פרצת אבטחה: חשיפת ההתקנות של משתמשי Conduit שהתקינו תוכנת Divx

פרצת אבטחה חמורה: חשיפת ההתקנות של משתמשי שירות Conduit שהתקינו תוכנת Divx
מאת: אמיתי דן , 11.10.14, 13:15

 פרטי לוגים של התקנות של תוכנת Divx, שנעשו דרך שירותי Conduit, חשופים ברשת מזה תקופה ארוכה. החברה קיבלה פניות בנושא אך לא מחקה את הפרטים. חשיפה של פריצה חמורה באבטחה, של מאות אלפי משתמשים. 13.10 - עדכון בתחתית הכתבה.
 
החשיפה התגלתה בשרת מפתחים המאוכסן ע"י Conduit בשירותי הענן של חברת Amazon. זאת, בממשק תיקיות של חברות אחרות העושות בו שימוש, כאשר חלק מהקבצים המאוכסנים שם ראויים לבדיקה עמוקה יותר.^[1] בכל מקרה, החברה החליטה להשאיר את המצב כפי שהוא, למרות פניות בערוצים שונים.
 
חברת Conduit קיבלה מספר התרעות לגבי חברת Divx, בהפרשים של מספר חודשים. אולם, מאחר שהיא היו במיזוג כשאיתרתי את הנתונים, החלטתי להמתין כדי לא לפרסם את הנושא בזמן רגיש עסקית.
 
בפניה חוזרת לחברה, שנעשתה לאחרונה, נאמר לי, שהנושא לא רלוונטי. לכן, מאחר שלדעתי זה מאד רלוונטי, החלטתי לפרסם את הדברים.
 
בעקבות המצב, שבו החברה סירבה להסיר את הלוגים ומאחר שהנתונים כבר ישנים יחסית, החלטתי לפרסם את הנושא במינימום פגיעה באיזה משתמש. הפרטים כוללים: IP, סוג המחשב, מדינה ומספרים פנימיים. לא נחשפו פרטים כמו שמות המשתמשים.
 
מבחינת השלכות בזמן ההתרעה הראשונית ובאופן כללי:
1. הייתה ועדיין ישנה יכולת לנצל את הנושא לצורך איסוף מודיעין עסקי, ידיעת כמות ההורדות והפילוח המדוייק של משתמשי תוכנת ^[2]Divx. היכולת מאפשרת למתחרים לבצע בנושא שימוש נרחב, כנ"ל לגבי אנליסטים ^[3] - בהקשר של השקעה וניתוח מניות. הערה: חברת Divx נרכשה ע"י ROVI ^[4] .
 
2. כאשר ישנה חולשת אבטחה בתוכנה מסויימת, או למעלה מכך, בתוכנה מסויימת אבל רק במחשב מסויים כגון Mac של חברת  Apple, היכולת לתקוף מחשבים ספציפיים תביא למתקפה מוצלחת כנגד משתמשים רבים.
 
במקרה המדובר נחשפו כתובת הרשת (IP-Internet protocol Address) של מאות אלפי משתמשים. (בחשיפה כאן זה פחות רלוונטי כי המאגר איננו עדכני עוד). משתמשי Divx נחשפו כאן לאורך זמן.
 
3. העובדה, שהחברה החליטה לא להסתיר את את הפרטים, מעמידה את מדיניות הפרטיות שלה בסימן שאלה^[5]!
 
בנוגע לחברת Divx, יש להבין את מידת השותפות שלה במצב, אך חשוב לשים לב גם להתייחסות שלה לנושא הפרטיות ואבטחת המשתמשים ^[6], כאשר בעיון במסמך המדיניות שלה ברור, שהציבור הרחב איננו אמור להיחשף לפרטים אלה.
 
4. ההבנה היא, שמי שהתקין או נחשף לשירותי Divx, ופרטי המשתמש של המחשב שלו חשופים, הוא גם משתמש של חברת Conduit, ולכן ניתן עי"כ להבין כמה משתמשים יש לחברה, ובמקרים, שבהם כתובות ה- IP הן סטטיות, לאתר את המחשבים שלהם גם כיום, וזאת, לצורך ניצול חולשות אבטחה הנוגעות לסרגל הכלים.
 
מאת: אמיתי דן, מומחה וחוקר אבטחת מידע, אוקטובר 2014
בלוג – כאן.
 
תצלומי מסך: 



 

 

עדכון 13.10.14, 16:00: כנראה בעקבות החשיפה, מבדיקה חוזרת עולה, כי חברת Conduit ביצעה את הנדרש וחסמה את הגישה לכתובת האינטרנט שבה נחשפו נתוני ההורדות של מוצרי Divx.