אולי אפילו הגדרות האבטחה החזקות ביותר של אינסטגרם לא יספיקו כדי להגן על החשבון שלך מפני האקרים נחושים.

בזמן שהחברה מתאמצת לנהל אגל של פריצותשפגעו במאות משתמשים מאז תחילת אוגוסט, רבים מהמשתמשים הללו תיארו דפוס מטריד שמעלה שאלות רציניות לגבי הגדרות האבטחה של האפליקציה.

אינסטגרםמאפשר למשתמשים לאבטח את חשבונותיהם באמצעות אימות דו-גורמי (PSA:הנה איךלהפעיל את 2FA אם עדיין לא עשית זאת), אבל זה מסתמך כרגע על הודעות טקסט, שאינן מאובטחות כמו שיטות אימות מבוססות אפליקציה.

החברה אמרה בהצהרהבשבוע שעבר בתגובה לדיווח של Mashable על המספר ההולך וגדל של פריצות לאינסטגרם שהיא פועלת לשיפור אבטחת ה-2FA שלה, אך היא לא פירטה כיצד. (המפתחת ג'יין מנצ'ון וונג בעברמצא ראיותהחברה בודקת תכונה שתאפשר לאנשים להשתמש באפליקציית אימות ייעודית, כגון Google Authenticator.)

אבל עד שהעדכון הזה יהפוך לזמין, האפשרות היחידה למשתמשים היא השיטה מבוססת SMS. ולמרות ש-2FA מבוסס SMS עדיפה על אף אחת, אולי זה לא מספיק כדי להגן על חשבון האינסטגרם שלך מפני פושעי סייבר נחושים.

אבטחת 2FA חלשה

מבין יותר מ-275 אנשים שיצרו קשר עם Mashable בנוגע לחשבונות אינסטגרם שנפרצו בשבוע האחרון, רוב האנשים ששמענו מהם אמרו שהם לא השתמשו ב-2FA באותו זמן.

אבל Mashable אישרה שלפחות ארבעה אנשים נפרצו למרות הפעלת 2FA. לפחות שישה אחרים שיצרו קשר עם Mashable העלו טענות דומות, אך לא הצליחו לספק ראיות שהפעילו את 2FA בחשבונותיהם כאשר הם נפרצו.

בחלק מהמקרים הללו, לא היה סימן שמישהו ניסה לפרוץ לחשבון שלו - עד שהמשתמשים ננעלו לפתע ללא אזהרה. במקרים אחרים, הם ידעו שהאקרים מכוונים אליהם, אבל הגדרות האבטחה ההדוקות ביותר של אינסטגרם לא הצליחו להגן על החשבונות שלהם.

איש IT אחד שדיבר עם Mashable בתנאי אנונימיות מכיוון שלא היה מורשה לדבר בשם הארגון שלו, אמר שחשבון האינסטגרם שהוא מנהל עבור החברה שלו נפרץ שלוש פעמים במהלך חודש, למרות הגדרות אבטחה קפדניות . לחשבון מופעל אימות דו-שלבי, משתמש בסיסמה של 20 תווים, וכתובת האימייל המקושרת לחשבון היא ערבוביה של תווים אקראיים, הוא אפילו נתן הנחיות מיוחדות לספק שלו כדי למנוע יציאות לא מורשות של ה-SIM שלו.

אולם למרות כל זאת, החשבון, שהפך ליעד פריצה תכוף, נפרץ שלוש פעמים בחודש האחרון. לעתים קרובות הוא מקבל עשרות הנחיות 2FA לא מורשות ביום. (Mashable ראה צילומי מסך המאשרים את הניסיונות הללו.) אבל באופן מוזר, הוא אומר שעד שהוא מקבל את ההנחיה, ההאקרים כבר הצליחו לקבל גישה לחשבון.

"כל מה שיש לאינסטגרם זמין נעשה בחשבון שלנו ובכל זאת, בכל פעם שאני מקבל את ה-SMS הזה [הנחיית 2FA], הם כבר שינו את הסיסמה", אמר ל-Mashable. "אני לא יכול בתור מקצוען IT להגיד לך איך הם עושים את זה. בטח יש להם איזה פגם באינסטגרם ביסודו שהם מנצלים לעשות את זה".

הוא הצליח לקבל מחדש גישה לחשבון בכל פעם כי יש לו איש קשר באינסטגרם, אבל ניסיונות הפריצה הקבועים עדיין גובים מחיר. להדוף אותם הפך למאבק כמעט מתמיד - הוא אומר שבדרך כלל הוא מסוגל לאפס את הסיסמה שלו ולהרחיק אותם אם הוא תופס אותם בדקות הראשונות - מה שלוקח זמן מהתפקידים האחרים.

"זו לא הגזמה לומר שאינסטגרם היא בעיית האבטחה מספר אחת שלי שאני מתמודד איתה כאיש IT", הוא אומר.

עסקים קטנים התהפכו

עדיין לא ברור כיצד מתרחשות ההתקפות הללו. בעבר האקריםחטפוסים של משתמשי אינסטגרם על מנת לקבל כניסה לחשבונות מוגנים 2FA. אבל נראה שזה לא מה שקורה במקרים אלה, שבהם משתמשים מתארים את הגדרות ה-2FA שלהם עוקפות, משתנות או מושבתות ללא ידיעתם.

"אימות דו-גורמי כמובן עוזר, אבל זה לא חסין תקלות", אומר סטיוארט מדניק, פרופסור לטכנולוגיית מידע בבית הספר לניהול סלואן של MIT, שמציין שהאקרים חכמים מצליחים לעתים קרובות למצוא פרצות המאפשרות להם לעקוף את 2FA.

פרצה אחת כזו ידועה במיוחד. פגם בפרוטוקול ניתוב המשמש חברות טלקום, המכונה פרוטוקול Signaling System 7 (SS7), מאפשר למעשה להאקרים להפנות מחדש הודעות טקסט 2FA מהנמענים המיועדים להם. פגם זה נוצל לרעה בעבר. בינואר 2017, קבוצת האקרים ניצלה את פגם ה-SS7 כדי לרוקן את הקורבנות שלהםחשבונות בנקדיווחה ArsTechnica. וחוקרים ב-Positive Technologies הוכיחו עד כמה קל זה יכול להיות לנצל את הפגם המסוים הזה כשהם השתמשו בו כדי לפרוץ לחשבון Coinbaseאֶשׁתָקַד. שני חברי קונגרס דמוקרטים ביקשו בפומבי מה-FCC לעבוד עם ספקים כדי לטפל בפרצות SS7אֶשׁתָקַד, אבל הם עדיין לא טופלו.

אם זה מה שקורה לאינסטגרם או לא, אי אפשר לומר בוודאות מבלי שהחברה תשקול ישירות. אינסטגרם דחתה מספר בקשות להגיב על הרשומה. אבל גל הפריצות האחרונות, שגרמו למאות לאבד גישה לחשבונות שלהם, מדגיש את העובדה שהאבטחה היא דאגה הולכת וגוברת עבור השירות, שכיום יש לו יותר ממיליארד משתמשים.

עבור בעלי עסקים קטנים שמסתמכים על אינסטגרם עבור לקוחות, פריצות אלו יכולות להיות הרסניות במיוחד.

רוברט ג'ורדן שמשתמש באינסטגרם כדי לתקשר עם לקוחות עבור חברת עיצוב הפסקול שלו, מדווח על חוויה דומה. בליל ה-12 באוגוסט, הוא לא הצליח להיכנס לחשבון האינסטגרם שלו, שהיה לו כ-5,000 עוקבים והיה מוגן באמצעות 2FA. עד מהרה הבין ששם המשתמש שונה, כמו גם הסיסמה והאימייל של החשבון. הביוגרפיה שלו נמחקה ותמונת הפרופיל שלו השתנתה לתמונה חלקית של סוס, שנראתה כמו סטילס מסרט DreamWorksרוח: סוס הקימארון.

הוא אומר שהוא מעולם לא קיבל שום אינדיקציה מאינסטגרם שמשהו לא בסדר - לא הנחיות 2FA ולא אימיילים שמתריעים על כך שפרטי החשבון שלו השתנו. כמו עשרות אחרים שדיברו עם Mashable, לא היה לו מזל לנווט במערכת התמיכה של אינסטגרם.

"זה מאכזב מאוד שעם מידע רגיש כזה כמו כרטיסי אשראי, כתובות, מספרי טלפון והודעות פרטיות המקושרות לחשבונות, התמיכה שלהם פחותה מרמה", אומר ג'ורדן. "מאז שהרבה אנשים נוטשים את פייסבוק בגלל בעיות פרטיות הנתונים, ולינקדאין אינה פופולרית במיוחד, אינסטגרם הייתה החיבור הגדול ביותר שלי. עבור פרופילים עסקיים כמו שלי העוסקים במספר לקוחות מדי יום דרך אינסטגרם ומדיה חברתית אחרת, זה גורם לפגיעה עצומה בשביעות הרצון של הלקוחות".

סוגים אלה של חשבונות עסקיים קטנים חשובים לא רק לאנשים שמנהלים אותם. עסקים קטנים הם דמוגרפיה חשובה יותר ויותר עבור פייסבוק. יש 25 מיליון פרופילים עסקיים באינסטגרם, על פי הנתונים הסטטיסטיים של החברה עצמה. ולמרות שלא כל העסקים הללו משלמים על פרסום, החברה יותר ויותר מנסה לעודד אותם לעשות זאת - אינסטגרם מאפשרת לעסקים למקד למשתמשים מודעות שניתן לקנות בפיד שלה ולאחרונה החלה להתנסות בקניות בתוך האפליקציהבסיפורים, בנוסף למודעות מסורתיות.

אבל בניגוד לפייסבוק, שיש לה הגדרות אבטחה חזקות למדי (כמו היכולת להשתמשמפתחות אבטחה פיזייםכמו גם אפליקציות אימות משניות), הגדרות האבטחה של אינסטגרם הן בסיסיות למדי. לעסקים ולחשבונות אחרים עם עוקבים גדולים יש אותן הגדרות מוגבלות הזמינות עבורם כמו לכולם.

הגדרות אלה אינן מרחיקות מספיק כדי להגן על חשבונות שיש להם עוקבים גדולים או שהידיות שלהם קצרות או ייחודיות מספיק כדי להפוך אותם למטרות פריצה עיקריות, אומרים המשתמשים. לדוגמה, למרות ש-2FA מוצע, משתמשים מתבקשים להזין קודים נוספים רק כאשר הם נכנסים ממכשיר לא מזוהה. אינסטגרם גם אינה דורשת סיסמה או שיטת אימות אחרת על מנת לשנות את פרטי החשבון או להשבית את 2FA לחלוטין.

עדכון המשתמשים

אינסטגרם, אולי גם לא עושה כל שביכולתה כדי לחנך אנשים לגבי הסיכון של פריצות פוטנציאליות, אומר מדניק, הפרופסור של MIT. "זה לא ברור לאינטרס של אינסטגרם להגיד לאנשים שהם תחת איום. זה ניגוד אינטרסים מסוגים". הוא מציין שאנשים רבים אף פעם לא מאפשרים את 2FA כי הם לא יודעים שהוא קיים או מניחים שלא ימוקדו אליהם.

מסבך את הפריצות היא מערכת התמיכה של אינסטגרם, שנראה כי היא מצוידת בצורה גרועה להתמודד עם שטף הבקשות לשחזור חשבונות שנפרצו. אינסטגרםאמר בשבוע שעברשמשתמשים שלחשבונות שלהם ניגשו בצורה לא נכונה ושפרטי החשבון השתנו, צריכים לפעול לפי ההוראות שנשלחו בדוא"ל כדי לבטל את השינויים בחשבונות שלהם. אבל רבים מדווחים שהקישורים האלה מתים כשהם רואים אותם. אחרים אומרים שהם אף פעם לא מקבלים אימייל בכלל, או שהניסיונות שלהם לאפס את הסיסמאות שלהם לשווא מכיוון שכל פרטי הקשר הקשורים לחשבון כבר שונו. אינסטגרם אומרת שיש לה דרכים אחרות לאפשר למשתמשים שלה לשחזר חשבונות, אך סירבה להגיב על פרטים נוספים מעבר להצביע על הקודם שלהפוסט בבלוג.

עבור משתמשים שנפרצו, תהליך זה מוסיף עלבון לפציעה. אנשים שכבר נואשים להחזיר לעצמם את השליטה בחשבונות שלהם - בין אם זה כדי לתמוך בעסק שלהם, לשחזר תמונות של יקיריהם או להגן על הפרטיות שלהם - בסופו של דבר מרגישים שהם נעים במעגלים, מקבלים דוא"ל אוטומטי לאחר אימייל אוטומטי, ללא פתרון .

אז בעוד ששאר מיליארד המשתמשים של אינסטגרם מחכים לעדכון האבטחה שהחברה מבטיחה נמצא בעבודות, כמה מהמשתמשים המסורים ביותר שלה עדיין מחכים לפתרון שאולי לא יגיע לעולם.