חברה ישראלית גילתה פירצת אבטחה בגוגל

Malicious Code Research Center (או MCRC), גוף המחקר של פינג'אן, העוסק באיתור וניתוח איומי אבטחה, שלח לאנשי גוגל הוכחות לקיום הפירצה, Cross Site Scripting (בקיצור CSS או XSS) כבר בסוף ספטמבר. על פי המידע שמסרה החברה, גוגל פעלה במהירות על מנת לתקן את הבעיה, שנפתרה בתוך 30 שעות. לדברי אלבז, לשתי החברות לא ידוע על גולשים שנפגעו מהפירצה.

במה מדובר?

פרצות CSS מאפשרות לתוקפים לשתול מידע מזויף וקוד זדוני באתר, ובעזרתו לגנוב קובצי Cookie מגולשים, בהם מאוחסנים לרוב פרטי כניסה לאתר או מידע אישי אחר. במקרה כזה, יכול התוקף להתחזות לגולש בעת כניסה לאתרים מסוימים, לשלוח דואר אלקטרוני בשמו, או פשוט לעשות שימוש במידע שנחשף לעיניו. הדפים המזוייפים יכולים להכיל למשל טופס להכנסת מספר כרטיס אשראי או כל שדה קלט אחר, שבו מתבקש הגולש להקליד מידע.

"הפירצה הספציפית שהתגלתה איפשרה לתוקפים להשתלט על חשבונות משתמשים באתר גוגל, לזייף מידע באתר על מנת לגרום להם להוריד וירוסים למחשבם, וכן להשיג מידע אישי ומסווג על הגולשים", אמרה ל-ynet לימור אלבז, סמנכ"ל פיתוח עיסקי ואסטרטגיה בחברה.

הפירצה, שאיפשרה גם לבצע הונאות מקוונות (פישינג, מתקפות הכוללות משלוח קישור מזויף בדואר אלקטרוני, שלכאורה נשלח מאתר אמיתי), מבוססת על כשלי אבטחה בשניים מאתרי המשנה של גוגל, תת אתר המיועד למפרסמים ותת אתר הכולל פתרונות ארגוניים, שהטפסים ששולבו בהם לא כללו תכונות של אימות וסינון המידע, וכך ניתן היה לשתול בהם קוד זדוני ולגנוב Cookies ממחשבי הקורבנות.

על פי הדיווח, כאשר הקורבנות מחוברים באותה עת לחשבון שלהם בגוגל (שנדרש למשל בעת השתתפות בקבוצת דיון, קריאת ומשלוח דואר אלקטרוני בשירות Gmail ועוד שירותים מקוונים המחייבים הרשמה) - התוקף הזדוני עלול ליהנות מגישה למידע אישי שלהם, לרבות חיפושים שמורים, התרעות, הודעות בקהילות ועוד.

לא הפעם הראשונה

זו אינה הפעם הראשונה בה מתגלה פירצה מסוג זה באחד מאתריה של גוגל, מפעילת מנוע החיפוש הפופולרי בעולם. ביולי 2004 נתגלתה באתר Gmail, שירות הדואר המקוון של החברה, פירצת אבטחה שאיפשרה לצפות בפרטי חשבון, לרבות שם התיבה, שם פרטי ושם משפחה של מחזיק החשבון. בינואר השנה התגלתה בשירות נוסף של החברה, Froogle, פירצה דומה, שהתבססה על Phishing, וקדמה לה פירצה שלישית שהתגלתה ב-Gmail.