אם אתה מזין את מספר הטלפון שלך באחד הדפים של האתר של סלקום, כך מספר אמיתי זיו, הוא יציג את הדגם של המכשיר שלך*. אפשר להתווכח האם רמת החדירה לפרטיות (שמין הסתם ניתן להשיגה גם דרך המוקד הטלפוני של החברה) מצדיקה את היכולת לקבל שירות טוב ברשת. אמיתי זיו, לא מסתפק בחדירה השולית לפרטיות, אלא קובע שחברות מתחרות יוכלו "לחלוב" מידע על מנויי סלקום בסקריפט בעל 4 שורות. מי שבמקום לקשקש כמו עיתונאי יקדיש דקה לחישוב הזמן שיקח לשאיבת המידע יגלה שבהנחה שניתן לקבל מידע על עשרה מנויים בשניה ניתן לקבל מידע על 860000 מנויים ביום ולכן יקח 11 ימים לקבל את המידע על כל מנויי סלקום, ואם סלקום תגביל את היכולת ללא יותר משאילתה אחת בכל 10 שניות ידרשו יותר משלוש שנים בלי שסלקום תפגע באופן מעשי בשרות ללקוח, וכל זה בהנחה שבסלקום יושבים אנשי IT טפשים שלא מרגישים שזה קורה.

*אצלי כמובן זה יציג דגם אחר מאחר שלא קניתי את הפלאפון בחנות של סלקום אבל אין לי סטטיסטיקה לגבי אחוז האוכלוסיה במצב הזה.

הגנבה של המסמכים של טוויטר היתה שילוב של עבודת איסוף נתונים ארוכה ומשעממת של הפורץ, קצת מזל במציאת פירצת האבטחה, תרבות ארגונית של טוויטר שפשוט התעלמה מהכלל הבסיסי שכל מה שנגיש יפרץ בסופו של דבר, שטיפת המח של גוגל שמעודדת אנשים לא למחוק דואל ומסמכים, וגימייל שעוזר יותר מדי לפורצים.

בשלב הראשון הפורץ בילה הרבה זמן בחיפוש אחרי כל הפרטים האישיים של אנשי גוגל שהוא יכל למצוא ברשת – שמות, כתובות דואל, בני משפחה, חיות מחמד ויתר פרטי טריוויה.

בשלב השני הוא ניסה להתחבר לשירותי רשת פופולאריים בעזרת המידע שהיה לו – אני מניח שהוא התחיל בנסיונות לפרוץ לתיבות הדואל הרשתיות. סביר להניח שהוא ניסה לפרוץ לחשבונות בעזרת מנגנון שיחזור הסיסמא, ובסופו של דבר הוא הגיע לחשבון בגימייל שכאשר הוא ניסה לשחזר בו את הסיסמא הוא קיבל הודעה שהסיסמא החדשה נשלחה לתיבת דואל ******@h******.com (סליחה על ההיפוך). הוא ניחש שמדובר בחשבון בהוטמייל ובעזרת הפרטים שהיו ידועים לו על אותו אדם הוא ניחש מה היה החשבון. לא ברור כמה שמות משתמשים הוא ניסה אבל אחד מהם היה של חשבון לא פעיל בהוטמייל. הוא פתח חשבון בהוטמייל תחת אותו שם משתמש וביקש מגימייל לשחזר את הסיסמא ותוך מספר דקות אכן הסיסמא לגימייל הגיע לחשבון בהוטמייל, הוא השתמש בה ונכנס לחשבון הדואל בגימייל.

השלב השלישי גרם לי להעריץ את הפורץ על המקצועיות שלו. היה ברור לו שזה זה רק ענין של זמן עד שבעל תיבת הדואל ינסה להכנס לחשבון הדואל שלו ומאחר שהסיסמא שונתה הוא לפחות ישנה אותה שוב, אפילו אם לא ישים לב לפריצה. אני בטוח שהוא ראשית העתיק את הדברים שהיו זמינים לו, אבל לאחר מכן הוא בילה זמן בניסיון לשחזר את הסיסמא המקורית של החשבון. לשמחתו בין כל הדברים שהוא גילה בתיבת הדואל היה גם דואל משירות וובי שבו צוין שם המשתמש, והסיסמה לשירות, והפורץ הניח שהאדם משתמש כמו כולנו באותה סיסמא לכל שירותי הרשת ושינה את הסיסמא של גימייל לאותה סיסמא. אחרי זמן מה כשהפורץ ראה שדואל מתקבל ונקרא הוא היה בטוח שאיש לא מודה לכך שהחשבון נפרץ.

השלב הרביעי כבר היה קל וללא כל לחץ נפשי. כבר היתה לו גישה למסמכים מענינים שנשלחו בדואל, ומתוך הדואל שהוא קרא הוא קיבל רמזים נוספים לסיסמאות של משתמשים אחרים ושירותים אחרים.

לא ברור מה היו בדיוק המניעים של הפורץ, אבל לא הייתי מתפלא אם בשלב הזה במקום לפנות לטקראנץ' עם המסמכים ה"גנובים", הפורץ היה סוחט את טוויטר.

מוסר השכל? לכאורה הוא ברור מאליו – אם יש לך דברים סודיים שאתה מעדיף להסתיר, הדבר האלמנטרי שאתה צריך לעשות הוא לדאוג שהם לא יהיו נגישים דרך הרשת.

התיאור המלא של הפריצה בטקראנץ'.

חוקרים של אוניברסיטת קרנגי-מלון ומיקרוסופט ביצעו מחקר שמטרתו היתה לבדוק עד כמה מאובטח מנגנון שיחזור הסיסמא המבוסס על שאלה ותשובה של אתרי הדואל הגדולים (גימייל, הוטמייל, יאהו וAOL). המחקר בדק עד כמה קשה לאנשים שלא אמורים להיות מורשים לקרוא את הדואל שלך להשתמש במנגנון שחזור הסיסמא בכדי להכנס לחשבון שלך. התוצאות היו כדלקמן:

• אחרי חצי שנה 20% מהמשתתפים שכחו מה התשובה לשאלה שהם עצמם בחרו
• ב17% מהמקרים מכרים הצליחו לנחש את התשובה הנכונה
• ב13% מהמקרים אדם אקראי הצליח לנחש את התשובה תוך 5 נסיונות
• שאלות השיחזור שאנשים בוחרים בעצמם לא בהכרח קשות יותר לפיצוח מהשאלות המוכנות מראש

לפי התוצאות של המחקר לגימייל יש את השאלות המאובטחות ביותר, אבל לפחות שתיים מהשאלות שמופיעות במחקר הן כאלו שאין להן משמעות רבה לישראלי המצוי.

סביר להניח שהחולשה במנגנון שיחזור הסיסמא היא זה שדרכה נפרצה תיבת הדואל האישית של יולי תמיר ביאהו. (הבעיתיות בכך שאדם, רק בגלל שהוא שר לשעבר ומקושר עם אנשים ביהאו, יכול להפוך תיבות דואל שאין לו גישה אליהן לשלו היא נושא מענין בפני עצמו).

לכאורה הפיתרון לבעיה הוא פשוט – אדם צריך להחזיק תיבת דואר משנית בשירות דואל אחר, וכאשר הוא שוכח את הסיסמא הוא יכול פשוט לבקש לאתחל אותה ואז הסיסמא החדשה תישלח לתיבה המשנית. הפריצה למסמכים של טוויטר מוכיחה שאפילו זה אינו פתרון בטוח מספיק, אבל על הפריצה יבוא מאמר אחר.