הסוד שסיקרט לא רוצה שתדעו
ההודעות הסודיות שלכם אינן סודיות כמו שאתם חושבים, זאת עפ"י דוח חדש של האקר שחשף פירצת אבטחה באפליקציה סיקרט.
לבן קאודיל, האקר עם כובע לבן, מייסד ושותף של חברת אבטחה קטנה בסיאטל בשם Rhino Security Labs, היה דרוש מספר שניות בזמן ארוחת הצהריים שלו ביום שישי, בכדי לאתר את הפוסט האחרון שכתב בסיקרט. למזלם של המשתמשים, פירטי הפירצה נמסרו למנכ"ל סיקרט אשר התראיין ל -Wired ומסר כי היא נחסמה וככל הידוע לחברה היא לא נוצלה לרעה. מאז חודש פברואר סיקרט סתמה 42 פירצות אבטחה שדווחו על ידי 38 האקרים עם כובעים לבנים. אם כי מה שמפתיע, הוא שמבחינת החברה מדובר בשגרה בהתחשב ברגישות של חלק מהפרסומים באפליקציה, כשגישה כזו דיי מביכה. לטענת מייסד סיקרט המבול של הפירצות מוכיח שהמערכת עובדת.
Wired מתארת את ההתקפה החדשה לשירות, המאפשרת לחשוף את כל ההודעות שנכתבו כהתקפה שהיתה פשוטה למדיי: ריינו יצרה רשת של חשבונות דמה והשאירה רק את כתובת המייל האמיתית של היעד ברשימת אנשי הקשר. מאחר והאפליקציה אינה דורשת אימות של כתובת מייל או מספרי טלפון. קאודיל כתב סקריפט פשוט שיצר 50 חשבונות לצורך הניסוי. לאחר מכן מחק את כל אנשי הקשר באייפון, והוסיף שבע כתובת מייל מזויפות כאנשי קשר וכתובת מייל אחת אמיתית של איש קשר שאת זהותו רצה לחשוף- אדם אמיתי אחד מוקף באנשי קשר מזוייפים. לאחר מכן נרשם מחדש באפליקציה סיקרט וסינכרן את אנשי הקשר. לפרסומו קיבל פיד סיקרט חדש שבאופן הגיוני פורסם על ידי "החבר" והיה שייך לו שכן, כאמור העוקבים שלו הינם שבעה מזויפים שנשלטים על ידו וחשבון של חבר אמיתי שסבר שהינו אנונימי. לאנשים בתחום אבטחת מידע, אלו חדשות ישנות. ההתקפה ידועה כבר זמן מה, וזה אכן פוגע לתוך האופי של סיקרט. ההגנה על האנונימיות העיקרית של האפליקציה היא צורך בכמה עשרות אנשי קשר, כך שכל הודעה בודדת הייתה יכולה לבוא מכמה עשרות חשבונות שונים.
קאודיל ציין לשבח את סיקרט על תגובתה המהירה, אולם קשה שלא לראות את האירוע כאזהרה נוספת על כל יישום שמנסה לקשר תכונות פרטיות ואנונימיות על מארז הרשתות החברתית. כמו היישומים Whisper, Yik ,Yak וSnapchat- אפליקציית שיתוף התמונות המאפשרת לשתף תמונות עם חברים שייעלמו ברגע שהם ראו.
לאלו מכם שעדיין לא מכירים, (יש כאלו?) אפליקציית השיתוף הפופולארית סיקרט מאפשרת למשתמשים לחלוק את הסודות האפלים ביותר שלהם כרשת חברתית, בין חבריהם הקרובים באנונימיות מוחלטת, מבלי שיזדהו או יזוהו על ידי המשתמשים האחרים, כך שאף אחד לא ידע שזה אתם, ללא כל אמצעי זיהוי כמו תמונת פרופיל או שם משתמש. כך שמשתמשים יוכלו לשתף ולומר את מה שהם באמת חושבים ולהיות עצמם, כשהרישום לשירות באפליקציה דורש שני פרטים מזהים של המשתמש: כתובת המייל ומספר הטלפון. שניהם נועדו לבניית הרשת החברתית באפליקציה ולא יחשפו. במילים אחרות, התוכן שייחשף או תיחשפו אליו יגיע ישירות מחבריכם, מרשימת אנשי הקשר שלכם שמשתמשים אף הם באפליקציה וללא אפשרות לזהות האחד את השני. אם יש לכם 500 אנשים ברשימת אנשי הקשר ו30- מהם משתמשים בסיקרט, לא תוכלו לדעת איזה 30 הם. סוד עסיסי שיפורסם על ידי חבר יכול להיות שייך לכל אחד מ-500 אלו. הסיבה להצלחתה המסחררת היא בעיקר בשל הניסיון לגלות מי עומד מאחורי הסטטוסים המסתוריים. ככל שה"סוד" חושפני יותר, תזכו ליותר "לבבות" מה שמעודד לחשוף עוד יותר. כדי שתוכלו לעקוב אחרי הסודות של חבריכם יש לאשר לאפליקציה גישה לרשימת אנשי הקשר שלכם. בשלב ראשוני ולשם שמירה על אנונימיות, סיקרט לא תאפשר לכם לצפות בסודם של חבריכם לפני שתעקבו בלפחות שבעה מרשימת החברים שלכם המשתמשים באפליקציה.
הסרת האפליקצה ומחיקתה מרחוק
אם לא די בכך, ברזיל הוציאה צו מבית משפט בסוגיות החשאיות של סיקרט וקוראת למחוק האפליקציה מרחוק. בית משפט בברזיל קבע לפני מספר ימים כי על אפל וגוגל להסיר את יישום הרשת החברתית המשתמשת באנונימיות מחנות האפליקציות שלהן כמו גם למחוק מרחוק את היישום ממכשירי משתמשים שבו כבר הותקנו. בית המשפט הוציא צו מניעה זמני וממתין לתוצאות פסק דין סופי, בסוגייה זו, כתוצאה מתלונות משתמשים שנפגעו מהפצת שמועות בעילום שם באמצעות האפליקציה. שטענו כי היישום שימש לשיתוף תמונות אינטימית, שכללו מידע מזהה אישי, ובכלל זה שם מלא ומספר טלפון. בברזיל יש חוקים כתובים בספר החוקתי שלה שהופכים את האנונימיות לבלתי חוקית, הטקסט של ההחלטה מצטט את הפוטנציאל של סיקרט כמנגנון בריונות בנימוקים להחלטה, שנועד לספק סיוע חירום לצד המושפע כשבית המשפט ממשיך לדון בה.
איסור היישום מהחנות צריכה להיות די פשוטה בעמידה מצד אפל וגוגל (מיקרוסופט, כבר עמדה בפני צו דומה עבור היישום בשם Cryptic) אולם צו מניעה זה מרחיק לכת עוד יותר ודורש מהחברות גם מחיקה מרחוק של האפליקציה שהותקנה במכשירים. האם זו משימה קשה? נראה שכן, בית המשפט אף יטיל קנס של כ -9,000 $ לכל יום לאחר תקופת חסד בת 10 ימים, למקרה שהן לא יישמו את הכללים בצו. מה שכן בשלב זה האפליקציה הוסרה מחנות היישומים בברזיל אך טרם נמחקה מרחוק. אם תינתן החלטה חיובית, תיקון בעיות אלה בסיקרט, שזוכה לפופולאריות רבה בעולם ועומדת בראש ההורדות והדירוגים תהיה כרוכה כנראה בהקמת צוות עובדים אנושי שיסרוק ויזהה תוכן פוגעני שעלול להזיק לפני פרסומו. בשלב זה טרם ניתן פסק דין סופי בתיק, כך שיהיה עלינו להמתין לתוצאתיו והשלכותיו למדינות נוספות ובישראל בפרט, מאחר ומדובר בעולם וירטואלי שהאנונימית שבו מאפשרת למשתמשים להתבטא באורח משולח רסן, כשהם לוקחים את האפליקציה לכיוונים שונים לגמרי, בקללות ומסע הכפשה, תוך ניצול העובדה שהפרסום בעילום שם כשהם יכולים להגיד את כל מה שעולה על דעתם. מומלץ לשקול מילים, כי למילים יש כח, כל מילה עלולה לפגוע.
תקשורת בעילום שם יכולה לשמש לבריונות והפצת שמועות/שקרים אולם מה קורה כאשר נפגעתם? חברת "סיקרט" מסרבת לחשוף את פרטי הגולשים לטענתה בסיס האפליקציה הוא האנונימיות, ומבחינה חוקית הם לא מחוייבים לחשוף פרטים על משתמש אלא רק בצו בית המשפט. בשלב זה, ניתן לדווח על פגיעה באמצעות האפליקציה, אתם מחליטים אילו סודות יתפשטו בתוך סיקרט. אם אתם רואים תוכן לא הולם, אתם יכולים לסחוב שמאלה או להקיש על הסמל "Hide" להסתרה ולדווח. אם ממש לא אהבתם את מה שראיתם, תוכלו לחסום משתמשים, שימנע מכם לראות את כל הסודות שלהם. בבחירת Report & Block". עליכם להיות זהירים, זה בלתי הפיך.
ציטוט ההודעה בתגובה
נכתב במקור על ידי dorpnhs
