פיקוד העורף הגל השקט

הגדרת ישובים להתרעה
      הגדרת צליל התרעה

      נושאים חמים

      בלעדי: פרצת אבטחה חמורה בג'ימייל

      בדיקת וואלה! גילתה פרצה במנגנון איפוס הסיסמה לשירות הדואר האלקטרוני הפופולרי המאפשרת להשתלט בקלות על תיבות מייל של משתמשים אחרים תחת אותה רשת

      בלעדי: פרצת אבטחה חמורה בג'ימייל

      עריכה: רן צימט, קריינית: טל היינריך

      פרצת אבטחה חמורה בשירות הדואר האלקטרוני ג'ימייל מאפשרת להיכנס לחשבונות של משתמשים אחרים, כך חשפה בדיקת וואלה! TECH. הפרצה היא בתהליך איפוס הסיסמה לשירות של ג'ימייל, אך כדי לא לפגוע בבטיחות המייל של הגולשים אנו נמנעים מלספק תיאור מפורט של תהליך הפריצה.

      נניח שאתם קוראים את הכתבה הבאה ממשרדי החברה שלכם. כמו עובדים רבים, אתם גולשים לאתרים נוספים במהלך היום, ובודקים הודעות מספקי מייל שונים. אם אחד המיילים שאתם בודקים הוא בחשבון ג'ימייל, ייתכן מאוד שאתם חשופים לפרצה דרך מחשב אחר מהמשרד. במילים פשוטות: תוכלו לקרוא את המיילים של הבוס שלכם ולהשתלט על חשבון הגוגל שלו די בקלות, מהלך שהוא כמובן לא חוקי.

      בבדיקה שערכנו גילינו פרצת אבטחה חמורה, המאפשרת לחדור בקלות אל תיבות של משתמשים אחרים. המשמעות היא שמידע פרטי וחשוב, כולל בשירותי גוגל נוספים דוגמת גוגל אנליטיקס, חשוף ואינו מוגן. הפרצה נמצאת בתהליך איפוס סיסמה של חשבון ג'ימייל ובכמה צעדים פשוטים מתקבלת הגישה לתיבת ג'ימייל של עובד אחר בחברה. מה שמעמיד בסיכון לכאורה את כל התיבות של כל העובדים תחת אותה רשת בחברה.

      כפי הנראה, הפרצה פעילה עבור משתמשי ג'ימייל בתוך ארגון מסוים. במלים אחרות, חברות בעלות רשת פנימית מקבלות IP אחד עבור רוב המחשבים בחברה מאחר וכולם מחוברים לאותה הרשת.

      "מבחינת אבטחת מידע מדובר במפגע חמור" אומר דורון סיוון, מנכ"ל חברת האבטחה MADSEC, "ברגע שהאקר יצליח להתחבר לרשת הארגונית ולגלוש דרכה לאינטרנט, הוא יכול לעקוף את מנגנון אימות המשתמש. כך, הוא יכול לקבל שליטה על חשבון הדואר ולקבל גישה לדואר האלקטרוני והמידע הרגיש. מקור הבעיה הוא בכך ש Gmail מזהה את שמספר משתמשים פונים אליו דרך אותה כתובת IP ולכן מניח שמדובר בעובדים באותו ארגון. לפיכך הוא מאפשר ביתר קלות לאפס את הסיסמא. ארגונים רבים נוטים להשתמש ב gmail למטרות דואר אלקטרוני, חובה על ארגונים אלו ועל google להיות מודעים לבעית אבטחה זו".

      בבדיקות שונות שערכנו כאן בוואלה! הצלחנו בקלות "לשכנע" את מערכת איפוס הסיסמה של ג'ימייל שאנחנו בעליו של חשבון אליו אנחנו לא מצליחים להיכנס, ודרך תהליך איפוס הסיסמה, ובכלים המסופקים על ידי ג'ימייל בלבד, השגנו סיסמאות לחשבונות ג'ימייל של עובדים אחרים בתוך החברה.

      פנינו לחברת גוגל ונביא את תגובתה לכשתתקבל.