אנשים רבים לא פספסו את ההומור בכך ש”סיקרט“, אפליקציה שמתיימרת להיות אנונימית מבקשת מהמשתמשים גישה לחשבונות הפייסבוק, הטוויטר ואנשי הקשר שלהם.
לפחות בכל יום מתפרסם באפליקציה פוסט אנונימי של האקר לכאורה שטוען כי פרץ למאגר הנתונים של האפליקציה. אך הנה לפניכם לראשונה הוכחה מתודית שממחישה כמה קל לדעת מי עומד מאחורי פוסט ב”סיקרט”.
בן קאודין, האקר שחושב כובע לבן, נדרש לכמה שניות בלבד כדי למצוא את הפוסט האחרון שכתב ב”סיקרט” כתב Wired, קווין פאולסן. הוא עשה את זה תוך כדי אכילת כריך. פאולסן לא סיפק לו שום רמזים מוקדמים לגבי זהותו ב”סיקרט” שיכלו לאפשר לו לדעת שהוא פירסם את הסוד הלא מזיק הבא. כל מה שהוא חשף בפניו הם כתובת האימייל שלו.
“צריכה סקס וצריכה את זה עכשיו”, “בא לי על חברה שלי ועל אמא שלה ביחד”, “לפעמים בסוף היום אני משפשפת את אצבעותיי בבית השחי ומסניפה אותן בהנאה”, “חי חיים כפולים. הכל בשביל שההורים הפרימיטיביים שלי שיקבלו התקף לב אם יגלו שיצאתי בשאלה”, ואפילו האידיוט שמבקש “תחליקו ימינה כדי לקלוע לסל” – כולם ניתנים לזיהוי. קאודיל יכול להקליד כתובת אימייל או מספר טלפון ולקרוא את סודות אותו משתמש.
למזלם של המשתמשים, קאודיל לא מבין עברית, והוא גם בחור טוב, מייסד חברת אבטחה קטנה בשם Rhino Security Labs, שהעבירה למנכ”ל סיקרט פירוט של הפירצה, אבל זה יהיה תמים לחשוב שאין אחרים עם כוונות פחות טהורות. מנכ”ל סיקרט, דיוויד בייטאו, מסר ל-Wired כי הפירצה נחסמה ואמר כי ככל הידוע לחברה, היא לא נוצלה לרעה עד כה. ככל הידוע. מאז פברואר “סיקרט” סתמה 42 פירצות אבטחה שדווחו על ידי 38 האקרים חובשי כובע לבן.
מי שפירסם את הסודות האלה בטוויטר נחשף ויש לו סיבה טובה
ואיך פעלה השיטה? סיקרט מתבססת על האנונימיות של ההמונים כדי להסוות את זהות משתמשיה ולפרטט בין האנונימיות לרשתות חברתיות. כאשר אתם מתקינים סיקרט לראשונה, לא תראו פוסטים מהמעגל החברתי שלכם עד שתעניקו לאפליקציה גישה לרשימת אנשי הקשר שלכם, חברי הפייסבוק או הטוויטר שלכם. עליכם לעקוב אחרי שבעה חברים לפחות במערכת לפני שתוכלו לראות פוסטים אנונימיים של חברים. גם אז אתם לא אמורים לדעת מי מבין אנשי הקשר שלכם משמשים ב”סיקרט”. הסוד העסיסי של חבר עשוי להיות של כל אחד מהם.
הבעיה היא שרשימת אנשי הקשר ניתנת למניפולציה. קאודיל יצר רשימה של חשבונות סיקרט מזויפים, מה שניתן לעשות בקלות מאחר והאפליקציה לא דורשת אימות של כתובת אימייל או מספר טלפון. הוא כתב סקריפט פשוט שיצר 50 חשבונות כאלה לצורך הניסוי. בשלב הבא, הוא מחק את כל אנשי הקשר הקיימים שלו באייפון, וכאשר סיים, הוסיף שבע כתובת אימייל מזויפות כאנשי קשר וכתובת אימייל אחת אמיתית – של האיש שאת זהותו ביקש לחשוף. לאחר מכן הוא רשם חשבון סיקרט חדש וסינכרן את אנשי הקשר. הוא קיבל פיד סיקרט חדש שכלל שמונה חשבונות – שבעה מזויפים שנשלטים על ידו וחשבון של חבר שחשב שהוא אנונימי.
אם למישהו לא היה ברור די הצורך, סיקרט אינו מקום בטוח להתוודות בו על רצח, שוד בנק או אפילו וידוי על בגידה או שיתוף תמונת עירום. השאלה אינה אם סיקרט היא אפליקציה מאובטחת במאת האחוזים, כי היא לא תהיה כזו גם בעוד 100 שנה. “סיקרט” לא יכולה להיות גן עדן לסודות מעצם החיבור שלה למידע מזוהה כמו רשימת אנשי הקשר והחברים שלכם. ההגדרה המדויקת יותר למה שהאפליקציה מציעה היא אנונימיות יחסית, לסודות שגם אם ייחשפו לא יגרמו לעולמו של אדם לקרוס עליו. (דרך Wired).
תמונת שער: Shutterstock
