חברת האבטחה הישראלית פינג'אן חשפה כי שירות האנטי-פישינג של גוגל, הכלול בסרגל הכלים שמפיצה החברה, סבל מבעיית אבטחה שגרמה לפרסום שמות משתמש וסיסמאות רגישות של משתמשים. בין הפרטים שפורסמו, פרטי התחברות לחשבונות בנק שונים, חשבונות תשלום מקוון באתר פייפאל ושירותי דואר מקוונים.
פישינג היא פעולת מרמה המטעה משתמשים על ידי הודעות דואר אלקטרוני ואתרים מזוייפים. כשמשתמש מגיע לאתר מזוייף, ששייך לכאורה לבנק או לשירות דואר ומכניס את פרטי ההתחברות האמיתיים שלו, הוא חושף את עצמו לגניבה של כסף או מידע אישי. סרגל הכלים של גוגל כולל רכיב אנטי-פישינג שחוסם אתרים מזוייפים על בסיס רשימות שחורות שנוצרות אוטומטית ונשלחות לגוגל. אותן רשימות שחורות, מפורסמות בצורה גלויה על מנת לסייע במיגור תופעת הפישינג.
בלוגרים וגורמי אבטחה שונים ניתחו בחודשים האחרונים את הרשימות על מנת לנסות ולזהות דפוסים של קבוצות פישינג עוינות. פינג'אן זיהתה בתחילת חודש ינואר כי הרשימות כוללות לא רק את כתובותיהם של האתרים המזוייפים, אלא גם מידע אישי רב אודות המשתמשים שמהן הן נאספו. "ההנחה שלנו היא שבזמן שגוגל שאבו את המידע לגבי האתרים, במקרים מסויימים, התבצע גם רישום של שמות המשתמש והסיסמאות שמשתמשים הכניסו לאתרים המזוייפים הללו, לפני שהם ידעו כי מדובר בניסיונות פישינג", מסביר יובל בן יצחק, סמנכ"ל הטכנולוגיה של פינג'אן.
"פנינו לגוגל מייד עם גילוי הבעיה והם חזרו אלינו לאחר שבוע ואישרו שאכן אספו את הנתונים אך הם לא מסרו כיצד בדיוק זה קרה. הם הודיעו לנו שהבעיה טופלה, ומבדיקה ראשונית שערכנו נראה שכבר אי אפשר לקצור מידע אישי מהרשימות של גוגל", אומר בן יצחק.
למרות שגוגל מחזיקה בכמות גדולה מאוד של מידע אישי, לדברי בן יצחק אין סיבה להיטפל דווקא אליהם. "אנחנו לא ממליצים לשתף מידע אישי או מידע לגבי דפוסי גלישה עם אף צד שלישי, אתה לעולם לא יודע לאן המידע שלך יגיע", הוא מסביר. הבעיה גדלה בגלל התכונה האנושית מאוד להשתמש באותו שם משתמש וסיסמה באתרים רבים, ובכך להיחשף לגניבה של זהויות שונות.
למרות זאת, יש משהו מדאיג בעובדה שבחברות ענק כמו גוגל, יאהו, אי ביי או מיקרוסופט מרוכזים מיליוני רישומים אישיים. "ברור שבגוגל יושבים אנשים חכמים ומומחי אבטחה טובים, אבל משתמשים צריכים להיות מודעים לסכנה שהמידע יזלוג החוצה", מוסיף בן יצחק.
חברת האבטחה הישראלית פינג'אן גילתה כי גוגל חשפה שמות משתמש וסיסמאות של משתמשים
ליאור הנר
22.1.2007 / 11:33