כך התגלתה פירצת האבטחה באינסטגרם

פירצת האבטחה שהתגלתה בשבוע שעבר באינסטגרם וחשפה את פרטיהם של 6 מיליון משתמשים, דווחה על ידי הרשת החברתית כ"באג קטן שתוקן במהרה", אבל האמת מורכבת ומטרידה קצת יותר. חשבונות הדואר האלקטרוני ומספרי הטלפון הפרטיים של משתמשי אינסטגרם, רובם בעלי חשבונות מאומתים - כלומר, סלבריטאים ושמות מוכרים, הוצעו למכירה במאגר נתונים שניתן היה לגשת אליו באמצעות הרשת האפלה (דארקנט). כך במשך תקופת זמן לא מבוטלת, אפשר בעבור 10 דולרים בלבד להשיג את מספר הטלפון הפרטי של ביונסה, מיילי סיירוס, אמה ווטסון, ובגזרה המקומית גם את של בר רפאלי וגל גדות.

אבל הבאג הקטן הזה, כך מתברר, היה בעל פוטנציאל לחשוף את פרטיהם של כ-700 מיליון המשתמשים החודשיים ברשת החברתית שבבעלות פייסבוק. זאת ועוד, התברר גם כי מקור ה"תקלה הקטנה" הוא בגרסת מפתחים מיושנת, שלא הייתה אמורה לעבור את שלב הפרודאקשן ו"נשכחה" - לא ברור למשך כמה זמן. עוד נכתב בבלוג הרשמי של הרשת החברתית, כי היא מושקעת בשמירה על פרטיות המשתמשים, אולם אם מתרחשת פעילות חשודה בחשבונות האינסטגרם, והם מפרטים: "קבלת הודעות טקסט, שיחות והודעות דואר אלקטרוני ממקורות בלתי מזוהים", אז כדאי "לדווח לנו באמצעות הכלים הייעודיים".

המקרה של אינסטגרם מאפשר להאיר זרקור אל אחורי הקלעים של תעשיית אבטחת המידע, ולהבין לעומק מה המשמעויות של פירצות אבטחה מהסוג הזה - שלא דרך התיווך המעודן של הרשת החברתית עצמה. את פירצת האבטחה סייע לחשוף עידו נאור, חוקר אבטחה בכיר במעבדת "קספרסקי", שהפנה את תשומת הלב של אנשי אינסטגרם לבעיה.

"הם נורא נלחצו". עידו נאור(צילום: יח"צ)

"קיבלתי איזשהו מידע על התנהלות לא שגרתית באינסטגרם והתחלתי לעקוב אחריה", מספר נאור. "ברגע שאימתתי שאכן מדובר בחור אבטחה - מיד ניסיתי ליצור קשר עם אנשי החברה ולדווח עליו". אבל זהו לא מהלך רגיל בתעשייה. זיהוי פרצות אבטחה הוא פעולה שגרתית למדי בתחום אבטחת המידע, והנוהג הוא שחברות מציעות תגמול כספי עבור חשיפתן. במקרה הזה, מספר נאור, בגלל שמדובר היה בפירצה פעילה, כלומר המידע כבר דלף בשלב זה לדארקנט והוצע למכירה - הדיווח נעשה במטרה לשמור על משתמשי אינסטגרם ולא כזיהוי שגרתי.

כמה מהחשבונות שנפרצו

את הפנייה הראשונה לאנשי יחידת הפשיעה של פייסבוק, שכאמור בבעלותה נמצאת גם אינסטגרם, עשה נאור ב-29 באוגוסט, אז נאמר לו כי כבר התקבל דיווח בחברה על פירצת אבטחה הדורשת טיפול. יום וחצי לאחר מכן כבר החלו להתפרסם ברשת ידיעות על משתמשים שחשבונות האינסטגרם שלהם נפרצו, ואז פנו אל נאור שוב, במטרה להבין ממנו איך זוהתה הפירצה והאם עשה בה שימוש בעצמו. "הם היו נורא לחוצים", הוא מספר, "שאלו אותי אם ניצלתי בעצמי את הפירצה והסברתי להם שלא, שעשיתי את הבדיקות שלי כדי לאמת מבלי לגעת בפלטפורמה בכלל. אז הם הבינו שיש עם מי לדבר והתחלנו לפעול יחד כדי לנסות להבין מי המקור של הדיווח הראשוני".

ומי זה היה?

"מסתבר שזה היה ההאקר עצמו שניצל את הפירצה, הוא זה שדיווח עליה לחברה".

למה לו לעשות את זה?

"בשביל הבאונטי, הפרס הזה שדיברנו עליו. אני מעריך בהערכה חסרה מאוד שהוא יכול היה לקבל 30 אלף דולר על זיהוי פירצה בסדר גודל כזה. האנשים שם דיברו עליה כאחד מחורי האבטחה הכי גדולים".

עד כמה פשוט היה למשוך פרטים אישיים של משתמשים? נאור מספר כי כל מה שצריך היה לעשות, הוא להיכנס לעמוד לפעולת שיחזור סיסמה, פעולה שגרתית עבור משתמשים בכל אפליקציה או שירות מקוון. "כשמגיעים לשיחזור סיסמה מתחיל תהליך טכני, האפליקציה מבקשת את שם המשתמש, ויש כאן פעולה של שאלה ותשובה, כשבאמצע יש תיווך שאמור להחזיר למשתמש 'תשובה' עם הסיסמה החדשה שלו. מה שקרה זה שבמקום סיסמה חדשה התקבל בלוק עם הפרטים האישיים של המשתמש, כך שאפשר היה להקליד כל שם משתמש באינסטגרם ולקבל עליו את הפרטים. אם הפירצה לא הייתה מטופלת זה היה יכול להגיע פוטנציאלית גם לכל 700 מיליון המשתמשים, בעצם זה איפשר לחפש כל משתמש ולקבל עליו מיידית את המידע".

נאור מסביר כי ככל הנראה מקורה של הפירצה בגירסה שאמורה להיות מוסרת על ידי צוות הפיתוח לפני שהאפליקציה מגיעה אל המדפים, ושהם פשוט שכחו לעשות את זה. לטענתו, אחד הדיווחים הראשוניים נעשו בתחילת חודש אוגוסט, כ-3 שבועות לפחות לפני שהפירצה הועברה לטיפול של אנשי הרשת החברתית.