פרצת אבטחה חמורה שאיתרה חברת סייבר ישראלית עלולה לחשוף מידע אישי של משתמשים בכמה מהשירותים הפופולריים ביותר באינטרנט, בהם נטפליקס, ספוטיפיי ואיירביאנבי. הפרצה שאותרה על ידי חברת קייטראסט (KTrust) מאפשרת לגורמים זדוניים לקבל גישה למערכות המחשוב של מפעילות השירותים ולמשוך מהם שמות משתמש וסיסמאות של עובדי החברות, לגנוב סודות מסחריים ופרטי לקוחות וכרטיסי אשראי. לפי קייטראסט, הפרצה אף מאפשרת להאקרים להתחזות לעובדים של השירות שנפרץ, וכך לשלוח תכתובות מייל למשתמשים ולדלות מהם פרטים אישיים.
חוקרי קייטראס, שנחשפה לראשונה רק השנה, אומרים שמצאו את הפרצה בתוך אחת ממערכות ההפעלה הפופולריות לניהול שירותי ענן, שמכונה קוברנטיס. מדובר בפלטפורמה בקוד פתוח שהוצגה במקור בידי גוגל אך כיום מעודכנת בידי קהילת מפתחים מתנדבים. קוברנטיס משמשת בבסיס התוכנה של חברות רבות שמשתמשות בשירותי מחשוב ענן.
לפי קייטראסט, הפרצה מאפשרת לגורמים עוינים ליצור העתק וירטואלי של תשתיות ענן של השירות שאליו הם מעוניינים לפרוץ, ולתקוף אותו באמצעות אלגוריתם אוטומטי שמדמה תוקף אנושי. במעבדה של קייטראסט הצליחו החוקרים לחדור אל סביבת הענן של אפליקציה טיפוסית ולשלוט בה באופן מלא. מדובר באפליקציה שיכולה להיות של מוסד פיננסי, משרד ממשלתי, חברה או תשתית קריטית מסויימת ולשלוט בה באופן מלא. באמצעות הפרצה הצליחו החוקרים להתקדם למערכות שמשתמשות בקוברנטיס, ומשם לבצע שורה של פעולות כמו גישה למידע רגיש ואף השבתה מוחלטת של שירותים קריטיים.
לטענת חברת הסייבר, הפרצה מעידה על בעיה חמורה באחת הפלטפורמות הפופולריות בעולם לשירותי ענן - אך גם כזו שאין לה חברה מסודרת שיכולה לנהל את הבעיה ולטפל בה בזריזות. בקייטראסט מבקשים מחברות שמשתמשות בקוברנטיס לבדוק מחדש את האבטחה שלהן בסביבה זו.
"הפרצה הזו היא תזכורת מדאיגה לכך שתשתיות הענן שלנו פגיעות, והאיום של גניבת נתונים או מתקפות סייבר גדול יותר מאי פעם", מסר מייסד ומנכ"ל קייטראסט נדב טולדו. "אילו הפרצה שגילינו תתגלה ותנוצל חלילה על ידי גורמי פשיעה או טרור, פוטנציאל הנזק לארגון המותקף הוא קטסטרופלי. הגילוי המוקדם מאפשר לנו לשפר את ההגנה ולשמור את סביבת הענן בטוחה".