פייסבוק טוענת: אין עדות לכך שההאקרים ניגשו ליישומי צד שלישי
החברה הוציאה עדכון על ההפרה, שבמסגרתה גנבה גישה לכמעט 50 מיליון חשבונות של משתמשיה לפני כשבוע, והשיבה בשלילה לתהייה האם שירותים חיצוניים המשתמשים ב-Facebook Login כדרך לכניסה אליהם נפגעו או לא מהאירוע החמור
לפי הודעה של פייסבוק לא נמצאה עד כה כל עדות לכך שיישומי צד שלישי, שבהם מרבים משתמשי האינטרנט להירשם לשירותים באמצעות חשבונם ברשת החברתית הדומיננטית, נפגעו בגלל ההפרה החמורה שחוותה החברה ביום ג' האחרון.
אתמול (ג') – שבוע בדיוק לאחר ההפרה שעליה הודיעה פייסבוק לעולם ביום ו', אשר במסגרתה נגנבה הגישה לכמעט 50 מיליון חשבונות משתמשים – סיפקה הרשת החברתית עדכון על היקף הפגיעה והשלכותיה ואף מענה לשאלה מרכזית שהעסיקה רבים: האם אפליקציות, אתרים ושירותי צד שלישי, שעשו שימוש בפייסבוק בכדי לאפשר כניסה (Login) אליהם, נפגעו מהפריצה אף הם.
"כעת ניתחנו את היומנים שלנו בעבור כל האפליקציות של צד שלישי שהותקנו או נרשמו במהלך ההתקפה שגילינו בשבוע שעבר. חקירה זו לא מצאה עד כה ראיות לכך שהתוקפים ניגשו לאף אחת מהאפליקציות באמצעות Facebook Login", כתב גיא רוזן, סגן נשיא פייסבוק לתחום ניהול המוצר, בפוסט עדכון שפרסם בנושא.
כפי שכולנו מכירים היטב, יישומים ושירותים פופולריים רבים, כמו למשל טינדר, Airbnb, או אובר, וכן אתרים מקוונים מובילים, כמו הניו יורק טיימס והוושינגטון פוסט ואחרים, מאפשרים להיכנס אליהם דרך חשבון הפייסבוק שלנו בנוחות רבה, תוך ביטול הצורך לזכור סיסמה אחרת. הבעיה היא שאמצעי הגישה הזה למעשה הופך את חשבון הפייסבוק שלנו למפתח הראשי לאינספור שירותים. לפיכך, אם הוא נפרץ, כפי שקרה בשבוע שעבר למשתמשים רבים כל כך של הרשת החברתית, הנפגעים עלולים לעמוד מול סיכוני פריצה לכל החשבונות המקושרים שלהם. לדברי חוקרי אבטחה, האקרים עלולים להשתמש בגישה זו לצרכים רבים, שיכללו גם פגיעה בפרטיות המשתמש ואפילו אולי ניצול של המידע שלו לשלל כוונות זדון.
האסימונים אופסו אבל המצב לאשורו לא וודאי
כשפייסבוק חשפה את דבר הפריצה, ביום ו' האחרון, אמר רוזן עצמו לעיתונאים כי ההפרה עלולה להשפיע על אפליקציות של צד שלישי. בחברה זיהו חולשה בקוד של פייסבוק, אשר השפיע על הנראות של פרופיל המשתמשים. הניצול של חולשה שכזו אפשר להאקרים להשתלט על המפתחות הדיגיטליים של המשתמשים ועל החשבונות של מיליונים רבים מהמתמשים. מפתחות דיגיטליים אלה הם המחברים את המשתמשים לרשת, בלא שהם נדרשים להזין מחדש את הסיסמה.
בהודעתה מסרה החברה ביום ו' כי החולשה נחשפה ביום ג' והוסיפה ותיארה ש"המהנדסים שלנו גילו בעיית אבטחה, אשר עלולה להשפיע על 50 מיליון איש". התקלה אפשרה להאקרים להשתלט על החשבון – כלומר לגלוש בשמם בפייסבוק, להתחזות אליהם, או לשלוח באמצעותם הודעות במסנג'ר. בחברה לא מסרו כמה, אם בכלל, השתלטו בפועל על החשבונות – ובאיזה היקף. פייסבוק איפסה את המפתחות הדיגיטליים של 50 מיליון המשתמשים אשר נפגעו, והודיעה כי זו לא טעות – כי אם ניסיון חדירה של האקרים – וכי היא דווחה על כך לרשויות החוק.
איפוס אסימוני הגישה התרחב לבסוף ליתר ביטחון ל-90 מיליון משתמשים, והדבר אילץ את כל מי שנפגע להיכנס מחדש לחשבונות הפייסבוק ולכל אפליקציות הצד השלישי המחוברות אליו. "לצערנו, לא כל יישום יכול לבדוק אם אסימון גישה בעבור משתמש הפך להיות לא חוקי, הבהיר רוזן אתמול.
בכדי למנוע מההאקרים לנצל את אסימוני הגישה באפליקציות של צד שלישי, אמר רוזן: "אנו בונים כלי המאפשר למפתחים לזהות באופן ידני את המשתמשים באפליקציות שלהם, אשר עשויים להיות מושפעים, בכדי שיוכלו להתנתק מהם". בינתיים, רוזן מייעץ למפתחים לעקוב אחר שיטות העבודה המומלצות של פייסבוק בנוגע לאבטחת הכניסה, הדורשות בדיקה אוטומטית של אסימוני גישה.
דוברת פייסבוק, קייטי דורמר, אמרה כי החברה "עובדת על הכלי עכשיו", אבל לא היה לה תאריך יעד להשקתו.
יצוין כי על פי הרגולציה הכללית להגנה על נתונים (GDPR), הרגולטורים האירופיים יכולים להטיל על פייסבוק קנסות של עד 1.63 מיליארד דולר – או ארבעה אחוזים מהכנסותיה השנתיות שעמדו על 40.7 מיליארד דולר בשנה הקודמת – אם יתברר שפייסבוק הייתה יכולה לעשות יותר בכדי להגן על הנתונים של המשתמשים שלה וכשלה בכך.
תגובות
(0)