יותר ממחצית מאתרי פורצ'ן 1,000 חשופים לפריצות ממתקפות צד ג'
כך לפי מחקר שערכה חברת הסטארט-אפ הישראלית סורס דיפנס ● הנתונים מצביעים כי מדי 39 שניות מבוצעת בעולם פריצה לאתר תוך שימוש בטכנולוגיית Client-side - ורבות מהן עלולות לפגוע במשתמש
יותר ממחצית מאתרי פורצ'ן 1,000 חשופים לפריצות ממתקפות צד ג', כך עולה ממחקר שערכה חברת הסטארט-אפ הישראלית סורס דיפנס.
מהדו"ח עולה, כי כיום פועלים יותר מ-1.7 מיליארד אתרי אינטרנט בעולם, ו-95% מהם משתמשים בקוד צד שלישי. ביותר מ-56% מהאתרים של החברות הגדולות בעולם – פורצ'ן 1000 – הסקריפטים מבצעים פעולות החורגות מההרשאות הניתנות להם. זאת, גם בלא ידיעת הגולש או בעל האתר. בחלק מהמקרים שימוש חורג זה מהווה הפרה של כללי הפרטיות האירופים, ה-GDPR.
ניצול חולשות אבטחה בסקריפטים
מתקפות צד שלישי מנצלות את ההרשאות הניתנות לקוד צד שלישי – לדוגמה, הצגת פרסומות, הפעלת צ'אט ומדידות שונות באתר – באתרי אינטרנט של בנקים, חברות אשראי ושירותי בריאות, כנקודת תורפה לגניבת מידע רגיש.
הדו"ח נסמך על נתוני מעבדת המחקר של Source Defense ומתבסס על ניתוח 500 סקריפטים שונים ועשרות מיליוני קריאות רשת באתרים רבים ממגזרי פעילות שונים.
האקרים החלו לנצל חולשות אבטחה בסקריפטים אלה, כדי לאגור את פרטי הגולשים שהוזנו לאתר ולשלוט בו, וכל זאת בלי שהגולש או בעל האתר יהיו מודעים לכך. פעילות ההאקרים בתחום זה מתמקדת באתרים העוסקים במידע רגיש, כגון אתרי סחר, אתרי בנקים, אתרי כרטיסי אשראי ואתרים הכוללים מידע רפואי.
הנתונים מצביעים כי מדי 39 שניות מבוצעת בעולם פריצה לאתר תוך שימוש בטכנולוגיית Client-side – ורבות מהן עלולות לפגוע במשתמש. החוקרים מציינים כי בעלי אתרים נדרשים לבצע כמאתיים שינויי קוד מדי חודש בממוצע. מספר הסקריפטים החשופים למתקפות צד שלישי באזורים הרגישים של האתר, הוא כ-20.
איום נוסף עליו מצביע הדו"ח, הוא סקריפטים הנקראים לאתר דרך קוד צד שלישי (שקיבל הרשאה לפעולתו מבעל האתר), אולם הסקריפטים שקוד זה מביא לאתר (קוד זה מכונה: צד רביעי, חמישי ושישי) לא קיבלו הרשאות גישה מבעל האתר, ופעמים רבות אף אינם ידועים לו. גם בעמודים רגישים (כגון עמוד ביצוע הרכישה) מתגלים סקריפטים המגיעים דרך צד רביעי ובממוצע נמדדו שבעה סקריפטים כאלה באתרים שנבדקו.
"גורמי צד שלישי מהווים סכנה אמיתית"
"גורמי צד שלישי מהווים סכנה אמיתית ומדובר במגמה שהולכת ונעשית מתוחכמת יותר ויותר, תוך שימוש בטכניקות חדשות כדי לאסוף את המידע המוזן באתרים", אמר דן דינר, מנכ"ל סורס דיפנס.
"חשוב לא רק להתמקד בגורמי צד שלישי", הוסיף דינר, "אלא גם במעגלים רחבים יותר, ולמי הם מעניקים את ההרשאה להטמיע סקריפטים כספקי משנה שלהם. בדיוק כשם שלא נסכים שמפתח הבית שלנו יועבר מאיש הקשר הישיר, שאנו עובדים מולו ועליו אנו סומכים, לגורמי משנה נוספים שאנו לא יודעים מהם, כך חשוב ליצור את ההרשאות המתאימות והכלים שיאפשרו להגן על הנכסים הרגישים כדי למנוע אפשרות של שימוש זדוני באתר".
"כאשר וקטור הפריצה הופך להיות כה נפוץ ומסוכן, חשוב לדעת כיצד להיערך ולהגן מפני מתקפות אלה", סיכם דינר, "הבעיה היא, שלאתר אין יכולת לדעת מתי מתבצעת חדירה באמצעות קוד צד שלישי, וגם אין דרך להגביל אותו. הטכנולוגיה שלנו מאפשרת ליישם הנחיות והגנות בלי לבצע התאמות מיוחדות או לפגוע בפעילות התקינה של האתר".
תגובות
(0)