כשפייסבוק מדווחת על פרצת אבטחה - למה היא מתכוונת?

ארבעה ימים חלפו מאז דיווחו בפייסבוק על פרצת אבטחה חמורה, שנוגעת לפחות ל-50 מיליון משתמשים, ועדיין - רב הנסתר על הגלוי: בערב שישי האחרון פורסם פוסט בבלוג הרשמי של הרשת החברתית, לפיו ב-25 בספטמבר זוהתה הפרצה על-ידי אנשי האבטחה של החברה, ובתוך שלושה ימים היא טופלה ודווחה - גם לרשויות וגם למשתמשים.

עדיין אין תשובות. מארק צוקרברג(צילום: AFP)

"אנחנו נמצאים עדיין בשלבים מוקדמים מאוד של החקירה", כתב אז גיא רוזן, סגן מנהל מוצר בפייסבוק, "אולם ברור לנו שתוקפים ניצלו חולשות בקוד של פייסבוק". 2-3 פסקאות של הסברים מעורפלים לאחר מכן, כתב רוזן כי "מאחר והחקירה רק החלה, עוד לא הכרענו האם חשבונות המשתמשים נוצלו לרעה ובאיזה אופן". באותו הפוסט הודגש כי פייסבוק טיפלה בחולשה וכי משתמשים לא נדרשים להחליף סיסמאות.

במילים פשוטות - פייסבוק זיהתה חולשת אבטחה שנבעה משילוב של שלושה באגים נקודתיים. המפגש בין שלושת הבאגים, איפשר לתוקפים להיחשף לאסימוני גישה - מעין מפתחות דיגיטליים שנוצרים על ידי פייסבוק עבור כל חשבון, ומאפשרים לכם להישאר מחוברים באמצעות פייסבוק, מבלי להצטרך להקליד מחדש את שם המשתמש והסיסמה בכל כניסה. באמצעות פיצ'ר View As - שנועד כדי שנוכל לראות איך בדיוק רואים את הפרופיל שלנו אנשים אחרים ברשת החברתית - בין אם הם חברים ובין אם לא - נחשפו התוקפים לאסימוני הגישה. בפועל - תוקפים יכלו להשתמש בכל אחד מ-50 מיליון החשבונות החשופים בפייסבוק, כאילו היו שלהם. ללא התראה או חשד לפריצה.

קצת אחרי הפרסום הראשוני, שדיווח כאמור באופן די מעורפל על הפרצה, החלו להצטבר תוספות: בפייסבוק הוסיפו עדכונים טכניים יותר, קיימו שיחות ועידה עם עיתונאים וראיונות של בכירים בכלי תקשורת מרכזיים. מי שהמשיכו להתעמק בפרשה, גילו שאותם אסימונים משמשים גם אפליקציות צד ג'. כלומר, התוקפים יכלו להשתמש לא רק בחשבונות הפייסבוק כאילו היו שלהם - אלא גם (ובוודאי) בחשבון האינסטגרם המקושר, בחשבון ספוטיפיי, באפליקציות היכרויות ובעצם בכל שירות שעולה על דעתכם ושאליו העדפתם להירשם באמצעות הלוג-אין של פייסבוק.

למרות הדיבור על "תוקפים", על דיווח לרשויות אכיפת החוק ועל עמידה מרשימה יחסית בזמנים, בפייסבוק מתעקשים כי כל עוד החקירה נמצאת בשלבים מוקדמים - אין כרגע כל עדות לכך שהפרצה הזו נוצלה, באיזה אופן היא נוצלה ואיזה מידע היא סייעה לשאוב. בינתיים, משתמשים בעולם - ורבים גם בישראל, נדרשו ביום הדיווח להתחבר מחדש לחשבונות הפייסבוק שלהם - חלקם כנראה מפני שנכללו ברשימת החשבונות החשופים, וחלקם מפני שפייסבוק נוקטת במשנה בטיחות.

תגובות המשתמשים היו מדהימות לא פחות: "מה כבר אפשר לגנוב לי מפייסבוק?" ו"ממילא אני עצמי משתף את המידע בפייסבוק", הוכיחו שוב, שאת הטכנולוגיה הנפוצה הזו, שנמצאת בשימוש של למעלה מ-2.2 מיליארד אנשים מסביב לעולם, אנחנו עדיין לא ממש מבינים. באופן מודע או לא, ההודעה המעורפלת משהו על פרצת האבטחה, גררה יותר שאלות מאשר תשובות. שאלות שגם היום, ארבעה ימים אחרי הדיווח הראשוני, אין להן מענה ברור מכיוונה של פייסבוק. הלכה למעשה - מדובר בפרצת אבטחה שאיפשרה לתוקפים ל(לפחות) 50 מיליון משתמשי פייסבוק, ולעשות זאת גם בשורה ארוכה של אפליקציות ושירותי רשת חיצוניים שמתממשקים איתה.

התחברתם באמצעות פייסבוק? יש ממה לחשוש(קרדיט: shutterstock)

ההחלטה לדווח בתוך 72 שעות, עוד לפני שבפייסבוק מצליחים לסמן מי היו התוקפים, האם ואיך תקפו ומי, באופן ממוקד, נפגעו מהפרצה - היא תוצאה של תקנות הגנת פרטיות המשתמשים (GDPR) של האיחוד האירופי, שנכנסו לתוקף לפני ארבעה חודשים. מצד אחד, נראה שפייסבוק הצליחה לעמוד בצורה הוגנת במה שהתחייבה לחשוף במסגרת הזמן הזו, ומצד שני - ברור שמדובר בסיפור מתגלגל, שאת התוצאות האמיתיות שלו אנחנו עוד לא קרובים להבין.

ויש עניין אחרון: פרצת אבטחה מהסוג הזה, מחדדת את המונופול של פייסבוק ברשת - כמנגנון אבטחה כמעט בלעדי. נכון, לוג-אין של פייסבוק הוא קל יותר, הוא נעשה בלחיצת כפתור אחת (במקום להתחיל במילוי טפסים ויצירת שמות משתמשים וסיסמאות לכל שירות ואפליקציה בנפרד) והוא מציע סטנדרט פייסבוקי גם לשירותים שאולי לא היו מצליחים לעמוד בו בעצמם. אבל כשמשהו משתבש (ומשהו תמיד משתבש) - אנחנו מגלים לפתע שכמשתמשים, הבחירה במנגנון אבטחה אחד לשורה ארוכה של שירותים הופכת אותנו חשופים ופגיעים יותר.