פרסום ראשון: פירצת אבטחה ב”באליגם” חשפה חוזים ופרטי חשבונות בנק של ספקים

פירצת אבטחה באתר הקופונים באליגם חשפה אלפי מסמכים רגישים הנוגעים לבתי עסק שעבדו עם האתר וכוללים בין היתר מספר חשבונות בנק ופירוט מלא של החוזים שנחתמו. המידע היה זמין לכל אדם ללא כל צורך בהרשאות מיוחדות.

מקור: צילום מסך

מקור: צילום מסך

אתרי הקופונים כבר הפכו מזמן לדבר שבשגרה במחוזתינו. אתרים כמו גרופון, Buy2, וואלה שופס ואחרים מציעים עסקאות במכירות קבוצתיות הנשענות על העיקרון של הנחות מוגבלות בזמן, עם דילים אטרקטיביים במיוחד. על פי הערכות, בשנת 2011 עמד היקף פעילות אתרי הקופונים בישראל על כ-500 מיליון שקלים, סכום שסביר שהמשיך וטיפס מאז.

העיקרון פשוט – בתי עסק וחברות מקיימים הסכמי שיתוף פעולה עם אתרי הקופונים ומציעים את מרכולם בהנחה משמעותית ולזמן מוגבל. התנאי – הגעה ליעד גבוה מספיק שיפעיל את ההנחה ויאפשר לעסק למכור כמות נכבדת שתהיה שווה את ההנחה שהעניק.

מקור: צילום מסך

מקור: צילום מסך

חשופים: בתי העסק שחתמו על הסכם מול באליגם

אתר הקופונים באליגם אשר הושק ביולי 2010 והספיק מאז לרכוש, בין היתר, את אתר מוצרי הילדים אימא לייק ואת האתר yemama , מציע חוויה דומה של קופונים למשתמשים שלו. לאתר רשת רחבה של קשרים ושיתופי פעולה עם בעלי עסקים שונים, אשר מעוניינים להציע שירותים ומוצרים שונים, בהנחה כמובן, דרך האתר.

על פי מידע שהגיע לגיקטיים במייל האדום ואומת בשעות האחרונות, פירצת אבטחה מאפשרת גישה לכל אותם הסכמים עסקיים וחוזים שנחתמו בין באליגם לבתי העסק השונים וחושפת את ההתקשרות העסקית כולה על פרטיה השונים. בין היתר, ניתן למצוא את פרטי החוזה המלאים בין באליגם לאותם העסקים, כולל העמלה הניתנת תמורת ההשתתפות באתר המכירה הקבוצתית, הגבלות ומספר המינימום של יחידות המוצעות לטובת הצלחת העסקה ופרטים כגון מספר חשבון בנק, מספר סניף, כתובות וטלפונים של אנשי קשר הקשורים לבית העסק ולאתר.

בדומה לפירצת האבטחה של אתר ההיכרויות JDate, אותה פרסמנו לראשונה בגיקטיים והתבססה על אבטחה לקויה על גבי שרתי הענן של אמזון, גם בשרתים של באליגם התגלתה פירצה דומה, אך מעיון קצר במסמכים ובתמונות הנגישים באמצעות הפירצה ניתן למצוא הרבה יותר מסתם תמונות, אלא הסכמי חוזים מלאים ופרטים רגישים כגון חשבון בנק, היישר משורת הכתובת של הדפדפן וללא צורך בשום ידע מוקדם בנושא האקינג כלשהו.

מקור: צילום מסך, עיבוד תמונה

מקור: צילום מסך, עיבוד תמונה

מעוניינים להצטרף לבאליגם?

בין הקבצים שדלפו ניתן למצוא יותר מ-4,000 תמונות ומסמכים הקשורים להסכמים מול בתי עסק הכוללים פרטים בהם שמות אנשי קשר, כתובות, מספרי טלפון, חתימת וחותמת העסק וכל הסעיפים עליהם הסכימו הצדדים יחד עם פרטי התשלום ומספר חשבון הבנק.

הנה דוגמא למסמך אחד שהודלף המהווה את טיוטת הסכם שיתוף הפעולה בין בית עסק לבאליגם:

מקור: צילום מסך, עיבוד תמונה

מקור: צילום מסך, עיבוד תמונה

מקור: צילום מסך, עיבוד תמונה

מקור: צילום מסך, עיבוד תמונה

נציין כי בעקבות פניית גיקטיים לאתר באליגם חסם האתר את הפירצה טרם עליית הידיעה לאוויר.

מבאליגם נמסר בתגובה:

אנו מתייחסים ברצינות רבה לנושא אבטחת המידע באתר באליגם. מחלקת אבטחת המידע של האתר עושה את כל המאמצים בכדי לשמור על חסיון הפרטים של לקוחותינו ובעלי העסקים איתם אנו עובדים. לצערנו, במקרה הנוכחי, עקב תקלה בארכיון המסמכים החיצוני של האתר שמקורה בהרשאות ובהגדרות של שרתי אמזון, נחשפו מספר הסכמים עם בתי עסק העובדים עם באליגם. התקלה תוקנה באופן מיידי ויש לציין כי לא נחשפו פרטים אישיים של קהל לקוחותינו. באליגם ימשיך להעניק ללקוחותיו ולעסקים איתם הוא עובד את השירות הבטוח והטוב ביותר.

אבישי בר

מנהל מוצר. מפתח Web ו-React Native, חולה גאדג'טים, הולך נגד הזרם ואוהב את כל מה שקשור לגוגל, לאנדרואיד ולקוד פתוח. עיסוקו העיקרי הוא לפרק לחלקים כל צעצוע חדש שמגיע למשרד ואז לכתוב עליו מדריך.

הגב

3 תגובות על "פרסום ראשון: פירצת אבטחה ב”באליגם” חשפה חוזים ופרטי חשבונות בנק של ספקים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
עברתי בסביבה
Guest

“עקב תקלה בארכיון המסמכים החיצוני של האתר שמקורה בהרשאות ובהגדרות של שרתי אמזון” ?
איזה שטויות, שיגידו שה”תקלה” היא רשלנות או סתם חוסר תשומת לב של מי שאמור היה להגדיר את ההרשאות בשרתים הרלוונטיים, בטח לקחו הגדרות ברירת מחדל ולא טיפלו בזה מעבר. תקלה חמורה, אבל בטח לא של אמזון.
באליגם חובבנים, לא אקנה דרכם יותר, מחר ייחשפו גם פרטי כר’ האשראי שלי, לא סומך על זה.

חובה
Guest

Yarin Groiser אני כמשתמש שבמקרה עבר וקורא את מה שכתבת חושב שאתה טיפש ביותר.
One man’s trash is another man’s treasure
המידע הזה שווה ערך למתחרים (ויש הרבה) לאתרי קופונים, ככה הם יכולים להשוות חוזים ולדרוש/לסחוט בהתאם מהעסקים.
כמו כן הפירסום יזיק להכנסות שלהם.
כל חברה שמזלזלת באבטחת המידע ולא משקיעה את הסכומים המתאימים לטיפול במיוחד שמדובר במערכות שמעורב $$$, מגיע לה פירסום שלילי ויותר, ולכן שאפו לחבר’ה שמצאו ופירסמו ולא פגעו בהם יותר קשה.

יוני
Guest

אחסון אתרים חייב להיות מאובטח

wpDiscuz

תגיות לכתבה: