זוהתה פירצה בדפדפני כרום של גוגל

חוקר אבטחת המידע בסטארט-אפ פרימטר איקס (PerimeterX), זיהה פירצת אבטחה, המאפשרת לעקוף את תקן CSP – מנגנון אבטחה של אתרים אונליין, בדפדפנים מבוססי כרום (Chrome) של גוגל (Google). כחלק מן המחקר זיהה החוקר, גל ויצמן, מספר אתרים בודדים המצליחים להגן על עצמם באופן מספק, כלומר, כזה שלא היה מאפשר לעקוף את החולשה, ובו-זמנית זיהה כמה אתרי מסחר ותיירות גדולים מתחומים שונים, בהם השימוש בתקן לא היה מספק.

גל וייצמן, חוקר בפרימטר איקס. צילום: יהודה וייצמן

המשמעות של חולשת האבטחה היא שניתן היה לנצל את הפירצה לרעה, כלומר בהינתן שיש לתוקף יכולת הרצת קוד באתר, ניצול הפירצה היה מאפשר לו לעקוף את המנגנון לחלוטין, ולהדליף פרטי משתמשים מהאתר, ביניהם פרטים אישיים כגון פרטי כרטיסי אשראי וכולי.

מה זה CSP?

CSP הוא מנגנון אבטחת מידע המציע שכבת אבטחה לאתרים אונליין ומשמש להגנה על פרטי המשתמש לאתרים בכל התחומים. התקן, שמהווה רף אבטחה משמעותי לאתרים לגיטימיים בכל הגדלים, נכנס לשימוש על מנת להגביל את הפעולות שיכולים תוקפים לעשות באתר ולהתריע עליהם בפני בעלי האתרים. 

ויצמן: "פושעים בתחום הסייבר הפכו מתוחכמים, ומשפרים כל העת את יכולות התקיפה שלהם שהופכות אגרסיביות יותר ויותר. תפקידם של חוקרים מאז ומעולם התמקד בהתחקות אחרי פירצות אבטחה אפשריות, ואנו עדים לשינויים ושיפורים במנגנוני האבטחה השונים, המתאימים עצמם לאבולוציה של המתקפות. טרם נאמרה המילה האחרונה בתחום המתקפות או ההתגוננות מפניהן".