מחדל: כך ניתן לחטוף כתובות אינטרנט

כשל אבטחה באתר איגוד האינטרנט מאפשר לגולשים זדוניים "לחטוף" בקלות שמות מתחם מבעליהם החוקיים, זאת מבלי שיידרשו להתמצא בטכניקות של האקרים. כדי לגנוב שמות מתחם בסיומת co.il מבעליהם ולהעביר את הבעלות עליהם לגורם אחר, די במכשיר פקס וחשבון אימייל.

כשל האבטחה מאפשר לכל גולש להגיש בקשה לשינוי פרטי הבעלות על כתובות אינטרנט באמצעות אתר איגוד האינטרנט, מבלי שיתבקש להזדהות באמצעות שם משתמש או סיסמה. כל גולש יכול לשנות בטופס המקוון את שם השרת המארח דומיין מסוים. הוא יכול לשנות את שם בעל החשבון, את פרטיו וכתובת הדואר האלקטרוני שלו ובעקבות זאת להעביר את כתובת האינטרנט לרשותו ללא כל קושי.

שום דבר לא השתנה

בחודש מאי דיווחנו על סיפורו של שוקי בטיסט מפתח תקווה, בעל משרד פרסום המתמחה במגזר החרדי, שגילה כי כתובת האינטרנט שרכש הועברה לחברה אחרת, על בסיס פתק שנשא חתימה שהתיימרה להיות חתימתי וללא סימני זיהוי נוספים". מסתבר כי מאז שום דבר לא השתנה.

הגולש אלון, שפנה אלינו בעניין זה, הוכיח כי הצליח לחטוף בדרך פשוטה ביותר את שם המתחם של חברו. "רציתי לוודא כיצד איגוד האינטרנט מוודא כי האדם שביקש את שינוי הפרטים הוא אמנם בעל הכתובת", סיפר אלון ל-ynet, "לאחר ששיניתי את פרטי הדומיין של חבר שלי באתר האיגוד, קיבלתי לכתובת הדואר האלקטרוני שלי אימייל, אותו נדרשתי למלא, להדפיס ולשלוח בפקס".

במכתב האישור האוטומטי שקיבל אלון, לאחר העברת הבקשה לשינוי, נכתב כי "מכתב זה נשלח אליך מאיגוד האינטרנט. קיבלנו את בקשתך, אך על מנת להשלים ולאשר את הבקשה, עליך לשלוח אותה אלינו בכתב בדואר או דרך הפקס".

"מילאתי את הפרטים ושלחתי להם את הפקס עם חתימה מזויפת, ממכשיר פקס שאינו של חברי. לאחר ששלחתי להם את הטופס, גיליתי שהדומיין הועבר לרשותי".

אלון העביר לידינו את התכתובת בינו ובין איגוד האינטרנט הישראלי, ועל פיה נראה כי למרות שאין שום דמיון בין שמו לשם חברו. בדיקה במאגר המידע של הדומיינים באינטרנט (whois) מגלה כי הדומיין אכן הועבר לאחרונה לרשות אלון.

"פשוט חטפתי לו את השם", אמר אלון, "נכון שזה הפיך, אך המשמעות היא כי כל בעל אתר יכול להתעורר בוקר אחד ולגלות שהדומיין שלו מפנה לאתר מתחרה".

תגובת האיגוד

"איגוד האינטרנט הישראלי למד לראשונה מכתבכם על הטענות בנוגע לשם המתחם שנחטף", מסר בני ליפסיקס, מנהל מרשם שמות המתחם באיגוד, "עד לרגע זה לא התקבלה באיגוד פניית בעל הזכויות בשם המתחם הטוען כי אמנם בוצעה בשם פעולה שלא לפי בקשתו - וזאת למרות שהתראה אוטומטית נשלחה אל מחזיק שם המתחם ואל אנשי הקשר הרשומים במירשם השמות מיד עם הגשת הבקשה".

"איגוד האינטרנט הישראלי אישר את בקשת השינוי בהסתמך, בין היתר, על מסמך כתוב שקיבל, הנחזה להיות חתום על ידי בעל הזכויות בשם. אם אמנם יש ממש במידע שמסרתם לנו, כי אז יש יסוד לחשד שלאיגוד נשלח מסמך מזויף. איגוד האינטרנט הישראלי מפעיל נהלים קפדניים לבדיקה ואימות הבקשות המוגשות למרשם שמות המתחם, הכוללים בין היתר - משלוח התראה, שכאמור לא נענתה, למחזיק שם המתחם ולאנשי הקשר הרשומים במירשם שמות המתחם.

"הניסיון המצטבר מטיפול במאות אלפי בקשות שמוגשות אל המירשם מעלה שנהלי האיגוד יעילים במניעת תקלות וניסיונות להונאה. עם זאת, לא קיימים נהלים או מערכות שיבטיחו חסינות מוחלטת מפני גורמים כוונות בעלי זדוניות או פליליות. ללא קשר לפניית העיתון, האיגוד ימשיך להפעיל נהלים קפדניים בבדיקת הפניות למערכת רישום השמות ולפעול לשיפורם בכל עת".