מומחה אבטחה: פירצה חמורה ב-TinyURL

מומחה אבטחה טוען כי הוא גילה פירצת אבטחה חמורה בשירות TinyURL, שמקצר כתובות אינטרנט ארוכות. מייסד השירות: "מומחה" האבטחה לא קורא נכון את הנתונים

פירצת אבטחה חמורה התגלתה בשירות TinyURL, המאפשר לקצר כתובות אינטרנט ארוכות להצגה נוחה יותר, ומשמש גולשים רבים - כך מדווח ה-Register.

 

TinyURL הוא נפוץ במיוחד במקומות בהן יש הגבלת תווים, כמו Twitter, הודעות SMS, עיתונות מודפסת ועוד. אם תנוצל הפירצה תוכל לאפשר להאקרים להחדיר כתובות זדוניות לרבבות הגולשים שמשתמשים בשירות.

 

לפי טענות מומחה האבטחה, הפירצה היא ברמת השרת, ומקורה בחוסר תשומת לב או ידע בהקמת השירות. לפי המומחה, כל פרטי השרת ניתנים לצפייה בקלות, והנתונים השמורים בו לא מוצפנים ודורשים רק הרשאת מנהל-מערכת (אדמין). לדבריו, מכיוון שמדובר במידע רגיש, חלק מהמידע השמור בשרת צריך להיות מאובטח הרבה יותר ולא נגיש כלל.

 

המשמעות, למעשה, היא שהאקר שיצליח לפרוץ לחשבון מנהל המערכת של השרת, יקבל גישה לכל שירותיו ויוכל לשנות את ההפניות אליהן מובילים הקישורים המקוצרים שהשירות מספק. כך יוכלו גורמים עויינים לנצל לרעה את השירות למטרות פישינג (קצירת ססמאות ופרטים אישיים), החדרת וירוסים ועוד, על ידי הפניית כתובות לאתרים כרצונו.

 

בתגובה לטענות, אמר קווין גילברטסון, מייסד האתר: "'מומחה' האבטחה לא קורא נכון את הנתונים", וטען שהממצאים שהציג המומחה אינם נכונים, ולא משקפים את מצב השרת עליו פועל השירות.