29-10-2004, 06:28
|
 |
|
|
חבר מתאריך: 01.01.02
הודעות: 5,322
|
|
נחשפה פרצת אבטחה חמורה ב-Gmail
בלעדי: פרצת אבטחה חמורה בדואר של גוגל
האקר ישראלי חושף: פרצה ב-Gmail מאפשרת גישה חופשית לתיבות מייל של משתמשים. מומחה אבטחה: מדובר בסכנה ממשית
מאת: ניצן וידנפלד 07:08 29/10/2004
יש לכם חשבון דואר של Gmail? יש לנו בשורות רעות בשבילכם: התיבות שלכם חשופות. הסיבה - פרצת אבטחה חמורה בשירות הדואר של גוגל, המאפשרת חדירה מלאה לחשבונות משתמשים, ללא צורך בסיסמה. טרם ידוע אם נעשה עד כה שימוש כלשהו בפירצה בידי האקרים.
"הכל פתוח לרווחה – אפשר לקרוא את כל ההודעות שקיבלתם, את כל אלו ששלחתם, ויותר מזה – כל אחד יכול לשלוח ולקבל בשמכם מיילים", כך חושף השבוע לחיים ברשת ההאקר הישראלי ניר גולדשלגר, שאיתר את הפירצה. "העניין היותר מדהים", מסביר גולדשלגר, "הוא שהפירצה פשוטה למדי. כל שנדרש, מלבד הכרת הטכניקה, הוא ידע בסיסי במחשבים, שם המשתמש של הקורבן – וזהו, אתם בפנים".
הפירצה נבדקה מספר פעמים במערכת חיים ברשת ופעלה כמעט על כל חשבון עליו נוסתה. בכדי לא לסכן עוד את בעלי התיבות, נסביר רק כי הפירצה מבוססת על פגם אבטחה במערכת זיהוי המשתמשים של השירות, המאפשר לפורץ "לחטוף" באמצעות קישור תמים (המפנה לאתר גוגל עצמו), את תוכן ה- cookie ("עוגייה" - קובץ המושתל במחשב המשתמש בכדי לזהותו) של הקורבן, ולהזדהות בשמו בפני המערכת. גם אם יחליף המשתמש את סיסמת התיבה לאחר שנפרצה, לא תיפתר הבעיה. "המערכת מזהה את הפורץ על פי העוגייה המזויפת, וגם אם הקרבן יחליף את הסיסמה, תיבת המייל שלו תהיה זמינה באופן מלא לפורץ", מציין גולדשלגר.
בתגובה לפנייתנו, הודתה גוגל על קיום הפירצה והבטיחה כי "היא נמצאת בטיפול, והחברה תעשה כל שדרוש בכדי להגן על משתמשיה".
מומחה אבטחה: מדובר בסכנה ממשית למשתמשים
העניין חמור פי כמה כשמדובר בשירות Gmail. מלבד הפגיעה בתדמיתה הנקייה והאמינה של גוגל, ישנה כאן סכנה של ממש עבור מי שהפך את Gmail לתיבת המייל העיקרית שלו. "מכיוון שמדובר בתיבה של ג'יגה, הגדולה פי כמה מכל תיבת מייל אחרת, המשתמשים בה כמעט ולא מוחקים את המיילים שלהם" מסביר גולדשלגר. "יוצא, שתיבת המייל מכילה כמות עצומה של תכתובות, שבמקרים רבים כוללת גם הודעות מהבנק, סיסמאות של אתרים שונים, מסמכים ושאר קבצים שבעלי התיבות מגבים באמצעותה. מי שמשתלט על התיבה הזאת יכול, פשוטו כמשמעו, להשתלט על חייו של הקורבן".
עופר אלזם, מומחה אבטחה בכיר בחברת "אלדין" שבדק את הפירצה עבור חיים ברשת, מסביר: "מדובר בפירצה חמורה במיוחד, משלוש סיבות: האחת – שהלקוחות אינם יכולים להגן על עצמם בשום דרך, השנייה – שהיא קלה מאוד לניצול והשלישית – שהיא מאפשרת גניבת זהויות, דבר שהוא לא פחות מסכנה ממשית למשתמשים".
"המזל הגדול שזה נחשף עכשיו, לפני שהשירות הושק רשמית והוצע למאות מיליוני משתמשים. זה הרי רק עניין של זמן עד שמישהו היה מפתח כלי אוטומטי שיאפשר גם למי שלא מבין דבר במחשבים לפלוש לתיבות Gmail, והנזק עשוי היה להיות עצום", דברי אלזם.
האם יש, בכל זאת, דרך להתגונן בפני הסכנה האפשרית? לאלזם אין בשורות טובות גם כאן. "הפתרון היחיד שאני יכול להציע כרגע הוא לא להשתמש ב-Gmail לאחסון קבצים והודעות שניתן לעשות בהם שימוש עוין. זאת, לפחות עד שבגוגל יתקנו את הפירצה".
מקור:נענע-"חיים ברשת"
_____________________________________
נערך לאחרונה ע"י shaked בתאריך 29-10-2004 בשעה 06:31.
|
ראשי
צ'אט
מצב כלאיים
