נסעתם ב’באבל דן’? הפרטים שלכם דלפו בגלל פירצת אבטחה מטופשת

04.03.2020 12 תגובות מובייל וגאדג'טים

Share

שמות מלאים, מיילים, ופרטי כרטיס האשראי. כל הפרטים של כל נוסעי Bubble Dan מאז ומעולם – היו חשופים

צילום: גיקטיים

שירות הנסיעות של Bubble Dan הושק עם הבטחה לא קטנה, שירות הסעות חכם שלוקח את התחבורה הציבורית, והופך אותה ליותר יעילה, מהירה וחכמה. מעין מונית שירות על סטרואידים, כשכל מה שאתם צריכים בשביל לעלות לנסיעה הוא אפליקציה. בלי מזומן ובלי להעביר עודף. חשיפה של רן בר-זיק, מתכנת בוורייזון מדיה וחוקר אבטחה, מזכירה לנו שוב באיזו קלות דעת מאחסנים את המידע שלנו בישראל, כאשר הוא מציג חולשה כמעט מביכה שחשפה את כל הפרטים של הנוסעים בשירות.

קישורים לחשבוניות בלי הגנה

כמיטב החולשות בעת האחרונה, גם היא פשוטה ולא דורשת כמעט שום כלי או פרקטיקה מיוחדת. בתום כל נסיעה בבאבל, הנוסע מקבל לינק לחשבונית כמקובל בלא מעט שירותים אחרים. על פניו, הקישור לחשבונית נראה מורכב למדי וכולל לא מעט פרמטרים. בר-זיק נותן לדוגמה את הלינק הבא:

http://amazonaws.com/docs/XXXXX.pdf?AWSAccessKeyId=AKIAI5SMGXIP5LGEZSMA&Expires=1582557071

בר-זיק קיבל פניה ממיכאל גוברמן, חוקר אבטחה בעצמו, שגילה שניתן לגשת לקובץ החשבונית גם אם מוחקים את הפרמטרים לאחר סימן השאלה ונותרים רק עם הכתובת הפשוטה:

http://amazonaws.com/docs/XXXXX.pdf

במילים אחרות, מדובר לכאורה בקישור פשוט ובסיסי שחשוף לכל ללא שום מערך הגנה נוסף. אותו לקוח גילה כי החלק של שם קובץ ה-PDF הוא בסך הכל מספר רץ ואפילו לא רנדומלי. כלומר, אם תשנו את הסיומת של שם הקובץ, פשוט תגיעו לקובץ הבא שהופק, גם אם הוא לא שלכם. בר-זיק החליט בשלב הזה לבנות סקריפט קצר ובסיסי אשר בעצם יצר את הכתובות הרצות הללו, והצליח לטענתו לכרות חשבוניות של אלפי משתמשים.

מעכשיו גיקטיים גם בטלגרם מעכשיו גיקטיים גם בטלגרם להצטרפות לערוץ הטלגרם שלנו לחץ כאן

כך נראות החשבוניות שבר-זיק כרה

באותן חשבוניות שכרה, מצא בר זיק שמות מלאים, כתובות מייל, 4 ספרות אחרונות של אמצעי התשלום, חברת האשראי, ואפילו את תוקף הכרטיס של כל לקוח. תוהים מה ניתן לעשות עם המידע הזה? בר-זיק טוען שלא מעט. בין היתר ניתן לשלוח לכם מייל פישינג המתחזה לבאבל ומכיל פרטים אמינים שרק באבל אמורה לדעת, ופשוט לגרום לכם להקליד את מספר האשראי המלא שלכם. אך יותר מזאת, בר-זיק מזהיר מפני שילוב של מידע שכזה עם מידע אחר שדלף, כמו למשל הדליפה הענקית ממאגר אפליקציית “אלקטור” שחשפה פרטים של 6.5 מיליון ישראליים. לטענתו, השילוב של הפרטים מאפשר להזדהות אל כמעט כל שירות ממשלתי או עסקי ולהמשיך בתקיפה מסוכנת עוד יותר.

לאחר שחשף את דבר הפירצה לדן, המפעילה של שירות Bubble Dan, טענו בחברה כי הבעיה טופלה, והוסיפו כי לטענתם לא נעשה שימוש בפירצת אבטחה בארץ או בחו”ל. תגובה זו מעניינת במיוחד לאור העובדה שבר-זיק השתמש ב-VPN וניגש לשרת של החברה ממדינה זרה.

בשיחה עם גיקטיים מסביר בר-זיק מה כדאי לעשות כעת, כשפוטנציאלית הפרטים שלכם עשויים להימצא בידיים עוינות: “כדאי להזהר מפישינג שמשתמש בפרטים האלו – בין אם הוא מגיע במייל או בווטסאפ/סמס. אם אתם מחזיקים ארנק וירטואלי, חשבון בבנק זר המנוהל באינטרנט או כל נכס אחר שיכול להחטף על ידי תוקף זר – בגלל שהפרטים האלו יכולים לשמש לחטיפת סים – זה הזמן להוסיף אימות דו שלבי שאינו נשען על סמס אלא על תוכנה (כמו Google Authenticator) בכל השירותים החשובים לכם”.

Share

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

12 תגובות על "נסעתם ב’באבל דן’? הפרטים שלכם דלפו בגלל פירצת אבטחה מטופשת"

avatar
Photo and Image Files
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
דעה
Guest
דעה

איך, איך, איך?!
למה חברה טכנולוגית לא עומדת במינימום של הגנה על הפרטיות?
מ י נ י מ ו ם !!

דרג/י למעלה
12
דרג/י למטה  תגובות
1 year 2 months ago
משה ההאקר
Guest
משה ההאקר

חברת הסליקה אשמה

דרג/י למעלה
-6
דרג/י למטה  תגובות
1 year 2 months ago
שם כלשהו
Guest
שם כלשהו

כל גוף שיהיה לו יד בדבר אשם ללא יוצא מן הכלל

דרג/י למעלה
5
דרג/י למטה  תגובות
1 year 2 months ago
שם כלשהו
Guest
שם כלשהו

תביעה יצוגית נגד החברה בעוד 3… 2… 1…
ובצדק, עד שבישראל לא יתחילו לשלם כנסות ענק הפרטיות שלנו לא תעניין אף אחד.

דרג/י למעלה
5
דרג/י למטה  תגובות
1 year 2 months ago
היידה
Guest
היידה

Via חברה פח

דרג/י למעלה
2
דרג/י למטה  תגובות
1 year 2 months ago
Truth
Guest
Truth

עד שלא יכניסו לכלא על בעיות אבטחה זה יימשך

דרג/י למעלה
2
דרג/י למטה  תגובות
1 year 2 months ago
אחד שלא יודע
Guest
אחד שלא יודע

רק לי זה מוזר שהחשבונית יושבת ישירות תחת הדומיין כמעט הראשי של AWS?
http://amazonaws.com/docs
תחת הדומיין הזה יש אלפי אפליקציות…איפה ההפרדה למערכת החשבוניות של bubble?

דרג/י למעלה
-2
דרג/י למטה  תגובות
1 year 2 months ago
מתן
Guest
מתן

זו רק דוגמא…

דרג/י למעלה
3
דרג/י למטה  תגובות
1 year 2 months ago
תומר
Guest
תומר

חבר איזשהו שכבת הגנה לצרכן הפשוט.
לדוגמה: אפליקיה באייפון שמדרג את כל השירותים שאני משתמש בהם עם ציון 1-5 ונותן התרעה לשירותים שהדירוג שלהם קטן מ-3

דרג/י למעלה
1
דרג/י למטה  תגובות
1 year 2 months ago
sacana
Guest
sacana

אדון בר זיק, או כל קורא אחר ,נא להסביר איך חוטפים סים קארד. ומה ההשלכות של חטיפת סים קארד. האזנות סתר? חשיפת כל המידע הרגיש בסמארטפון, חשיפת המיילים, התכתבויות ווטסאפ, נא לפרט את סיכוני “חטיפת סימקארד”???????????

דרג/י למעלה
-1
דרג/י למטה  תגובות
1 year 2 months ago
האקר חובב
Guest
האקר חובב

נסה פשוט להתקשר לחברת הסלולר שלך ולהודיע שהמכשיר אבד. תראה איזה פרטים הם מבקשים וזו רמת הקושי “לחטוף סים”.

דרג/י למעלה
0
דרג/י למטה  תגובות
1 year 1 month ago
אליעד
Guest
אליעד

מעניין מה יש למר מומחה בר זיק להגיד אחרי שגילו חולשות במנגנון האימות של גוגל

גוגל ומיקרוסופט יודעות שנים על חולשה מטופשת באפליקציות האימות שלהן, ועכשיו יש נוזקה שיכולה להשתמש בה

דרג/י למעלה
1
דרג/י למטה  תגובות
1 year 1 month ago
wpDiscuz

תגיות לכתבה: