פרסום ראשון: חור אבטחה בשירות הטיסות המוזלות Up אפשר יירוט של פרטי כרטיסי אשראי

מחדל אבטחה באתר אל על חשף את לקוחותיהם של מותג הטיסות הזולות החדש Up, במשך תקופה ארוכה, לסכנת יירוט פרטי כרטיס האשראי שלהם. מה קרה שם?

חפש טיסה, ואחר כך חפש את כרטיס האשראי שלך. מקור: צילום מסך

חפש טיסה, ואחר כך חפש את כרטיס האשראי שלך. מקור: צילום מסך

על מותג הטיסות המוזלות החדש של אל על, שהושק בקול תרועה רמה, Up, בוודאי שמעתם דרך אמצעי התקשורת בשבועות האחרונים. החברה תחל להפעיל החל מה-30 במרץ 2014, כ-50 טיסות שבועיות מוזלות לאירופה, באמצעות מטוסי בואינג מיוחדים שהוסבו על ידי חברת התעופה, ועוצבו בהתאם למותג החדש.

על אבטחת מידע שילמתם?

החברה, כמו כל חברת תעופה שלוקחת את עצמה ברצינות, מאפשרת ללקוחותיה לרכוש טיסות דרך אתר האינטרנט שלה. את הטיסות ניתן לרכוש כפריטים בודדים כנהוג בטיסות ה-Low Cost, כלומר: טיסה בנפרד, העלאת מזוודה למטוס בנפרד, הגשת אוכל ושתייה במטוס בנפרד וכו׳. אך האם גם עבור אבטחת המידע של סליקת כרטיס האשראי שלכם באתר החברה תצטרכו לשלם בנפרד? לקוחות שהזמינו כרטיסים עד היום בשעות הבוקר העבירו את פרטי אמצעי התשלום שלהם באתר בלתי מאובטח שלא עמד בסטנדרטים הבסיסיים ביותר ברשת. מאז פניית גיקטיים לחברה הבוקר, חור האבטחה נחסם בשעות האחרונות והאתר כעת מאובטח.

כך זה נראה הבוקר

החברה מודיעה, באופן מפורש בעת הזנת פרטי כרטיס האשראי כי מדובר בהליך מאובטח:

מקור: צילום מסך

מקור: צילום מסך

אך למרבה הפלא, בבדיקת חתימת אבטחה וזהות פשוטה אשר ערכנו, המתבצעת באמצעות כל דפדפן פופולרי, מעלה את התוצאה הבאה:

מקור: צילום מסך

מקור: צילום מסך

כמו כן, ניתן לראות בבירור שהכתובת אינה מתחילה בפרוטוקול https, ומכך ניתן להסיק שטופס שליחת פרטי כרטיס האשראי, אינו מאובטח כלל וכלל.

בטוח שזה לא מאובטח?

התשובה היא חד משמעתית כן, אבל ניחא, בואו נרד טיפה לשורש העניין. נתחיל, כזכור, מדף הזנת פרטי כרטיס האשראי, שאת חלקו הצגנו בפיסקה שלפני כן:

מקור: צילום מסך

לחץ להגדלה. מקור: צילום מסך

התיבה מצד שמאל למעשה מזהירה את המשתמש כי זהות האתר אינה אומתה, הקישור לאתר, booking.elal.co.il, שמהווה ככל הנראה את מנגנון ההזמנות של החברה, אינו מוצפן וכי זו הפעם הראשונה שאנחנו מבקרים באתר, נכון להיום. בטופס, מילאנו פרטים מזוייפים לצורך בדיקת האבטחה של האתר, ולחצנו על כפתור האישור. זה מה שקרה מאז:

מקור: צילום מסך

לחץ להגדלה. מקור: צילום מסך

לצורך בדיקת בקשת ה-POST שנשלחה אל שרתי החברה, השתמשנו בכלי ה-Inspect Element של דפדפן Google Chrome. בתמונה הנוכחית, ניתן בבירור לראות דבר אחד בולט: ה-Request URL של הבקשה נשלח אל הכתובת http://booking.elal.co.il/newBooking/preparePayment.do, המהווה כתובת לא מאובטחת. את הפרטים שנשלחו ניתן למצוא בהמשך הבקשה, ביניהם סוג הכרטיס, השם ושם המשפחה של הנוסע, מספר כרטיס האשראי, ה-CVV והתוקף, בקיצור – את כל הפרטים הדרושים בכדי לעשות שימוש בכרטיס האשראי. הבקשה הזו נשלחה, ללא ספק, מטופס בכתובת אינטרנט לא מאובטחת אל מנגנון הזמנות שנמצא גם הוא על כתובת אינטרנט לא מאובטחת.

מה הסכנה בכך, אתם שואלים? ובכן, תארו לכם שאתם יושבים בבית קפה, או אפילו ברשת הביתית שלכם, אשר הרבה מאוד פעמים פתוחה או לא מוגנת בסיסמא. כל מה שהאקרים צריכים לעשות, הוא ״להאזין״ לתעבורה שעוברת דרך הרשת, לתפוס את בקשת ה-POST המכילה את פרטי האשראי שלכם (שעוברים בצורה לא מוצפנת, עקב המחסור בפרוטוקול האבטחה), לגנוב אותם ולעשות בהם שימוש כרצונם. עבור האקר, מדובר בפעולה פשוטה למדי השקולה ליירוט פתק, אשר מכיל את כל פרטי כרטיס האשראי של אדם מסויים, אשר עף באוויר ועובר מול העיניים שלכם.

נציין כי מיד עם בקשת התגובה לידיעה מיהרה החברה לסגור את חור האבטחה המפורט ועדכנה את האתר.

מאלעל נמסר בתגובה: ״מדובר בתקלה נקודתית אשר תוקנה מיד. אנו מודים לגיקטיים על כך שהסבו את תשומת ליבנו לנושא״.

אבישי בר

מנהל מוצר. מפתח Web ו-React Native, חולה גאדג'טים, הולך נגד הזרם ואוהב את כל מה שקשור לגוגל, לאנדרואיד ולקוד פתוח. עיסוקו העיקרי הוא לפרק לחלקים כל צעצוע חדש שמגיע למשרד ואז לכתוב עליו מדריך.

הגב

34 Comments on "פרסום ראשון: חור אבטחה בשירות הטיסות המוזלות Up אפשר יירוט של פרטי כרטיסי אשראי"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
תפסיקו לחרטט
Guest
תפסיקו לחרטט

פרצת אבטחה מאוד חמורה, בואו תגזימו עוד קצת

מה אתם מנסים להגיד בכתבה הזאת? פשוט מיותר

אני הייתי מוכן להכניס את פרטי האשראי שלי שם – ולהיות בטוח ב100% שאתם לא תוכלו לקבל אותם.

גם כשהטופס מאובטח ב-SSL עדיין יכולים לקבל את הפרטים שלכם, ואפילו יותר סביר שיהיה לך Key Logger על המחשב מאשר שיעשו לך Man in the Middle

יוסי כהן
Guest

תגיד אתה במקרה עובד של אל על ??
אתה רציני בתגובה שלך ??
כל הכבוד לאנשים ששומרים על. אזרח הפשוט מחברות חובבניות כמו האתר של up
תודה

מוטי
Guest

כשאני קורא את מה שהאיש "תפסיקו לחרטט" כותב אני פשוט לא מאמין
אני מאחל לאיש בריאות ואושר רק במדינה אחרת
תחסוך ממדינתנו הקטנה את החפריות שאתה כל כך טוב באה

הזוי
Guest

מעניין , האם אתה חושב שכל נושא ה SSL מיותר? מציע לך לדבר עם EBAY , AMAZON, GOOGLE וכל החבר'ה ולספר להם על התיאוריה הזו. מקווה מאד שאתה לא עובד בתחום המחשוב ו/או אבטחת מידע.

תפסיקו לחרטט
Guest
תפסיקו לחרטט

לצערך אני עובד בדיוק בתחום של אבטחת המידע

ותאמין לי ש-SSL זה הדבר האחרון שימנע מהאקרים להשיג את פרטי האשראי שלך

עזרא
Guest

אז כל העולם שמשתמשים ב-SSL הם הטפשים, ורק אתה וחברי האתר הנ"ל הם החכמים שיודעים מה שהם עושים.
או שיש לך שיגעון גדלות או שאתה סתם חרטטן מפגר.

עזרא
Guest

אולי אתה מוכן להפקיר את מספר כרטיס האשראי שלך לכל האקר מזדמן, אבל רוב האנשים בישראל מעדיפים לדעת שכשהם עושים קנייה באינטרנט יש איזשהו מינימום של אבטחה על הכרטיס שלהם.
אני לא מבין גדול באבטחה, אבל כל האקר מתחיל יודע שHTTPS זה מינימום של אבטחה.

אור
Guest

כשהרשת האלחוטית שאתה מחובר אליה אינה מוצפנת כלל (או מוצפנת באמצעות WEP), לא צריך להיות Man in the middle, אפשר להפעיל את כרטיס הרשת האלחוטי על מצב מוניטור ולקבל את כל התעבורה שעוברת אל ומהראוטר.

רו
Guest

תגובה מביכה משהו.

נניח שאתה מחובר לאתר באמצעות רשת לא מאובטחת, ואתה גולש ב – SSL .

התעבורה בינך לבין אתר האינטרנט מופצנת עדיין והנתב האלחוטי לא יכול לקרוא אותה.

ניסית פעם להפעיל מצב מוניטור ולראות את כל התעבורה?

ראית פעם תעבורה של SSL בצורה כזו שיכולת לקרוא אותה?

רון
Guest

כל ההיסטריה סביב SSL היא כל כך מינורית וטיפשית, כמובן שבסופו של יום הם צריכים להוסיף SSL, אבל הם בימים הראשונים של ההקמה, אם האקר יתאמץ מספיק כדי להסניף תקשורת בWIFI ללקוח ספציפי שההאקר יודע שהוא קונה כרטיס בUP מראש, הוא כבר יכול להתאמץ מספיק ולעשות MITM פשוט שגם SSL מעאפן לא יכול למנוע.

אסף
Guest

כל אבטחה ניתנת לפריצה בסופו של דבר, זה לא אומר שלא צריכים לאבטח.
אין שום סיבה לעשות חיים קלים לגנבים.
כל הכבוד גיקטיים על הקליטה ועל ההודעה למי שצריך.
ואם מישהו שם לך key logger על המחשב או שמפעיל MITM נקודתית בשבילך, אז יש לך פירצת אבטחה נקודתית (וגם כנראה שמאוד עיצבנת מישהו) ולא לאתר שאתה משלם דרכו.

נדב
Guest

חובבני במיוחד. גם הניהול הזמנה ממעביר את הפרמטרים ב get שזה עוד יותר הזוי. תיכנסו להוספת מזוודה ממהתפריט ותראו את הזוועה זה כמו להעביר שםמשתמש וססמה ב get !

גור
Guest

OMG

רן
Guest

ההבדל היחיד (מבחינה אבטחתית) בין get לבין post הוא שבראשון המשתמש רואה את הפרמטרים בשורת הכתובת.

אם זה היה ב – post ניתן היה לראות גם כן את הפרמטרים בקלות בין אם ב – fiddler ובין אם ב – network tab ב – developer tools של כל דפדפן.

אל תעשה מההעברה ב – get משהו כזה חמור.

הודעות ממומנות?
Guest
הודעות ממומנות?

ההבדל הוא פשוט: ל GET יש CACHE של הדפדפן. וניתן לשבת על מחשב באינטרנט קפה שבו מישהו הזמין טיסה זה עתה ולהתעלל לו בהזמנה

רו
Guest
לא מדוייק. נתחיל בכך שאין לי קשר לסיפור והתגובה שלי אינה ממומנת. נמשיך בכך שנכון שניתן לראות את כל הפרמטרים של מה שנשלח ב – get בהסטוריה וב – post לא, בכך אתה צודק. אלא שרוב הסיכויים שאתה מעלה את הבקשה מההסטוריה, שנשמרים נתונים בשרת ואני מאמין שאפילו אם המפתחים לא התכוונו לכך, לא ניתן יהיה לשחזר את ההזמנה. בקשר ל – cache , כן השאלה לאיזה אתה מתכוון. אם הכוונה שחוזר http 304 אז קרוב לוודאי שלא מתבצע דבר בשרת, אחרת היתה מחוללת מחדש התשובה והיה חוזר http 200 שזה לא cache אם הכוונה ל – output caching של… Read more »
פנחס
Guest

נראה שחברה חיצונית בנתה את המערכת הזו עבור אל על… ואני בטוח שאף אחד באל על לא בסכנת פיטורין… כרגיל יאשימו את הש"ג

ש.ג.
Guest

"מחדל אבטחה …במשך תקופה ארוכה…"
במיוחד כי האתר באוויר בדיוק שבוע ימים.

חלש מאד חברים. הערתם, תיקנו בזריזות. יאללה מתקדמים.

יריב
Guest

עד שמגיע ההאקר הסעודי וכולם נעמדים על הרגליים האחריות ושואלים איך זה קרה
תאמת? מחברה כזו כמו אל על לא ציפיתי…

תפסיקו לחרטט
Guest
תפסיקו לחרטט
אתה יודע על מה אתה מדבר בכלל? כשמפרסמים רשימות של כרטיסי אשראי כמו מה שפרסם ה"האקר הסעודי" – שום SSL שבעולם לא קשור לעניין אתרים ששומרים את הפרטים של כרטיסי האראי על השרתים שלהם, ויש להם חורי אבטחה אמיתיים (ולא, SSL זה לא חור אבטחה!) ואפשר לפרוץ להם לשרת ולהוציא את הרשימה – זה כן מסכן את הפרטים של הלקוחות, ויש לא מעט אתרים חאפרים שלא יודעים לשמור על המידע כמו שצריך וזה למה אתה שומע על "ההאקר הסעודי". אני לא אומר שלא צריך להשקיע ב-SSL, זה עניין מאוד פשוט לביצוע ולא יקר בכלל – אבל זה ממש לא "מחדל… Read more »
ערנן לב
Guest

נגיד SSL או לא SSL
החברה כותבת שם במפורש!! במפורש! שהאתר מאובטח !!!!!

וזה היה שקר

מה יותר גרוע מזה??
אז אם בקטנות כאלה הם משקרים, מה קורה עם כל שאר הדברים???????

הUP הזה לא ממש ממריא,
רק כרטיסי האשראי שלנו מעופפים באוויר

מוטי
Guest

חלש?? חוצפן !
האתר לא צריך להיות באוויר גם לא דקה !!

אתה במקרה החובבן שבנה את האתר ??
מה בשטוח אתה לא לקוח שהזמין דרך האתר ע"י כרטיס האשראי שלך.

תלמד מקצועיות ואז תדבר.

עזרא
Guest

כמה משלמים לך על כל תגובה? זה באמת שווה את השטויות שאתה כותב?

רו
Guest

זו תגובה מאוד לא נבונה

This is an extremely not wise comment

מיקי גבריאל
Guest

זה אמיתי הדבר הזה??????????????

העיקר שכל הרשת מפוצצת פרזסומות על האתר הזה!

הזוי

עזרא
Guest

זה לא פירצת אבטחה זה פשוט הפקרה.
זה כמו שברינקס יפקירו חבילה שלהם באמצע הרחוב ויילכו הביתה, זה לא נחשב ל"פירצת אבטחה" זה פשוט מחדל.
אין מילים על דבר כזה. פשוט אין.

הודעות ממומנות?
Guest
הודעות ממומנות?

ההפקרות היא שככל הנראה אנשים שאחרים למחדל (ר"ל: לאתר UP) כותבים ברוב חוצפתם:
"חלש מאד חברים. הערתם, תיקנו (אנחנו תיקנו) בזריזות. יאללה מתקדמים."
זו הפריצות האמיתית.

אלי
Guest

אכן חמור, אבל –
נכנסתי לאתר כשראיתי את הכתבה – ודף התשלום היה ב ssl.
כלומר – ניתן לסמוך על התגובה של אלעל שהיא נכונה, שהייתה בעיה נקודתית והיא תוקנה.
ניסיתי לבדוק יותר מתוחכם, ונכנסתי גם לאתר הרגיל שלהם – וגם שם היה SSL.
בקיצור – נראה לי כמו סערה בכוס תה. הייתה בעיה, הצפתם אותה, אלעל תיקנו ושלום על ישראל.
אנחנו אלופים בלאכול אחד את השני, בואו נרגע עם זה קצת…

דוד שמואלי
Guest

הבעיה היא שאלעל שיקרו באתר וכתבו שזה כן מאובטח.
שקר! אלפי כרטיסי אשראי טסים באוויר העולם , אלאאותם אלה שעברו לפני התיקון שנעשה. מה איתם? זה נראה לך תקין?
ומה עם הבאג המטורף שנדב העלה פה למעלה? זה תוקן? לא!!!

דוד שמואלי
Guest

הבעיה היא שאלעל שיקרו באתר וכתבו שזה כן מאובטח.
שקר! אלפי כרטיסי אשראי טסים באוויר העולם , אלאאותם אלה שעברו לפני התיקון שנעשה. מה איתם? זה נראה לך תקין?

נ.ב: ומה עם הבאג המטורף שנדב העלה פה למעלה? זה תוקן? לא!!!

יהודה
Guest

האמת היא כזו:
1. פתיחת DEVELOPER ב CHROME גם אם האתר הייה מוצפן הייה מציג את כרטיס אשראי בפוסט. (יש לזכור שה SSL מצפין את התעבורה מהדפדפן לשרת. אך הדפדפן עצמו מכיר במה שהוא שולח)
במילים אחרות – זה לא מדד להציג דרך DEVELOPER של הדפדפן שכרטיס אשראי מוצג.

2. ה SSL "פותר" בערך את המצב שאם במקרה מישהו יהיה בין נקודות הROUTING פלוס מינוס.

3. מזבוב (שכנראה חברת על-אל רצתה לחסוך 100$ על סרטיפיקייט) עשו כתבה שצריכה להכיל הרבה מילים שלא אומרת כלום.

שמשון הגיבור
Guest
שמשון הגיבור

זה שאלעל רצתה לחסוך 100 דולר על חשבון הלקוחות שלה, זה עניין גדול

אולי זה זבוב, אבל שתי מסקנות יש מהזבוב הזה:

1: אלעל שיקרה ללקוחות שלה, באתר החדש שלה!(הרי שהיה רשום שם בפירוש שזה מאובטח)
2: אלעל ניסתה לחסוך 100 דולר על חשבון הלקוחות שלה! רק מראה כמה היא קמצנית…

אז יהודה, או מי שלא תהיה,
כל מה שתנסה להגיב עם כל הכסף ששלימו לך, רד מזה
אלעל היתה לחוצה להעלות אתר כמה שיותר מהר, כי הרי ירדו עליה בתקשורת שלא העלתה עדין אתר, אז מתוך לחץ העלו אתר רדוד לגמרי!

בהצלחה להם

ג.ג.
Guest

בקיצור – לשלם עם פייפאל ואין סיכוי ששום פרטים ידלפו החוצה

SSL?
Guest

הדובר של אל על עוד יאמר ש SSL משתמשים רק ב AIR SYRIA

wpDiscuz

תגיות לכתבה: