תקלה: פרטיהם של 300 אלף משתמשי גרופון נחשפו

מאגר הנתונים של השלוחה ההודית של גרופון הפך זמין בגוגל, בטעות. כתובות הדואר האלקטרוני והסיסמאות של 300K משתמשים באתר נחשפו. בגרופון פתחו בחקירה.

מקור: תמונות מסך מאתר החברות, עיבוד תמונה

מהלך לא מתוכנן בשלוחה ההודית של גרופון, SoSasta.com, גרם לכך שפרטיהם של 300 אלף לקוחות השלוחה ההודית היו חשופים בדף הראשי של החברה במשך זמן ארוך שהספיק כדי שהמידע ייכנס לאינדקס של גוגל. חוקר אבטחת המידע שגילה את הפרסום השגוי דיווח לגרופון, וזו הורידה את המידע במהירות שיא. עכשיו נשאר לגלות האם זה היה בזמן.

בשלב זה אין פרטים הנוגעים לסיבה שהובילה לתקלה. השתלשלות האירועים, כפי שהם ידועים כרגע, מתחילים ב-Daniel Grzelak, יועץ לענייני אבטחת מידע מאוסטרליה. הוא זה שגילה את דבר חשיפת המידע, שלח עדכון לגרופון וגם צייץ על זה. את המידע על הלקוחות הוא מצא, במקרה, דרך גוגל. המידע שפורסם כלל את כתובות הדואר האלקטרוני של הלקוחות ואת הסיסמאות שלהם לאתר, ב-plain text.

רגע התגלית

דניאל, כחוקר אבטחת מידע, חיפש בגוגל מאגרי מידע מסוג SQL, שהכילו צמדים של כתובות אינטרנט ואת המלה “סיסמא” באנגלית. בראיון שפורסם ב-Risky.biz תאר דניאל כי כמה שעות לאחר שהחל לחפש הוא נתקל במאגר המידע הספציפי. הוא רפרף, כדי לנסות לקבל אומדן הנוגע להיקף הבעיה, ואז הבין שמדובר בחשיפה בטעות של כמות גדולה מאוד של משתמשים. הוא פנה ל-Risky.biz כדי שיעזרו לו לברר כיצד מגיעים לגורמים המתאימים בגרופון, ובאתר יצרו קשר ישירות עם מנכ”ל גרופון, Andrew Mason, שהתקשר אישית תוך 24 שעות.

התגובה של גרופון מרגע קבלת ההודעה היתה מהירה, והיא הורידה במהירות את המאגר מהדף הראשי של SoSasta. יודגש שהטיפול המהיר חריג לרוב בנוף התגובות האופייני לארגונים גדולים בנסיבות שכאלה. בנוסף, גרופון פנתה במייל לכל אותם 300,000 לקוחות שהמידע שלהם נחשף וביקשה מהם להחליף את הסיסמות שלהם לאתר SoSasta, ובמידה והם מיחזרו את הסיסמא הזאת משירותים נוספים, עליהם לשקול בחיוב להחליף את הסיסמאות שלהם בכל האתרים.

רכישות מסביב לעולם

SoSasta נרכשה על-ידי גרופון בינואר 2011, במסגרת מסע רכישות חובק עולם שביצעה החברה. במסגרת אותו מסע רכישות, גרופון גם רכשה את הסטארטאפ הישראלי גרופר – היום תוכלו לגלוש לאתר החדש של רכישות חברתיות שהקימו שתי החברות בעברית ב-groupon.co.il.

חשיפתו של מאגר המידע הנוגע ללקוחות החברה בעייתית, בלשון המעטה, ובמיוחד כאשר הסיסמאות מאוחסנות בו ב-plain text ולא כ-hash. למרות זאת, נראה כי ניתן למזער את הנזקים, כל עוד הלקוחות של SoSasta שממחזרים סיסמאות יחליפו את הסיסמאות שלהן גם בשירותים האחרים, והחברה עצמה תחקור כיצד הגיעה למצב בו מאגר המידע שלה זמין לכל דורש באמצעות האינדקס של גוגל.

Avatar

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

1 תגובה על "תקלה: פרטיהם של 300 אלף משתמשי גרופון נחשפו"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
רם פרס
Guest

ושוב, מי ש״אכל אותה״ באמת, הם כל אלה שמשתמשים באותה סיסמה בכל האתרים…

wpDiscuz

תגיות לכתבה: