בעיות אבטחה כרוניות: הטרשת שלא מפסיקה להפרץ.

0.
בשנת 2008 גיליתי פרצת אבטחה קטנה בפייסבוק בטעות לגמרי.  הפרצה היתה כזו שאפשרה להשתלט על חשבון של אדם מסוים; איך היא עבדה? ובכן, כאשר היית מחובר לאפליקציה שרצה דרך פייסבוק (השתמשה במערכת הלוגין של פייסבוק), כל לחיצה על קישור מתוך אותה אפליקציה היתה מעבירה לאתר אליו גלשת את הReferer שלך, בעצם אומר לאתר אליו באת מאיפה הגעת. זה מאוד חשוב למנהלי אתרים גם כדי לדעת מה מילות החיפוש שאנשים משתמשים בהן, אבל גם להתאים אישית את התצוגה. כאשר קיבלת את ה-Referer, היית רק צריך ללחוץ עליו, והיית חוזר מחובר לחשבון של האדם שלחץ על הקישור. לצורך העניין, בצילום כאן ניתן לראות איך חזרתי לתוך משחק שחמט של ידידה, ואיך לא רק שהשתלטתי על החיבור שלה אלא גם על החשבון, והכל בהסכמתה באותו הרגע כדי להוכיח את העניין:

1.
זה היה ב-2008, בזמן שכתבתי מדיניות פרטיות ללקוח ובמהלך השאלה "מה אתה שומר" גיליתי שיש את הבאג הזה בטעות לגמרי. בשנת 2012 מישהו פרסם בקבוצת פייסבוק שהייתי מנוי עליה הודעה ואמר שהוא מחפש עובד. עשיתי פורוורד להודעה הזו (שהגיעה אצלי במייל) לחבר. החבר שעשה קליק על ההודעה כדי להגיע לקבוצה גילה שהוא מחובר לחשבון שלי:

2.
העובדה שבמהלך תריסר השנים שאני מנוי על הטרשת החברתית אני הייתי צד לפחות לשני באגים היתה מאוד מדאיגה. אבל, חשבתי שאין הרבה סיכוי שהבאגים האלו יצאו החוצה. על כולם ניסיתי לדווח בצורה כלשהיא, בין אם דרך האדם שבגללו נחשפה התקלה (שהיה מפתח שמשתמש בפלטפורמה) ובין אם דרך לשלוח איזה מייל לקונטקט הכללי שלא קיבל כל מענה. הבאגים (למיטב ידיעתי) בינתיים נסגרו. אבל כל זה הכה בי כמו ברק אתמול כששמעתי על התקלה בפייסבוק.

3.
אתמול, גיא רוזן, סגן נשיא לניהול מוצר בפייסבוק דיווח על תקלה שנשמעת הרבה פחות חמורה ממה שהיא בשלב הראשון. לדברי רוזן, היתה יכולת כלשהיא לנצל את מערך הניהול של פייסבוק, כך שהשימוש באופציה "צפה בפרופיל שלי בתור משתמש X" איפשרה לגנוב אסימון (Token) שאיפשר להתחבר בתור אדם אחר; בקצרה, שילוב של שלוש תקלות שונות בשירות הצליחה לגרום לכך שחמישים מיליון אנשים נותקו מהחשבון שלהם ונאלצו להתחבר מחדש, וזאת מחשש שהחשבון שלהם עבר השתלטות כלשהיא.

4.
התקלה עצמה לא טריוואלית. אם אכן פייסבוק איפשרה לתקלה הזו לקרות, ולגורמים שהיו להם את אסימוני ההתחברות להשתמש בחשבון, אז השימוש בחשבון היה כמעט ולא מוגבל; בדיוק כמו שאני הצלחתי לשחק שחמט עבור הידידה, בדיוק כמו שהחבר הצליח להכנס לחשבון שלי: כל אחד מהם יכל לעשות לייקים לדפים בלי הסכמתי, להתכתב, למחוק הודעות, לפרסם דברים, או אפילו להשתמש בחשבונות שהיו מחוברים ומשורשרים לחשבון שלי. דור צח כתב על זה יפה בגלובס הלילה.

5.
זו לא התקלה הראשונה של הטרשת; זו גם לא התקלה הראשונה של הטרשת שמשפיעה על מחיר המניה בגלל נושאי פרטיות, אבל זו כן התקלה הראשונה שאיפשרה לא רק מידע שהיה ידוע לכולם (כלומר, כל מי שקרא את הניירת ידע שקיימברידג' אנאליטיקה זה חלק מהפרקטיקה העסקית הרגילה של פייסבוק ולא משהו שהם יכלו למנוע); אלא איפשרה פריצה אמיתית: השתלטות על חשבונות, ותקלה שאומרת שהאמון של הציבור ברשת הולך. זה מתלווה לדיווח אחר בסוף השבוע לפיו אנשים שסיפקו את המספר הסלולרי שלהם לרשת לצרכי אבטחה בלבד גילו שהשתמשו בה גם כדי להציג מידע למפרסים; מה שהתקלה הזו אומרת היא שהרשת החברתית בדרך למטה.

6.
קשה לומר שרשת חברתית עם מיליארדי משתמשים היא בדרך למטה; אבל הבעיה  כאן היא לגמרי הGDPR החדש שנכנס לתוקף. בהתאם להוראות הGDPR, ניתן לקנוס חברות עד ארבעה אחוזים מהמחזור הגלובאלי שלהן, כלומר במקרה של פייסבוק מדובר על מיליארד וחצי דולר, וזה רק על המקרה הזה. רק ב-2018 היו שניים-שלושה אירועים כאלה, ואנחנו עוד לא הגענו לסוף השנה. כלומר, יש אפשרות שעד סוף 2018 החברה תצטרך להפטר מעד 12 אחוזים מהמחזור שלה לטובת הרגולטור האירופי. זה משהו שיכול לחסל את המניה לגמרי, ולהרוג את החברה.

7.
אף אחד לא שה תמים כאן. האיחוד יודע שהקנסות האלו נועדו להרתיע ולגרום לכך שחברות רב לאומיות יתנהגו אחרת מולן. ישחקו יפה, הקנס יהיה נמוך יותר. ישחקו פחות יפה, הקנס יהיה אסטרונומי. אבל סוף סוף יש רגולטור עם שיניים שיוכל להכאיב לחברות האלו איפה שכואב.

8.
בחודשים האחרונים הקרן של הרשת הזו יורד לטובת מדיה אחרת שנמצאת בבעלות של אותו התאגיד: זה כבר לא פייסוש אלא אינסטוש; זה כבר לא מסנג'ר אלא WhatsApp, אבל התרבות הארגונית, של Move Fast and Break Things נשמרת שם. זה אותו נער קולג' שהשתמש ברשת שבנה כדי להכיר בחורות, זו אותה תרבות שהתעלמה משימושים של מדינה עוינת כדי להביא לכך שבבית הלבן ישב דיקטטור שהומלך על ידי דיקטטורה אחרת. התרבות הזו לא הולכת להעלם אלא אם נתמרד, אלא אם נפסיק לתת לה זמן מסך.

9.
עצרו לרגע; תחשבו כמה שעות ביום אתם יושבים מול פיד וגוללים למטה, ואז תשאלו את עצמכם אם יש משהו יותר אקטיבי שאתם יכולים לעשות.

תגובה אחת ל-“בעיות אבטחה כרוניות: הטרשת שלא מפסיקה להפרץ.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *