רוני שני
פירצת אבטחה בשירות דואר הרשת של אתר לייקוס (Lycos) מאפשרת לפורץ לחדור ללא קושי לתיבות הדואר המקוונות של משתמשי השירות. ההאקר הישראלי ניר גולדשלגר גילה את הכשל, שעלול לאפשר לתוקף זדוני לגנוב את קובץ ה-Cookie במחשב המקומי של משתמשי לייקוס, ובעזרת המידע המאוחסן בקובץ - לחדור ללא קושי לתיבות דואר מקוונות בשירות. פירצת האבטחה, הנחשפת כאן לראשונה, חמורה במיוחד, מאחר וגולשים שנפלו קורבן לתרמית יתקשו להתגונן נגדה.
משתמשים בעלי כוונות זדוניות המנצלים לרעה את פירצת האבטחה, מסוג Cross Site Scripting, עלולים לפתות גולשים תמימים להקליק על קישור מזויף הנשלח מהתוקף אל הנמען באמצעות הודעת דואר אלקטרוני. הקישור כולל קוד זדוני, ועם הלחיצה עליו ישלח המידע אשר בקובץ ה-Cookie ישירות אל התוקף.
לייקוס. תיבת דואר לא מאובטחת
הקובץ כולל את שם המשתמש והסיסמה, ומאפשר לפורץ ליהנות מגישה מלאה אל התיבה, ללא ידיעת המשתמש.
גולדשלגר מציין, כי מדובר בפירצה שגילה גם בשירות הדואר האלקטרוני של גוגל, Gmail, אשר תוקנה בינתיים. לדבריו, כל משתמש בעל ידע בסיסי יכול לשלב קוד ג’אווה סקריפט זדוני בקישור מסוים, להסוותו כאילו הגיע מאתר לייקוס עצמו, ולשתול אותו בהודעת דואר, על מנת שהמשתמש ילחץ עליו. "ברגע שהגולש לחץ על הלינק, האתר שלח את קובץ ה-cookie שלו אלי, ואני מקבל אותו כקובץ טקסט, שאותו אפשר לערוך", הוא הסביר.
לטענתו, גם אם הגולש ישנה את הסיסמה, ויבצע log out מהמערכת, זה לא יעזור, מאחר וה-Cookie בלייקוס אינו מכיל סיסמה מסוימת, אלא מספר סידורי קבוע של המשתמש, שאותו לא ניתן לשנות. "הדרך היחידה למנוע את הפריצה לחשבון היא לא לפתוח הודעות ממקור לא אמין", המליץ גולדשלגר.
בדיקה מאמתת את החשש
בדיקה של ynet מאמתת את החשש כי מדובר בכשל אבטחה קריטי, המאפשר הרצת קוד ג’אווה סקריפט באתר האינטרנט של לייקוס. מסתבר כי החברה אכן עושה שימוש בקובץ Cookie קבוע לזיהוי המשתמש בכל כניסה שלו לרשת האתרים שלה. במסגרת הבדיקה מחקנו את קבצי ה-Cache וה-Cookies, שינינו סיסמה וסגרנו את כל חלונות הדפדפן, ובכל זאת, הפורץ הצליח להיכנס לתיבה ולקרוא את הדואר שהיה בה.
אבירם חניק, מנכ"ל חברת האבטחה הישראלית Beyond Security, סבור שמדובר בפירצת אבטחה חמורה ביותר. "הבעיה היא - יותר מהאפשרות לגנוב את ה-Cookie - שמדובר באותו קוד זיהוי לאורך כל הדרך", הוא אמר, "פירושו של דבר שאם היה לי מחשב נייד, ומכרתי אותו לאדם אחר בלי למחוק את ה-Cache מהדפדפן, הוא יכול לקרוא לי את הדואר".
פניה ללייקוס נענתה בתשובה אוטומטית ממחלקת הדוברות, על פיה נציגי החברה בחופשת חג המולד, וישובו לעבודתם רק ב-3 לינואר. פניות שנשלחו הבוקר למחלקות נוספות בחברה עדיין לא נענו. לפיכך, לא נתקבלה תגובת האתר.
מקור: Ynet