לאחר שאנשי הסטארטאפ הישראלי MyPermissions גילו במקרה באג באפליקציות הניידות של פייסבוק שעלול לפגוע במאות אלפי משתמשים, הם שלחו מסר תקיף לענקית המדיה החברתית: רוצים לקבל את הקוד שלנו? לכו תחפשו, בצדק מבחינתם.
MyPermissions, סטארטאפ בתחום האבטחה שמעסיק 10 עובדים, מספק שירות שמנהל ומאבטח את כל סיסמאות המשתמשים באפליקציות ניידות. ההאקרים של MyPermissions גילו ביום חמישי פירצה באפליקציות הניידות של פייסבוק שמונעת ממשתמשים להתנתק מהן.
על פי פוסט שפורסם בבלוג באתר MyPermission, הפירצה מונעת ממשתמשים להסיר הרשאה שניתנה לאפליקציה לגשת למידע האישי שלהם. במצב תקין, פייסבוק מאפשרת למשתמשים להסיר הרשאות מאפליקציות שהם אינם סומכים עליהן עוד או מעוניינים להתנתק מהן. עם זאת, הסקריפט שפיתחה MyPermission מונע מהמשתמשים להסיר את ההרשאה. במקום זאת, מתקבלת הודעת שגיאה על המסך במכשירי אנדרואיד ו-iOS.
“עבדנו על מוצר חדש לאנדרואיד ושמנו לב שמשהו לא עבד”, משחזר בשיחת טלפון איתנו מנכ”ל MyPermissions, אוליבייר עמר, “מסך ההרשאות לא עלה. ישבנו על זה ברביעי בערב. הבנו שנצטרך לחקור את זה יותר לעומק. המשכנו לבדוק את זה בחמישי ועד חמש היינו בטוחים בבאג שגילינו לאחר ששיחזרנו את זה שוב ושוב. מדובר באפליקציות הכי פופולריות, בהן קנדי קראש”.
MyPermissions מסרה ל-VentureBeat כי היא משתפת פעולה עם מהנדסי פייסבוק כדי לעזור להם לתקן את הבאג. עם זאת, כאשר פייסבוק ביקשה לקבל לידיה את הסקריפט, עמר אמר לה ללכת לחפש.
קוראים מגיבים על “נטופיה”: “נסחפתי לתוך עולם עתידי. מפחיד כמה שזה קרוב” – שלומית אלקורט (פרסומת)
“אנחנו לא רוצים כסף מפייסבוק. אני לא יכול לתת להם את הסקריפט כי הוא כולל את גרעין הקוד של התוכנה שלנו”, מספר עמר. לדבריו, הפוטנציאל של הבאג עצום משום שבאופן תיאורטי הוא מאפשר להשתיל נוזקות בפיד המשתמשים של פייסבוק.
“אני מבין שהם מתוסכלים אבל אנחנו סטארטאפ, והתפקיד שלנו הוא לצמוח, לא לתקן את הבאגים של פייסבוק חינם”, אמר עמר. הוא זעם על הדרישה של פייסבוק לקבל חינם סקריפט שמפתחי החברה עמלו עליו במשך שלושה ימים. הוא מצביע על כך ש-MyPermissions היא זו שפנתה לפייסבוק מלכתחילה ויידעה אותה בבעיה.
עמר: “אם היו יותר חברות כמונו פייסבוק הייתה רק מרוויחה”, אמר עמר “יש לנו הוצאות והם בפירוש לא מעריכים את 60 השעות שהאנשים שלנו השקיעו בפתרון הבעיה”. פייסבוק, מצדה, הודיעה שלא הצליחה לשחזר את הבעיה על אף שהחברה הישראלית מסרה לה את כל הפרטים הדרושים כדי לאתר את הבאג. מפתחי החברה קבעו כי הבאג לא משפיע על משתמשים שמתחברים לפייסבוק ממחשב שולחני אלא ממכשירים ניידים בלבד. פייסבוק טוענת כי אין עדות לכך שחשבונות משתמשים נפגעו. בחברה חוקרים את הדיווח.
תמונת שער: ra2studio/Shutterstock
