חוקרי אבטחה ישראלים ביבמ זיהו פרצה באמזון ולינקדאין

חוקרים בקבוצת האבטחה X-Force Application Security Research של יבמ, הפועלים בישראל, זיהו פרצה המאפשרת לנצל את תהליך הכניסה לאתרים בעזרת ספקי זהות דוגמת לינקדאין ואמזון, לצורך השתלטות על חשבונות משתמשים במגוון רחב של אתרים, העושים שימוש באותם ספקי זהויות.

קודם לפרסום קיום הפרצה, דיווחה יבמ על קיומה ללינקדאין ואמזון – ואלה כבר עדכנו את מערכותיהןאו שיפרו את את תיעודיהן כדי שאתרי צד שלישי העושים שימוש במערכות אלו, לא יהיו חשופים לתקיפה.

אתרי אינטרנט רבים מציעים למשתמשים להיכנס לחשבונותיהם באתר בעזרת שימוש בחשבונות קיימים ברשתות חברתיות,כגון לינקדאין, פייסבוק וטוויטר, במקום להקליד שם משתמש וסיסמה לכל אתר. חוקרי האבטחה של יבמ  גילו כי תהליכי הזדהות מסויימים עלולים לאפשר לתוקף זדוני להיות מסוגל להזדהות בשם הקורבן.

הפרצה, שזכתה לשם SpoofedMe, ("התחזו אלי"), מתבססת על שתי חולשות  שונות:

חולשה בפלטפורמת ספקי הזהות (לדוגמא לינקדאין(, בה עושה שימוש אתר צד שלישי(למשל nasdaq.comׂׂׂׂ(. אותה פגיעות מאפשרת לתוקף להירשם עם כתובת מייל מזוייפת– של הקורבן, ללא צורך להוכיח עליה בעלות.
פגיעות באתר הצד השלישי, אשר משתמש בכתובת המייל החוזרת מספק הזהות, בתור המזהה הייחודי של המשתמש.
חוקרי יבמ, אור פלס ורועי חי,  גילו כי תהליכי זיהוי המשתמש באמזון ובלינקדאין חשופים לפרצה הזאת – והתראה נמסרה לשתי החברות קודם לפרסומה הפומבי. בין האתרים המאפשרים הזדהות בעזרת חשבונות לינקדאין, ניתן למצוא שמות דוגמת  Nasdaq.com, Slashdot.org, Crowdfunder.com  ו- Spiceworks.com.

כיוון שהפורצים יכולים להשתמש ב- SpoofedMe על מנת להכנס לחשבונות של משתמשים קיימים באתרים אלה, הם מסוגלים לגשת למידע הרגיש של המשתמש אליו נכנסו ולעשות פעולות באתר בשמו. במקרה שנכנסו לחשבונות של משתמשים מוכרים ואמינים – הם יכולים גם להפיץ בקלות רבה יותר מידע שגוי, או קוד זדוני.

לפי החוקרים "למתקפה זו שני גורמים ההופכים אותה לקריטית – ניצולה הוא מאוד פשוט והשלכותיה חמורות. לכן מומלץ ביותר למפתחי אתרים העושים שימוש בספקי זהות, באופן פגיע, ללכת בעקבות המלצותינו לתיקון המופיעות במאמר, http://ibm.co/1waNJbO".

דילוג לתוכן