משתמשים בדפדפן Microsoft Edge? - הנתונים שלכם לא נשמרים באופן מאובטח
מאת:
מערכת Telecom News, 29.7.19, 13:23
הדפדפן שומר את המידע האישי והנתונים נשמרים אצל מיקרוסופט בצורה בלתי מאובטחת. למה מיקרוסופט, למעשה, אוספת את המידע הזה?
הדפדפן מיקרוסופט אדג' (
Microsoft Edge) שולח מידע אישי ונתונים אודות המשתמשים לחברת מיקרוסופט (
Microsoft). נמצא, שהשירות "
SmartScreen" המובנה בדפדפן שולח מידע על פעילות המשתמשים בו, היסטוריית הגלישה שלהם ואף מקשר למידע פרטים אודות המשתמש.
רשימת האתרים בהם ביקרו המשתמשים נשלחת למאגר מידע של החברה בצירוף פרטי זיהוי של המשתמש. כלומר, מיקרוסופט יודעת היכן ביקר המשתמש ובאופן ספציפי יותר, היכן ביקר משתמש מסוים עליו היא גם יכולה להצביע.
הדפדפן נקבע כברירת המחדל במערכת ההפעלה
Windows 10 וצבר בסיס משתמשים גדול. השירות "
SmartScreen" (שהוא גם חלק מ-
Windows Defender), שנועד להגן על המשתמשים בפני אתרי פישינג או אתרים זדוניים אחרים, שומר מידע אודות המשתמשים ואפילו מחבר לו את פרטי המשתמש עצמו.
בנוסף לכך, בהקשר של
Smartscreen עבור אפליקציות, גם קבצים, שמורדים או מועלים דרך הדפדפן מתועדים ונשמרים, כמו גם המיקום שלהם במחשב המקומי.
למה מיקרוסופט, למעשה, אוספת את המידע הזה? התשובה קשורה לתוכנת האנטי-וירוס החינמית שלה -
Windows Defender, שמותקנת ופעילה כברירת מחדל בכל מערכות ההפעלה של
Windows 10. המערכת, למעשה, שולחת כתובות של אתרים כדי לנתח ולבדוק אותם מפני קוד זדוני ופעולות פישיניג.
אמנם התהליך נעשה כדי להפוך את הדפדפן והגלישה לבטוחים יותר, אך עולות בעיות במה שקשור לדרך בה מיקרוסופט שומרת את המידע אותו היא צברה. הנתונים נחקרו ואומתו ע"י החוקרים של האתר
Bleeping Computer בהמשך למספר ציוצים ודיונים בנושא.
אמיר כרמי, מנהל הטכנולוגיות בחברת אבטחת המידע
ESET ישראל: "הסכם המשתמש של מיקרוסופט מציין בפירוש, שהמידע אודות המשתמשים נשמר ומוצלב עם המידע אודות המחשב, האתרים והקבצים בהם נעשה שימוש.
במקרה, שתוקפים יצליחו לגשת לנתונים אלה או שהם יודלפו במסגרת של התקפה אחרת, הם יקבלו גישה למידע רגיש ביותר. המצב בעייתי עוד יותר כשמדובר בנתונים של הרגלי גלישה באתרים וקבצים של משתמשים, שלא נשמרים באמצעות גיבוב של הנתונים (
hashing).
במסגרת פעולת הגיבוב מתקבלים נתונים (מספר, טקסט וכו'), ומופקת מהם מחרוזת של תווים, שמצד אחד מאפשרת לבעלי הנתונים לשחזר אותם אך מונעת את האפשרות הזו מפני גורמים בלתי מורשים.
ביצוע פעולת גיבוב על מידע, שנשמר אודות אתרים בהם ביקרו משתמשים, היא פעולה המתבצעת כברירת מחדל בדפדפנים אחרים. גם הדפדפנים פיירפוקס וכרום אוספים כתובות אתרים, אך
המידע ,שהם שומרים, עובר גיבוב כדי להגן על המידע הפרטי של המשתמשים ואין סיבה לכך שמיקרוסופט תפעל באופן שונה.
כל חברה, ששומרת נתונים אודות הלקוחות או המשתמשים שלה, צריכה לחשוב ולהיערך קודם כל לאחסון מאובטח של הנתונים, בוודאי כאשר מדובר במידע אודות הרגלי הגלישה והקבצים של מיליוני משתמשים, שניתן לנצל אותו לרעה".