האקרים ישראלים חשפו פירצת אבטחה חמורה בעלי באבא, החברה מתעלמת
בכתבה שפורסמה אמש בערוץ 10 נחשפה פירצת אבטחה חמורה בעלי אקספרס שהתגלתה על ידי האקרים ישראלים ומציבה את פרטיהם של מיליוני משתמשים בסכנה. הענקית הסינית מעדיפה להתעלם בנתיים
מקור: צילום מסך, עלי אקספרס
עלי אקספרס לא יורדת מהכותרות רק שהפעם מדובר בחדשות מעט פחות משמחות. אמש פורסמה בתוכנית ״לילה כלכלי״ בערוץ 10 ידיעה לפיה אותרה פירצת אבטחה באתר המאפשרת גישה למיליוני חשבונות באתר. מומחי אבטחת המידע הישראלים אמיתי דן וברק טוילי הם אלו שגילו ובישרו על הפרצה ולטענתם האתר הקמעונאי טרם הגיב לטענות.
עלי אקספרס פרוץ והעולם שותק
לדבריהם מדובר בפרצה אשר מאפשרת גישה קלה ופשוטה אך חודרנית למדי לפרטי המשתמשים השונים שתספק שם, כתובת מלאה וטלפון. מסתבר כי אין צורך בידע טכני מורכב על מנת להגיע לאינפורמציה הזו באמצעות דפדוף אקראי בעמודי האתר ושינוי הספרות בכתובת ה-URL של פרופיל המשתמש.
מכיוון ובאתר רשומים מיליוני משתמשים ממספר רב של מדינות מדובר בחוסר אחריות מצד החברה שכן בשל מחדל האבטחה המשתמשים השונים יכולים ליפול בפח של חברות מתחרות אשר ישלחו להם מיילים, זה כאמור במקרה הטוב, במקרה הרע יותר קיים כאן מאגר מידע עצום שיוכל להוות קרקע פוריה למלכודות פישינג.
אם יצא לכם להשתמש בשירותי האתר בוודאי תהיתם לא פעם מדוע אין אפשרות לשלם באמצעות פיי פאל ויתכן כי עובדה זו אף גרמה לכם לוותר על פריט במחיר מציאה. עדיין לא ברור מה עלה בגורלם של פרטי כרטיסי האשראי שלנו, אך יש לקוות שבשל העובדה שמספר הכרטיס לא נשמר באופן אוטומטי ועלינו לספק אותו בכל הזמנה מחדש, הגישה אליהם לא אפשרית (לפחות בינתיים).
לאחר בדיקה מעמיקה ברשת, ברשתות החברתיות השונות כולל בפרופילים של החברה, נראה כי ישראל היא היחידה העוסקת בסוגיה המטרידה הזו ושאר העולם לא ממש ממהר להגיב או להתייחס לפרשה. כידוע לכם שירות הלקוחות של עלי אקספרס לא נחשב ליעילים בעולם וניתן לקבל לכך המחשה בכך שלמרות הניסיון לקבלת תגובה מהם על הפרשה, זו עדיין טרם נמסרה.
הילה חיימוביץ׳
גיקית, Deal With It
להגיב
2 תגובות
-
-
ערן הגיב:
אלון, תודה על האינפורמציה! מעריך את זה שהשקעת מזמנך לעדכן את כולנו. אדע לא להתקרב אליהם. תודה!
-
TL;DR – לא קונה אצלהם יותר – ebay עדיף כמעט בכל מובן…
קניתי שם הרבה,
אבל הפסקתי אחרי שאחד המוכרים שם עקץ אותי, ועדיין לא קבלתי שום החזר.
במשך יותר משלושה חודשים אני מחכה לפתרון הסיכסוך שם. בערך פעם בחודש הם חוזרים בבקשה לעוד פרטים. אני שולח תמונות, מראה מה הבטיחו ומה שלחו – וזה עדיין תקוע אצלהם.
הספק העוקץ (שכבר סגר את החשבון שלו, ועבר לאחד חדש) מסתמך על זה שניתן לקבל החזר רק אם שולחים את המוצר השגוי בחזרה. הוא שלח לי חיקוי של מזרון, והסתמך על זה שמסין זה משלוח בחינם (או לפחות כמעט בחינם). זה מזרן יוגה – ולשלוח את החיקוי בחזרה יעלה בערך כמו ההחזר, וידרוש ממני לא מעט טירחה.
ולכן הוא יודע שלא כדאי לו להתפשר, והוא מציע 7$ בחזרה על המזרן שעלה 36$.
לא נלאה בפרטים, אבל בגלל חוקי עליבאבא (בהם נברתי אחרי שההתנהגות של המוכר נראתה כמשהו מתוכן ומבוסס) אמרתי שאני לא מתפשר על פחות מ-35.99, כי אם אני אדרוש 36$ – לפי החוקים שלהם הוא ינצח.
אתמול אחרי מה ששמעתי – נכנסתי לקוד HTML בדף של פרטי הפרופיל שלי, וראיתי שמה שהוא מתאר זה פשוט קל באופן מגוכח.
אם אתה מריץ סקיפט שמשנה את המספר ID ושומר את כל התוצאות (שכמובן חלקן יהיו “שגיאה” אבל חלקן יהיו פרטים של מישהו) אתה יכול ליצור DATABASE עם פרטים של כתובת, טלפון, שם – וכמובן email.
מה שיכול לספק תחמושת נהדרת לפישינג, ולאינספור סוגי הונאות טלפוניות בהם “מוכיחים” לך שהם אוטנתיים כשהם מבקשים שתשלים פרטים מסויימים – כך שהם מראים שכבר יש להם את הפרטים – אבל כך הם יכולים לשלות עוד פרטים שלא היו להם מקודם.
ואם זה כ”כ קל – וזה פורסם – תהיו בטוחים שיש מי שכבר סורק את זה.
זה סקריפט של 10 דקות מקסימום (כולל שמירת תוצאות) גם למתכנת בינוני.
מייד שיניתי כל פרט שרק ניתן בפרופיל שלי, כך שרק השם והאימייל שלי יהיו חשופים.
רציתי למחוק לגמרי את החשבון – אבל אני לא רואה איך אפשר (ואני עדיין מחכה לזיכוי) אז את זה בנתיים לא עשיתי.
אני אדבוק ב-ebay.
מאובטח, אמין, שירות לקוחות נורמלי, ו-Paypal גם הרבה יותר פשוט ומהיר – וגם מבטח את העיסקה בדרך שמסתבר שלא קיימת לגמרי בעליבאבא… (כשקוראים את האותיות הקטנות – שמאלצות אותך לשלוח על חשבונך את המוצר אם אתה רוצה החזר).