מה גילתה חברת Wiz בתשתית הענן של אמזון (AWS)?

חוקרי Wiz חשפו חולשת אבטחה קריטית במנגנון אימות בתשתית AWS, שהייתה עלולה לאפשר לגורמים עוינים להשתלט על כלי פיתוח מרכזיים ולפגוע בשירותים ואפליקציות בקנה מידה עולמי.

איזו סכנה הייתה עלולה להיווצר אם הפרצה הייתה מנוצלת?

ניצול של החולשה היה עשוי לאפשר הזרקת קוד זדוני לכלים שמוטמעים בעשרות אחוזים מסביבות הענן בעולם, ובכך להשפיע פוטנציאלית על שירותים פופולריים מבלי שהמשתמשים ירגישו בכך.

האם נטפליקס, זום או חברות אחרות נפרצו בפועל?

לא. אין עדות לכך שחברות כלשהן נפרצו. הפרסום מתייחס לכך שהתשתית שעליה פועלות חברות רבות הכילה חולשה – ולא לכך שהתקפה אכן התבצעה.

איך Wiz איתרה את החולשה ב-AWS?

החוקרים זיהו כשל בהגדרת סינון קלט, שבו חסרו שני תווי אימות בקוד (^ ו-$), מה שאפשר תיאורטית יצירה של תעודה מזויפת והזרקת קוד לכלי פיתוח.

מתי התגלתה הפרצה ומה עשתה אמזון?

הפרצה התגלתה באוגוסט 2025. Wiz דיווחה עליה מיידית ובאופן חסוי לאמזון, שפעלה במהירות לתיקון החולשה ולהטמעת הגנות נוספות לפני פרסום המידע לציבור.

למה הסיפור מתפרסם רק עכשיו?

הפרסום התאפשר רק לאחר שהתיקון הושלם ומומחי אבטחה וידאו שאין עוד סיכון פעיל, בהתאם לנורמות המקובלות של גילוי אחראי בתחום הסייבר.

מי היא חברת Wiz ולמה הגילוי משמעותי במיוחד?

Wiz היא חברת סייבר ישראלית שהוקמה ב-2020 ומתמחה באבטחת ענן ללא סוכנים. ב-2025 נרכשה על ידי Google בעסקה של כ-32 מיליארד דולר, והגילוי הנוכחי מדגיש את יכולותיה גם מול תשתיות של מתחרים.

האם משתמשים פרטיים צריכים לעשות משהו בעקבות הגילוי?

לא. מדובר בחולשה תשתיתית שתוקנה על ידי אמזון. משתמשים פרטיים אינם נדרשים לבצע פעולה כלשהי.

האפליקציות שלנו בסכנה? חוקרי Wiz חשפו פרצת אבטחה חמורה

החשבונות שלכם נטפליקס וספוטיפיי היו בסכנה? חוקרי WIZ מצאו פרצת אבטחה חמורה. צילום: Gemini

חוקרי חברת הסייבר הישראלית Wiz גילו חולשה קריטית בתשתית הענן של אמזון (AWS), שעליה רצים השירותים הגדולים בעולם.

הגילוי חשף כיצד האקרים יכלו להשתלט על "עמוד השדרה" של האינטרנט ולסכן מאות מיליוני משתמשים בנטפליקס, זום, פורטנייט ואפליקציות נוספות.

אנחנו רגילים לשמוע על פריצות לחשבונות אימייל או גניבת סיסמאות נקודתית, אבל הגילוי החדש של חוקרי חברת הסייבר הישראלית Wiz הוא בקנה מידה אחר לגמרי. החוקרים חשפו חולשת אבטחה דרמטית ב-AWS (שירותי הענן של אמזון), המהווים את התשתית הטכנולוגית של חלק עצום מהאינטרנט העולמי.

שירותי הענן של AWS. רובנו משתמשים בהם בלי לדעת, צילום: רויטרס

הפרצה, לו הייתה מנוצלת על ידי גורמים עוינים, הייתה יכולה לאפשר להאקרים להשתלט בשקט על השירותים והאפליקציות שכולנו מכורים אליהם, מבלי שנדע על כך בכלל.

נטפליקס, זום ולינקדאין: החברות שהיו חשופות לפרצת האבטחה

קטגוריה	המותגים והקשר לתשתית AWS
בידור וגיימינג	Netflix, Disney+, Prime Video: ענקיות הסטרימינג המאחסנות את תכניהן בענן. Epic Games (Fortnite), Twitch: תשתיות גיימינג ושידור עצומות.
רשתות חברתיות ותקשורת	Slack, Zoom: פלטפורמות לתקשורת ארגונית ושיחות וידאו. Reddit, Pinterest, Roblox: ניהול עומסי תעבורה, עיבוד תמונות ומשחקים.
תיירות, תחבורה ולייף-סטייל	Airbnb, Expedia: מערך הזמנת דירות, מלונות וחופשות. Lyft, DoorDash, McDonald's: ניהול אופרציות משלוחים, מוניות ואפליקציות גלובליות.
טכנולוגיה, פיננסים ומותגים	Capital One, Coinbase: בנקים ופלטפורמות קריפטו המנהלים מידע רגיש. Samsung, BMW, Unilever: ניהול דאטה מרכבים חכמים, שרשראות אספקה ותשתיות מובייל.

הרשימה מייצגת חברות המשתמשות בתשתית AWS. אין עדות לכך שחברות אלו נפרצו בפועל, אך התשתית עליה הן יושבות הכילה את החולשה.

ההיסטוריה של חברת Wiz

חברת הסייבר הישראלית Wiz (וויז) הפכה לשם דבר עולמי, לא רק בזכות הטכנולוגיה שלה, אלא בזכות ההצלחה העסקית המסחררת. החברה, שהוקמה ב-2020 על ידי יוצאי מיקרוסופט (אסף רפפורט וצוותו), שברה את כל השיאים האפשריים.

במרץ 2025, החברה עלתה לכותרות בכל העולם כשחתמה על עסקת ענק במסגרתה נרכשה על ידי גוגל (Google) תמורת כ-32 מיליארד דולר.

אסף רפפורט, צילום: עומר הכהן

זהו האקזיט הגדול ביותר בתולדות ההייטק הישראלי ואחת הרכישות הגדולות בהיסטוריה של גוגל. Wiz מתמחה באבטחת ענן "ללא סוכנים", והגילוי הנוכחי ב-AWS (המתחרה הגדולה של גוגל) רק מוכיח מדוע גוגל הייתה מוכנה לשלם סכום דמיוני שכזה עבור היכולות שלה.

איך Wiz איתרה את הבעיה?

החולשה הנוכחית נבעה מכשל קטן ומביך במנגנון האימות של אמזון. בשל טעות בהגדרות, חסרונם של שני תווים (^ ו-$) בקוד הסינון אפשר לחוקרים לייצר "תעודה מזויפת".

באמצעות התעודה הזו, יכלו החוקרים תיאורטית להזריק קוד זדוני לתוך כלי הפיתוח המרכזיים של אמזון. מכיוון שכלים אלו מותקנים בכ-66% מכל סביבות הענן בעולם, פוטנציאל הנזק היה קטסטרופלי.

מתקפת סייבר (אילוסטרציה). WIZ שוב הוכיחה את יעילותה בסיכול מתקפות, צילום: gettyimages

סוף טוב: הסכנה חלפה - אבל למה זה מתפרסם רק עכשיו?

חשוב להרגיע. מדובר במחקר של "האקרים טובים". ברגע שחוקרי Wiz גילו את הפרצה (באוגוסט 2025), הם העבירו דיווח בהול וחשאי לאמזון.

אמזון פעלה במהירות, תיקנה את החולשה והטמיעה הגנות חדשות. רק כעת, לאחר שהושלם התיקון ומומחי האבטחה וידאו שהשטח נקי, הותר לפרסם את הסיפור המלא.

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו

האפליקציות שלנו בסכנה? חוקרי Wiz חשפו פרצת אבטחה חמורה

נטפליקס, זום, לינקדאין, פורטנייט ועוד חברות ענק נשענות על אותה תשתית ענן • החולשה שנחשפה איימה על שירותים יומיומיים של מאות מיליוני משתמשים • כך נמנע תרחיש קיצון

נטפליקס, זום ולינקדאין: החברות שהיו חשופות לפרצת האבטחה

ההיסטוריה של חברת Wiz

העתיד, במייל שלכם

איך Wiz איתרה את הבעיה?

סוף טוב: הסכנה חלפה - אבל למה זה מתפרסם רק עכשיו?