פיקוד העורף הגל השקט

הגדרת ישובים להתרעה
      הגדרת צליל התרעה

      נושאים חמים

      גם בבית הלבן? פירצה באפליקציה למציאת שלישיות חשפה את פרטי המשתמשים

      אפליקציות דייטינג רבות הואשמו באבטחה גרועה ובחשיפה של פרטי משתמשים כחלק מפריצות סייבר גדולות. כעת אפליקציית "3fun", המאפשרת לשמתמשים למצוא שלישיות, מגיעה לכותרות בעקבות פריצה לשרתי החברה בסוף השבוע האחרון. בפריצה אף נחשף כי חלק מהמשתמשים בבית הלבן

      אפליקציית 3fun (אתר רשמי)
      מציעים פרטיות ואבטחה. אפליקציית "3fun" (צילום: אתר רשמי)

      על האפליקציה הזו כנראה לא שמעתם, אבל פריצת אבטחה שהתגלתה בה בשבוע שעבר, חשפה את פרטיהם של אינספור משתמשים, לרבות מיקומים מדויקים ותמונות חושפניות. האפליקציה "3fun" היא אפליקציית היכרויות רגילה, ממש כמו טינדר וגריינדר, אולם היא מתמחה במציאת שלישיות. כך משתמשים יכולים לדפדף בין אנשים באפליקציה ולדבר עם קבוצות של אנשים. בין המשתמשים שנחשפו בפריצת הענק, ניתן אפילו למצוא כאלו שהמיקום הנוכחי והמדויק שלהם הוא בבית הלבן, במשרדי הממשלה בבריטניה ובבית המשפט העליון בארצות הברית.

      במשך לא מעט זמן, חוקרי אבטחה הזהירו משתמשים מפני בעיות האבטחה באפליקציית "3fun". עם זאת, האפליקציה מונה כבר מעל למיליון וחצי משתמשים ברחבי העולם ונשלחות בה מאות אלפי הודעות מדי יום. הפריצה נעשתה באמצעות בקשת "GET" פשוטה למדי, שחשפה תוך כמה רגעים את מיקומו המדויק של כל משתמש באפליקציה. עוד התכנון הלקוי של האפליקציה מאחסן בשרתים החשופים מידע כמו מיקום נוכחי, תאריך לידה, העדפות מיניות, שיחות בין אנשים ואפילו תמונות פרטיות. גם במידה ומשתמשים בחרו שלא לשתף אף פרט מידע בפרופיל הציבורי שלהם, המידע עדיין מאוחסן בשרתים באופן לא בטוח.

      מיקומים באפליקציית "3fun" גם בבית הלבן (צילום מסך)
      גם בבית הלבן. בין המיקומים שנחשפו בפריצה לשרתי אפליקציית "3fun" (צילום מסך)

      אפליקציית "3fun" אינה הראשונה לסבול מבעיות אבטחה כאלו, וגם באפליקציות כמו גריינדר, נמצא שניתן לזייף בקלות מיקומים נוכחיים, וזאת על מנת לקבל מרחקים מדויקים ממשתמשים אחרים. הדבר הזה יכול להיעשות בקלות, שכן בחנות האפליקציות של גוגל לא חסרות כאלו המסוגלות לגרום לסמארטפון שלנו לחשוב שהוא במיקום אחר לחלוטין. כתוצאה מטענה זו, אפילו ניתן לקבוע כי אותם משתמשים בבית הלבן הם כלל לא בעלי תפקיד, ולמעשה מדובר במתיחה של משתמשים מתוחכמים. לעומת זאת, אם אכן מדובר במשתמשים בעלי השפעה, מבדיקה קצרה של תאריכי הלידה שלהם, ניתן לחשוף בקלות את זהותם. ב-"3fun" הודיעו כי הפירצה מאז תוקנה והם פועלים על מנת לחזק את האבטחה בשרתי האפליקציה.