BETA

08.08.2018

22:06

פרצת האבטחה בוואטסאפ: בחברה סירבו לתקן את המחדל שנחשף בישראל

חברת אבטחת המידע צ'ק פוינט מצאה נקודות תורפה בהגנה המוחלטת שהמערכת מבטיחה למשתמשים. פייסבוק: "מתייחסים ברצינות לאתגר הדיסאינפורמציה" • "אנליסט"

חברת אבטחת המידע צ'ק פוינט יצאה אתמול (רביעי) בהודעה שהלחיצה מיליארדי לקוחות – בקבוצות דיון בוואטסאפ עם שלושה משתתפים או יותר, אפשר בקלות לצטט אדם אחר ולהגיב לתכנים שלו, מבלי שהוא באמת כתב אותם.

 

"משתמשים בפונקציה באפליקציה שנקראת 'ציטוט', היכולת שלי לצטט אמירה קודמת של אדם בקבוצה", הסביר ד"ר נמרוד קוזלובסקי, מומחה לטכנולוגיה ולסייבר, "הציטוט הזה אף פעם לא נאמר על ידו ולא היה בקבוצה. הדבר הזה מאפשר לייצר ידיעות שקריות, כוזבות והפצה של מידע שנחזה להיות משויך לאנשים למרות שהם אף פעם לא אמרו אותו".

 

 ד"ר נמרוד קוזלובסקי, מומחה לטכנולוגיה וסייבר
 

ד"ר נמרוד קוזלובסקי, מומחה לטכנולוגיה וסייבר(חדשות עשר )

 

 

שני חוקרים בחברת האבטחה פעלו בחשאי במשך חודשים ארוכים כדי לחשוף את הפרצה החמורה במנגנון האבטחה של וואטסאפ, אפיליקציית המסרים המצליחה בעולם בה משתמשים 1.5 מיליארד אנשים, וכל יום עוברת דרכה 65 מיליארד הודעות טקסט, תמונה וסרטונים.  רומן זאיקין, חבר הצוות שחשף את פרצת האבטחה, הסביר כי "לא צריך שום דבר בשביל לעשות את זה. לא דרוש ידע טכני רב".

 

בוואטסאפ, שנרכשה על ידי פייסבוק בשנת 2014, סירבו לתקן את המחדל שנחשף בישראל, וגם כשאנשי צ'ק פוינט הציעו עזרה זמנית לסתימת הפרצה, הנהלת האפליקציה סירבה, בנימוק שמדובר בבעיה מבנית ואין הכרח לתקן אותה. ד"ר דורית דור, סגנית נשיא למוצרים בחברת צ'ק פוינט, אמרה כי: "פנינו אליהם, הם יודעים על זה והם לא תיקנו את זה. העובדה שזה איננו סיפור מבחינתם, אותי היא קצת מדאיגה".

 

פייסבוק מסרה בתגובה: "בדקנו את העניין, אך אין לטענה כל קשר לאבטחה או הצפנת מידע. זו המקבילה של שינוי תוכנו של אימייל כך שייראה כמו דבר שהשולח לא כתב מעולם. אנו מתייחסים ברצינות לאתגר הדיסאינפורמציה – ולכן הגבלנו לאחרונה את היקף הנתונים שניתן להעביר הלאה ואף הוספנו סימן מעל הודעה מועברת. הכנסנו גם שינויים בקבוצות הצ'אט בוואטסאפ ואני עובדים עם ארגוני החברה האזרחית כדי לחנך את הציבור להימנע מהפצת "פייק ניוז" ושמועות".