אתר ההכרויות הפופולרי JDate הוא אחד מהאתרים הגדולים בתחום, עם למעלה מ-450 אלף חברים רשומים בארץ ובעולם.

בדיקה מעמיקה חושפת פירצת אבטחה באתר, המאפשרת לכל אחד, אפילו אם הוא לא בעל חשבון ב-JDate, לקבל גישה למגוון התמונות שהמשתמשים העלו אל האתר וחמור מכך – גישה מלאה גם אל התמונות שנמחקו על ידי המשתמשים.

אין תמונה
450 אלף משתמשים חשופים

 

 

 

 

 

 

 

 

 

 

 

כיצד זה אפשרי? לפניכם התהליך המדויק שלב אחרי שלב

אחרי שאימתנו את נכונותה של פירצת האבטחה, החלטנו לפתוח חשבון באתר ההיכרויות JDate ומילאנו כרטיס אמיתי, בתשלום, עם פרטים נכונים ומדוייקים. לאחר מכן, בשיחה שערכנו מול אחת מנציגות התמיכה הטכנית באתר, ביקשנו לוודא את מחיקת הכרטיס. נציגת השירות טענה בתוקף שהמנוי הוקפא, התמונה נמחקה ואינה קיימת יותר במאגר התמונות של JDate ואף ביצעה מספר פעולות נוספות למחיקת התמונה.

 

בתנאי השימוש של JDate, מצויין כי עם העלאת התמונות לשירות, המשתמשים למעשה מעניקים לחברה זכות קניינית מלאה ואפשרות להשתמש בהן כפי שהם רוצים, כך שמצד החברה אין שום עבירה על החוק, אך מצד המשתמש, בהחלט יש מקום לדאגה, שכן התמונות נשארות במאגר התמונות של החברה גם לאחר שמבחינת המשתמשים, מחקו אותן.

אין תמונה
"הינך מעביר לנו, עם בעלות ואחריות מלאים, את כל זכויות היוצרים על הפרופיל שלך ועל תמונותיך"

 

 

 

 

 

 

 

 

 

 

 

בתום השיחה עם נציגת השירות פנינו לבדוק את פירצת האבטחה וגילינו כי על אף שהבטיחה שנמחקה מהמערכת, לנו ולכל אדם אחר היתה גישה חופשית אליה באמצעות הפריצה למאגר התמונות של החברה.

כל התמונות חשופות

על מנת לעשות שימוש בפירצה נכנסנו עם פרטי החשבון שפתחנו, המנוי ב-JDate אל אתר ההיכרויות והתחלנו לדפדף בכרטיסים של משתמשים שונים. בחרנו באקראי פרופיל של בחורה המנויה לשירות והחלטנו לבדוק את התמונות שלה.

אין תמונה
תמונה מפרופיל אקראי של בחורה הופיעה במלואה

 

 

 

 

 

 

 

 

 

 

 

תוך כדי קבלת הכתובת של התמונה עם שימוש מתאים בכלי ה-Inspect Element של דפדפן כרום, נתקלנו בכתובת המלאה של התמונה, המגיעה בפורמט של photos.sparksites.com/year/month/day/number/picnumber.jpg

אין תמונה
התמונה במקור לא היתה מטושטשת כמובן

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

פה חשדתי

נכנסנו אל הכתובת photos.sparksites.com בכדי לראות מה קורה, וקיבלנו את התוצאה הבאה:

אין תמונה
התמונה במקור לא היתה מטושטשת כמובן

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

מהרשומה הראשונה שמופיעה בקובץ ה-XML להלן, ניתן לראות שישנו פרמטר בשם Name המכיל את הערך sparkmemberphotos, כלומר שם החשבון (או בשפה של אמזון – Bucket) של החברה בשרתי אמזון. הערך תואם את שם חברת "Spark Networks" המפעילה את אתר JDate בישראל.

בשלב זה לקחנו את הערך sparkmemberphotos, והצבנו אותו בסאב הדומיין בשירותי הענן של אמזון (s3.amazonaws.com), מה שיצא זה sparkmemberphotos.s3.amazonaws.com.

אין תמונה
התמונה במקור לא היתה מטושטשת כמובן

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


למרבה הפלא, קיבלנו את אותה התוצאה: כלומר, בתוך הדומיין sparkmemberphotos.s3.amazonaws.com ניתן למצוא את שמות כל התמונות באתר JDate, על פי הפרמטרים השונים של התמונה:
Key – התאריך בה הועלתה התמונה.
LastModified – התאריך והשעה בה שונתה התמונה לאחרונה.
ETag – פרמטר ייחודי לכל תמונה (מבוסס md5
Size – גודל התמונה (בבתים).
StorageClass – סוג האחסון, בדרך כלל Standard.

בטוחה, סודית ומאובטחת?

עוד גילינו, כי הכנסת ה-path של תמונה מסויימת לפרמטר marker מראה לנו את התמונות הבאות אחריו, אשר הועלו אל האתר בסדר כרונולוגי, בכמויות של 1,000 תמונות לכל דף xml. כלומר, באפשרותנו לגשת לכל הכתובות של כל התמונות באתר JDate החל מה-11 במרץ 2002 ואילך ולהוריד אותן ישירות אל המחשב.

אין תמונה
"ספארק תהא רשאית להעביר את הפרופיל שלך, וכן לאפשר לגורמים שלישיים לצפות בפרופיל שלך"

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

מיותר לציין כי משתמשים בעלי ידע בתכנות אתרים, יכולים תוך מספר שעות לבנות סקריפט שיסרוק את כלל הקבצים, אחד אחרי השני תוך שימוש בפרמטר Marker ויקבל את הכתובות של כל התמונות באתר JDate, יוריד אותם למחשב ויאפשר להאקרים לעשות בהן שימוש כרצונם.

אין תמונה
אופס. כל התמונות חשופות

 

 

 

 

 

 

 

 

 

 

 

גם אם לא ניתן לזהות את המשתמש או לדעת באופן אוטומטי מהן כל התמונות השייכות לאותו המשתמש, עדיין ניתן להוריד את כל התמונות ולמיין אותן על פי טכנולוגיית זיהוי פנים כלשהי. עוד דרך, היא להיכנס לחיפוש התמונות של גוגל ולחפש תמונות דומות על פי התמונה. סביר להניח, כי עבור חלק מהמשתמשים התמונה ודרכי זיהוי התמונה ברשת יביאו לחשיפה חלקית של פרטי המשתמש. בנוסף, ניתן לשלוח בקשות API ישירות לשרת של JDate באמזון, ללא כל צורך בשימוש בסיסמא, מה שיכול להביא לרשימה ארוכה של סקריפטים המבצעים מניפולציות שונות על התמונות.

יש לציין כי גם לאחר מחיקת התמונה מחשבון המשתמש ב-JDate, התמונה המשיכה להופיע בכתובת ה-URL שלה, מה שאומר שמשתמש המעוניין למחוק את התמונה מהפרופיל שלו, אינו בהכרח מוחק את התמונה משירות הענן של אמזון. צילמתם תמונה מביכה והעליתם אותה אל השירות? יכול מאוד להיות שהאקרים, אשר גילו על דבר הפירצה לפנינו מחזיקים בתמונות הללו ועשו זאת ללא כל קושי.

התוצאה

סקריפט שנבנה ומשך את כל התמונות הציג לנו את התוצאה הבאה, היישר לתוך תיקייה במחשב.

אין תמונה
אופס. כל התמונות חשופות

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 



לפני פרסום הכתבה יצרנו קשר עם חברת Spark Networks המפעילה את שירות JDate ושיתפנו אותם עם פירצת האבטחה על מנת למנוע פגיעה במשתמשים ובפרטיותם. החברה הבטיחה לחסום במהירות את פירצת האבטחה. היום בבוקר חסמה החברה המפעילה את אתר JDate את הפירצה אך טרם העבירה לנו תגובה רשמית לידיעה.

>> הכתבה פורסמה במקור באתר Geektime

>> וידאו: iOS 7 כוללת שליטה באייפון ובאייפד באמצעות תנועות ראש

>> מיקרוסופט חושפת את אינטרנט אקספלורר 11