אתר ההכרויות הפופולרי JDate הוא אחד מהאתרים הגדולים בתחום, עם למעלה מ-450 אלף חברים רשומים בארץ ובעולם.
בדיקה מעמיקה חושפת פירצת אבטחה באתר, המאפשרת לכל אחד, אפילו אם הוא לא בעל חשבון ב-JDate, לקבל גישה למגוון התמונות שהמשתמשים העלו אל האתר וחמור מכך – גישה מלאה גם אל התמונות שנמחקו על ידי המשתמשים.
כיצד זה אפשרי? לפניכם התהליך המדויק שלב אחרי שלב
אחרי שאימתנו את נכונותה של פירצת האבטחה, החלטנו לפתוח חשבון באתר ההיכרויות JDate ומילאנו כרטיס אמיתי, בתשלום, עם פרטים נכונים ומדוייקים. לאחר מכן, בשיחה שערכנו מול אחת מנציגות התמיכה הטכנית באתר, ביקשנו לוודא את מחיקת הכרטיס. נציגת השירות טענה בתוקף שהמנוי הוקפא, התמונה נמחקה ואינה קיימת יותר במאגר התמונות של JDate ואף ביצעה מספר פעולות נוספות למחיקת התמונה.
בתנאי השימוש של JDate, מצויין כי עם העלאת התמונות לשירות, המשתמשים למעשה מעניקים לחברה זכות קניינית מלאה ואפשרות להשתמש בהן כפי שהם רוצים, כך שמצד החברה אין שום עבירה על החוק, אך מצד המשתמש, בהחלט יש מקום לדאגה, שכן התמונות נשארות במאגר התמונות של החברה גם לאחר שמבחינת המשתמשים, מחקו אותן.
בתום השיחה עם נציגת השירות פנינו לבדוק את פירצת האבטחה וגילינו כי על אף שהבטיחה שנמחקה מהמערכת, לנו ולכל אדם אחר היתה גישה חופשית אליה באמצעות הפריצה למאגר התמונות של החברה.
כל התמונות חשופות
על מנת לעשות שימוש בפירצה נכנסנו עם פרטי החשבון שפתחנו, המנוי ב-JDate אל אתר ההיכרויות והתחלנו לדפדף בכרטיסים של משתמשים שונים. בחרנו באקראי פרופיל של בחורה המנויה לשירות והחלטנו לבדוק את התמונות שלה.
תוך כדי קבלת הכתובת של התמונה עם שימוש מתאים בכלי ה-Inspect Element של דפדפן כרום, נתקלנו בכתובת המלאה של התמונה, המגיעה בפורמט של photos.sparksites.com/year/month/day/number/picnumber.jpg
פה חשדתי
נכנסנו אל הכתובת photos.sparksites.com בכדי לראות מה קורה, וקיבלנו את התוצאה הבאה:
מהרשומה הראשונה שמופיעה בקובץ ה-XML להלן, ניתן לראות שישנו פרמטר בשם Name המכיל את הערך sparkmemberphotos, כלומר שם החשבון (או בשפה של אמזון – Bucket) של החברה בשרתי אמזון. הערך תואם את שם חברת "Spark Networks" המפעילה את אתר JDate בישראל.
בשלב זה לקחנו את הערך sparkmemberphotos, והצבנו אותו בסאב הדומיין בשירותי הענן של אמזון (s3.amazonaws.com), מה שיצא זה sparkmemberphotos.s3.amazonaws.com.
למרבה הפלא, קיבלנו את אותה התוצאה: כלומר, בתוך הדומיין sparkmemberphotos.s3.amazonaws.com ניתן למצוא את שמות כל התמונות באתר JDate, על פי הפרמטרים השונים של התמונה:
Key – התאריך בה הועלתה התמונה.
LastModified – התאריך והשעה בה שונתה התמונה לאחרונה.
ETag – פרמטר ייחודי לכל תמונה (מבוסס md5
Size – גודל התמונה (בבתים).
StorageClass – סוג האחסון, בדרך כלל Standard.
בטוחה, סודית ומאובטחת?
עוד גילינו, כי הכנסת ה-path של תמונה מסויימת לפרמטר marker מראה לנו את התמונות הבאות אחריו, אשר הועלו אל האתר בסדר כרונולוגי, בכמויות של 1,000 תמונות לכל דף xml. כלומר, באפשרותנו לגשת לכל הכתובות של כל התמונות באתר JDate החל מה-11 במרץ 2002 ואילך ולהוריד אותן ישירות אל המחשב.
מיותר לציין כי משתמשים בעלי ידע בתכנות אתרים, יכולים תוך מספר שעות לבנות סקריפט שיסרוק את כלל הקבצים, אחד אחרי השני תוך שימוש בפרמטר Marker ויקבל את הכתובות של כל התמונות באתר JDate, יוריד אותם למחשב ויאפשר להאקרים לעשות בהן שימוש כרצונם.
גם אם לא ניתן לזהות את המשתמש או לדעת באופן אוטומטי מהן כל התמונות השייכות לאותו המשתמש, עדיין ניתן להוריד את כל התמונות ולמיין אותן על פי טכנולוגיית זיהוי פנים כלשהי. עוד דרך, היא להיכנס לחיפוש התמונות של גוגל ולחפש תמונות דומות על פי התמונה. סביר להניח, כי עבור חלק מהמשתמשים התמונה ודרכי זיהוי התמונה ברשת יביאו לחשיפה חלקית של פרטי המשתמש. בנוסף, ניתן לשלוח בקשות API ישירות לשרת של JDate באמזון, ללא כל צורך בשימוש בסיסמא, מה שיכול להביא לרשימה ארוכה של סקריפטים המבצעים מניפולציות שונות על התמונות.
יש לציין כי גם לאחר מחיקת התמונה מחשבון המשתמש ב-JDate, התמונה המשיכה להופיע בכתובת ה-URL שלה, מה שאומר שמשתמש המעוניין למחוק את התמונה מהפרופיל שלו, אינו בהכרח מוחק את התמונה משירות הענן של אמזון. צילמתם תמונה מביכה והעליתם אותה אל השירות? יכול מאוד להיות שהאקרים, אשר גילו על דבר הפירצה לפנינו מחזיקים בתמונות הללו ועשו זאת ללא כל קושי.
התוצאה
סקריפט שנבנה ומשך את כל התמונות הציג לנו את התוצאה הבאה, היישר לתוך תיקייה במחשב.
לפני פרסום הכתבה יצרנו קשר עם חברת Spark Networks המפעילה את שירות JDate ושיתפנו אותם עם פירצת האבטחה על מנת למנוע פגיעה במשתמשים ובפרטיותם. החברה הבטיחה לחסום במהירות את פירצת האבטחה. היום בבוקר חסמה החברה המפעילה את אתר JDate את הפירצה אך טרם העבירה לנו תגובה רשמית לידיעה.
>> הכתבה פורסמה במקור באתר Geektime
>> וידאו: iOS 7 כוללת שליטה באייפון ובאייפד באמצעות תנועות ראש