש להקליד מידע.

 

"הפירצה הספציפית שהתגלתה איפשרה לתוקפים להשתלט על חשבונות משתמשים באתר גוגל, לזייף מידע באתר על מנת לגרום להם להוריד וירוסים למחשבם, וכן להשיג מידע אישי ומסווג על הגולשים", אמרה ל-ynet לימור אלבז, סמנכ"ל פיתוח עיסקי ואסטרטגיה בחברה.

 

הפירצה, שאיפשרה גם לבצע הונאות מקוונות (פישינג, מתקפות הכוללות משלוח קישור מזויף בדואר אלקטרוני, שלכאורה נשלח מאתר אמיתי), מבוססת על כשלי אבטחה בשניים מאתרי המשנה של גוגל, תת אתר המיועד למפרסמים ותת אתר הכולל פתרונות ארגוניים, שהטפסים ששולבו בהם לא כללו תכונות של אימות וסינון המידע, וכך ניתן היה לשתול בהם קוד זדוני ולגנוב Cookies ממחשבי הקורבנות.

 

על פי הדיווח, כאשר הקורבנות מחוברים באותה עת לחשבון שלהם בגוגל (שנדרש למשל בעת השתתפות בקבוצת דיון, קריאת ומשלוח דואר אלקטרוני בשירות Gmail ועוד שירותים מקוונים המחייבים הרשמה) - התוקף הזדוני עלול ליהנות מגישה למידע אישי שלהם, לרבות חיפושים שמורים, התרעות, הודעות בקהילות ועוד.

 

נוסף על כך, הפירצה הקנתה לתוקף אמצעים להתחזות בשם הקורבן בקהילות של גוגל, וכן איפשרה לשנות את התוכן של העמוד המוצג לגולש.

 

לא הפעם הראשונה

  

זו אינה הפעם הראשונה בה מתגלה פירצה מסוג זה באחד מאתריה של גוגל, מפעילת מנוע החיפוש הפופולרי בעולם. ביולי 2004 נתגלתה באתר Gmail, שירות הדואר המקוון של החברה, פירצת אבטחה שאיפשרה לצפות בפרטי חשבון, לרבות שם התיבה, שם פרטי ושם משפחה של מחזיק החשבון. בינואר השנה התגלתה בשירות נוסף של החברה, Froogle, פירצה דומה, שהתבססה על Phishing, וקדמה לה פירצה שלישית שהתגלתה ב-Gmail.

 

 תגובה חדשה
הצג:
אזהרה:
פעולה זו תמחק את התגובה שהתחלת להקליד
גוגל. הפירצה תוקנה במהירות
מומלצים