הפריצה לפייסבוק: מה קרה שם, ומדוע היא חמורה יותר ממה שפורסם?

תנודה חריגה בכמות המשתמשים המחוברים, שזוהתה עוד באמצע ספטמבר, היא המקור לגילוי כי פייסבוק נפרצה הלכה למעשה על ידי תוקפים שהצליחו לקבל גישה לעשרות מיליוני חשבונות.  כזכור פייסבוק אישרה אמש כי בעקבות פירצה חמורה שנתגלתה בפלטפורמה של החברה, האקרים הצליחו לקבל גישה מלאה לכ- 50 מיליוני חשבונות. אבל כעת מתברר שזו הייתה רק תחילת הדרך.

ראשיתו של הארוע החמור הזה ככול הנראה ביולי 2017, בעקבות עדכון שעשו בחברה למנגנון ה- "view as",  פיצ'ר המאפשר למשתמש לדעת איך הפרופיל שלו נראה על ידי גולש אחר ואיזה מידע הוא בעצם משתף. בפייסבוק טוענים שלא ידעו דבר על הפירצה ולמעשה הסימן הראשון שמשהו לא היה כשורה ארע באמצע החודש, ב-16 לספטמבר, אז זוהתה קפיצה חריגה בכמות המשתמשים הפעילים שהדליקה נורה אדומה בקרב מהנדסי החברה. בפייסבוק סיפרו שחקירה שהחלו שם הביאה לגילוי ב-25 לספטמבר כי מנגנון ה- "view as" הכיל פירצה קריטית ונראה שמישהו עשה בה שימוש.

בהודעה שיצאה לתקשורת, עליה חתום גיא רוזן,  סגן נשיא פייסבוק לפיתוח מוצרים, הישראלי הבכיר בפייסבוק ומי שהקים את אונאבו (הסטראטאפ שעל בסיסו הוקם מרכז הפיתוח של פייסבוק בישראל) דווח כי אנשי החברה זיהו את הפירצה ביום שלישי האחרון (25/09) והצליחה לחסום אותה יממה מאוחר יותר - כשבמקביל החלו ליישם שם צעדי מניעה רלוונטים.

הפירצה המדוברת הורכבה למעשה מצירוף של שלוש חולשות במנגנון ה- "view as" שבמידה ושלושתן התקיימו - לתוקף פוטנציאלי ניתנה גישה ל"טוקן" (בעברית: אסימון) של המשתמש, אותו מפתח וירטואלי (למעשה רצף של כמה ספרות) שמאפשר לכם לנוע ברשת בחופשיות ולהשאר מחוברים לפייסבוק מבלי להקליד את הסיסמא שלכם מחדש. בחברה מנסים להציג את הפירצה כמאוד מורכבת לניצול אבל המאמצים הללו לא ממש משנים  - בעיקר מאחר ולמרות המורכבות המדוברת - מישהו כבר עשה בה שימוש.

במקביל, ההודעה עצמה חשפה פרט מעניין נוסף, אולי הפרט המדאיג ביותר בסיפור הזה. הפירצה הזו, שכאמור שכבה ללא גילוי למעלה משנתיים, לא הייתה פירצה תאורטית אלא נוצלה על ידי תוקפים שלעת עתה זהותם אינה ידועה. בפוסט שלו ציין רוזן שהחברה פנתה לרשויות אכיפת החוק (ה-FBI) ודיווחה על התוקפים האנונימיים, שכאמור נראה והחלו פעולה מאסיבית של קצירת מידע כבר בתחילת ספטמבר.

כאמור בחברה הצהירו במעורפל שהתוקפים האנונימיים שמו ידם על לפחות 50 מיליוני טוקנים של 50 מיליוני חשבונות אשר הושפעו ישירות מהמתקפה - שכאמור עדיין לא ברורה כלל מהותה. יתכן והעובדה הזו חושפת כי מי שעמד מאחורי המיתקפה הזו החל בפעולת קצירת מידע מאסיבית על משתמשים - אך בפייסבוק טענו כי לפחות בשלב הזה לא  ידוע להם על מידע שנגנב או מה עשו התוקפים עם הגישה הזו. בנוסף בהודעה צויין שכ- 40 מיליון גולשים נוספים היו בסכנה וכתוצאה מכך החליטו בפייסבוק לנתק את כל 90 מיליון המשתמשים המדוברים ואלו אכן נותקו ונדרשו להתחבר מחדש (וקיבלו נוטיפיקציה על כך).

"אנחנו מתייחסים לתקלה במלוא הרצינות" אמרו בפייסבוק, "ברצוננו להודיע לכולם על הפעולות שנקטנו מיידית כדי להגן על בטחונם. תיקנו את החולשה והודענו על המצב לרשויות החוק; אתחלנו את ססמת הגישה לכל 90 מיליון המשתמשים, שיצטרכו להתחבר מחדש לפייסבוק; וביטלנו את הפיצ׳ר המדובר עד שתסתיים בדיקת אבטחה מקיפה בעניין".

אז מה בעצם קרה פה? ובכן, המשמעות המידיית היא שברגע שתוקף שם ידו על אותו הטוקן, אותו מפתח או סמן זיהוי אישי וירטואלי, הרי שהלכה למעשה הוא מקבל גישה מלאה לחשבון המשתמש. ולא מדובר רק ביכולת לקרוא פוסטים פרטיים, או לנבור ברשימת אנשי הקשר והפרטים האישיים אלא גם בקריאת כל ההתקשרויות וההודעות האישיות במסנג'ר ואפילו להתחזות לקורבן ולהשתמש בפרופיל הפרוץ כאילו היה שלו - על כל המשתמע מכך.

וזה לא נעצר כאן - מאחר ורובנו עושים שימוש במנגנון ההתחברות של פייסבוק כדי להנות מגישה לפלטפורמות אחרות - הרי שגם אלו נחשפו לתוקפים. לדוגמא אם השתמשתם בפייסבוק כדי להתחבר לחשבון הטינדר שלכם, הרי שהפורץ קיבל גישה מלאה ומוחלטת לפרופיל שלכם ומעבר לקריאת הודעות - הם יכלו גם להגיב בשמכם ולמעשה לגנוב את זהותכם. ומה לגבי המידע שלכם ב-waze? מי שבחר להתחבר לאפליקציית הניווט הפופולארית דרך חשבון הפייסבוק שלו הרי שיתכן כי עוד מישהו שם ידיו על חשבונו וכעת יש לו גישה למסלול הנסיעה היומי שלכם. ומה עם אפליקציות כושר וריצה? מהסוג שעוקב אחרי המסלול שלכם - ובכן במידה ובחרתם להתחבר לאלו דרך פייסבוק - הרי שיתכן וגם המידע הזה נמצא בידיו של אחר.

ספוטיפיי, אובר, Airbnb , אינסטגרם  - הרשימה יכולה להמשיך בהתאם להרגלים ולאורח החיים הדיגיטלי של כל משתמש, אבל הרעיון הוא ברור - היקף הפריצה הזו חורג מגבולות פייסבוק וסביר להניח שמדובר בארוע חמור בהרבה ממה שניתן היה להבין מההודעה המעט מעורפלת של החברה.

שאלות רבות נוספת עולות מהארוע הזה. שאלות כמו מי היו התוקפים? כמה זמן שהו התוקפים במערכת של החברה מבלי להתגלות?  מיותר לציין שבשנים האחרונות רוסיה שמה לה למטרה לקצור כמה שיותר מידע על משתמשי פייסבוק ולנצל את הרשת החברתית לטובת הפצת דיסאינפורמציה ולהשפיע על הליכים חברתיים במדינות. ראינו את זה מוקדם יותר השנה בפרשת קיימברידג' אנליטקה ולפני כן בהתפוצצות תעשיית הפייק ניוז הרוסית בבחירות 2016 בארה"ב.

קשה לתאר את מימדי הנזק שעלול להיגרם מקצירת מידע המונית שכזו, אולי בעיקר כי ארוע בסדר גודל שכזה עדיין לא בוצע. מעבר למידע הטמון בפרופיל האישי של משתמש פלוני אלמוני, התוקפים קיבלו גישה למאות מאגרי מידע אחרים בהם עשו המשתמשים שימוש ואשר מסגירים פרטים אינטימיים על חייהם, מהסוג שעלולים להיות מנוצלים בהמשך - מהעדפות מיניות, דרך הרגלי היום -יום ועד להעדפות תחביבים ואפילו סטיות מיניות - כן, פייסבוק עוקבת אחריכם גם אם גלשתם באתרים אחרים ואוגרת את המידע הזה - מידע שיתכן וכרגע מוחזק אצל גורם עלום.

עדיין לא ברור לאן הרוח נושבת בסיפור הזה אך אם יש משהו אחד ודאי הוא שמימדיו רק יגדלו, ככול שהשעות והימים יעברו ויותר מידע מהסיפור הזה ייחשף לציבור השאלות הגדולות יעלו שוב לשולחן: כיצד קורה שכל מאגרי המידע הללו, חלקם רגישים, מחוברים בכזו קלות? איפה המחוקק או הרגולטור בארוע הזה ומה תפקידם בהגנה על האזרח ובמניעת הארוע הבא? סיפור מרתק נוסף שוודאי נשמע עליו בימםי הקרובים הוא מה עמדתו של האיחוד האירופי, זה שהעביר את תקנות הגנת הפרטיות המחמירות ה-GDPR, האם פייסבוק תקנס בסכום עתק?

לסיום, אם לא התרגשתם מהסיפור הזה עד כה, ניתן להבין את העניין. בימים שבהם חדשות על האקרים ופירצות הן עניין שבשגרה - הציבור הפך קצת קהה חושים ואין בידיו מספיק ידע או כלים להתמודד ולהבין את הארועים הרבים השונים כמו גם את הקונספט שכל מאגר מידע, מוגן ככול שיהיה,  סופו להיפרץ. למרות זאת, אספקט אחד אמור להדיר שינה מעיני כולנו- וזה כלל לא קשור לפריצה עצמה.

שעות ספורות לאחר שפייסבוק הכריזה על הפריצה ארעה "תקלה" מוזרה. מסתבר שאם חשקה נפשכם לשתף בפיד כתבות שעסקו בעניין - הדבר נמנע מכם. נראה כי מישהו בפייסבוק סימן כתבות מאתרים מכובדים שסיקרו את הסיפור, דוגמת הגרדיאן, כספאם או פייק ניוז ובכך ניסו שם לצמצם או לשלוט בהפצת המחדל.

זה, גבירותי ורבותי, אמור לשמש כהתרעה וכדגל אדום לעתיד לבוא  בעשור הבא -  עשור ובו סדר עולמי חדש יאיים להשתלט על חיינו.