האקר פרץ לחשבונות Gett והזמין נסיעות על חשבון הלקוחות

פרצת אבטחה ב-Gett: האקר פרץ לחשבונות והזמין נסיעות על חשבון לקוחות; החברה: הפירצה טופלה, ההאקר נעצר

 

בתוכנית "כלכלי בלילה" בערוץ 20 נחשף אתמול כי האקר הצליח להשתלט על חשבונות של לקוחות חברת Gett (לשעבר "גט-טקסי") ולבצע נסיעות על חשבונם. לאחת המתלוננות יש טענות קשות נגד התנהלות החברה לאחר גילוי הפרצה.

ההאקר ביצע נסיעות בסך 500 ש"ח

חן אברמוביץ', אשר חשבונה נפרץ על ידי אותו האקר, סיפרה כי גילתה את דבר הפריצה, כאשר קיבלה שיחת טלפון ממשטרת הרצליה. אברמוביץ' גילתה להפתעתה כי בוצעו על חשבונה שתי נסיעות בסך של כחמש מאות שקלים. לטענתה, כאשר פנתה לשירות הלקוחות של Gett, נאמר לה שהנושא מוכר, אבל החברה סירבה לזכות אותה. לדברי אברמוביץ', נציגי שירות הלקוחות דרשו ממנה לגשת למשטרה ורק לאחר מכן הסכימו לזכות אותה על הנסיעות שלא ביצעה. עוד טענה אברמוביץ' כי למחרת הגשת התלונה, היא ניסתה לפנות לשירות הלקוחות של Gett, אך הדבר לא התאפשר לה שכן רק לקוחות רשומים יכולים ליצור קשר עם מוקד השירות וחשבונה נחסם כחלק מהטיפול במקרה: "ניסיתי להיכנס לאפליקציה והסתבר שאני חסומה, מה שלטענתם עשו כדי למנוע גניבות. שלחתי להם מייל, פירטתי בצורה מאד מסודרת מה נאמר ומה הוסכם בינינו הם פשוט השיבו לי בצורה מאד קצרה ומאד לא נעימה שאני צריכה לפתור את זה לבד מול שירותי האשראי".

הפוסט שהעלתה אברמוביץ' בפייסבוק. מקור: צילום מסך

אברמוביץ' מספרת שאף אחד מחברת Gett לא יצר עימה קשר והיא נאלצה לבטל את החיובים השגויים בצורה עצמאית מול חברת האשראי. תגובה היא קיבלה רק לאחר שהעלתה פוסט בפייסבוק: "השארתי ל-Gett מספר מיילים, אמרתי שזה לא מכובד ואני מחכה ומצפה שיחזרו אלי לטלפון. רק היום לאחר שהעליתי פוסט אז התקשרו אלי".

לדברי המתלוננת, היא גילתה שהיא לא היחידה שנפלה קורבן לאותו האקר: "מרגע שהעליתי את הפוסט פנו אלי מספר אנשים שזה קרה להם, אבל גם כשהייתי במשטרה התיק היה ממש גדול ושאלתי את השוטר והוא אמר לי שזה סיפור מאד מאד גדול ושאני לא היחידה, יש מספר מקרים כאלו. Gett לא לקחה אחריות ועדיין לא לוקחת אחריות. חבל, פשוט חבל".

Gett: היתה פרצה נקודתית וההאקר נעצר

מחברת Gett נמסר בתגובה: "בחודש נובמבר התגלתה פירצה נקודתית אצל חמישה משתמשים אשר בעת התקנת האפליקציה האקר הצליח לאחזר את הסיסמא שנשלחה אליהם למכשיר ובכך לאקטב את החשבונות אצלו ולבצע נסיעות בודדות, בשיתוף פעולה עם המשטרה ההאקר נעצר. מיד לאחר מכן ביצענו שינוי תוכנה אשר מונע פירצה כזאת בעתיד (אימות דו שלבי). מדובר במקרה קצה שטופל במהירות ויסודיות על ידי גט כולל החזרת הכסף, חסימת החשבון של הלקוחה בוצע כצעד מונע כחלק מטיפול בבעיה ומייד לאחר מכן מרכז השירות של החברה יצר איתה קשר על מנת לאקטב את החשבון בצורה בטוחה. חשוב להדגיש כי להאקר לא היתה גישה לפרטי האשראי עצמם בשום שלב, פרטים אלו מאוחסנים בנפרד אצל ספק עם תקן PCI ולא ניתן לגשת אליהם מהאפליקציה או ממערכות גט".​

יניב אביטל

חי ונושם טכנולוגיה עוד מימי ה-ZX Spectrum היפים. חולה על כל סוגי הגאדג'טים - אלו שמתחברים ל-USB, ואלו שקוראים לו "אבא".

הגב

14 Comments on "האקר פרץ לחשבונות Gett והזמין נסיעות על חשבון הלקוחות"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
זהבה אביב
Guest

האקר יקר
נא לא להשתמש בכספי?

אריה
Guest

האקר מעפן… האקר מקצועי היה נוסע חינם ומחייב את המנכ"ל…

גנא
Guest

ואללה נכון חחח, הבחור הזה סתם גנב טיפש, 500 ₪, ועכשיו הולך לאכול חרא.. לא טיפשות?

אלי
Guest

חזירים. שירות לקוחות גרוע. היו חייבים לזכות אותה קודם כל ורק אז לשאול שאלות. כל הכבוד לה שפירסמה כזה פוסט.

Fsociaty
Guest

זה צריך להגיע לווינט.
חברה בזיונית.

אלי
Guest

ביזיון של חברה.
גם יש תחושה ששתולים של החברה שמים unlike לתגובות נגדם..

אבשלום קור
Guest

גיקטיים , מאוחסנים ולא מאוכסנים.
פעם שנייה שאתם נופלים במילה הזו ?

אודי
Guest

זה נקודתי וההאקר נעצר וכל מי שנגנב ממנו כסף יקבל את כספו חזרה מחברת האשראי כך שאני לא באמת מודאג. עדיין גט זה אחלה שרות למי שמשתמש בהרבה מוניות, קשה לי לראות איך אני חוזר לימים ההם של המתנה ברחוב עד שמונית פנויה תואיל לעצור לי…

אופיר
Guest

מניח שאני לא מחדש כאן לאף אחד אבל GETT (כמו כל חברה מסחרית בערך) מאחסנת את פרטי האשראי של המשתמשים שלה על שרתים של חברה חיצונית. מה זה אומר? שהפריצה הייתה למאגר חיצוני ולא לאפליקציה עצמה. חשוב לדייק, בטח באתר כמו גיקטיים.

kiddo
Guest

או XSS מקומי או גניבת הטוקן באמצעות mitm
בכל מקרה, עד שלא ייחשף ההאקר, קשה לי להאמין שתפסו אותו.

ישי
Guest

לא קראת את כל הכתבה? ההאקר כן פרץ לgett ולא לחברה החיצונית. לא הייתה לו גישה לפרטי האשראי אלא שהוא הצליח רק לנצל את האפליקציה עצמה בהזמנת נסיעות.

אני
Guest

למה אתה לא קורא עד הסוף? ההאקר *לא הצליח* להשיג את פרטי כרטיס האשראי.

אייל
Guest

ברור לכם שזה קרה להרבה חברות גדולות מאד בעבר.. כמעט בכל המקרים הפריצה מתרחשת אצל מקור חיצוני שבו הנתונים מאוחסנים. ככה שאם גט עלו על זה מהר המצב טוב

אורן
Guest

כמו שכבר אמרו לפניי.. גט פועלים בדיוק כמו חברות אחרות בתחום ולכן רוב הסיכויים שהמאגרים שלהם חיצוניים, אני לא חושב שהיה להם מה לעשות מעבר לזה. דברים כאלה קורים והכי חשוב שמטפלים בזה.

wpDiscuz

תגיות לכתבה: