נסעתם ב’באבל דן’? הפרטים שלכם דלפו בגלל פירצת אבטחה מטופשת

שמות מלאים, מיילים, ופרטי כרטיס האשראי. כל הפרטים של כל נוסעי Bubble Dan מאז ומעולם – היו חשופים

צילום: גיקטיים

שירות הנסיעות של Bubble Dan הושק עם הבטחה לא קטנה, שירות הסעות חכם שלוקח את התחבורה הציבורית, והופך אותה ליותר יעילה, מהירה וחכמה. מעין מונית שירות על סטרואידים, כשכל מה שאתם צריכים בשביל לעלות לנסיעה הוא אפליקציה. בלי מזומן ובלי להעביר עודף. חשיפה של רן בר-זיק, מתכנת בוורייזון מדיה וחוקר אבטחה, מזכירה לנו שוב באיזו קלות דעת מאחסנים את המידע שלנו בישראל, כאשר הוא מציג חולשה כמעט מביכה שחשפה את כל הפרטים של הנוסעים בשירות.

קישורים לחשבוניות בלי הגנה

כמיטב החולשות בעת האחרונה, גם היא פשוטה ולא דורשת כמעט שום כלי או פרקטיקה מיוחדת. בתום כל נסיעה בבאבל, הנוסע מקבל לינק לחשבונית כמקובל בלא מעט שירותים אחרים. על פניו, הקישור לחשבונית נראה מורכב למדי וכולל לא מעט פרמטרים. בר-זיק נותן לדוגמה את הלינק הבא:

http://amazonaws.com/docs/XXXXX.pdf?AWSAccessKeyId=AKIAI5SMGXIP5LGEZSMA&Expires=1582557071

בר-זיק קיבל פניה ממיכאל גוברמן, חוקר אבטחה בעצמו, שגילה שניתן לגשת לקובץ החשבונית גם אם מוחקים את הפרמטרים לאחר סימן השאלה ונותרים רק עם הכתובת הפשוטה:

http://amazonaws.com/docs/XXXXX.pdf

במילים אחרות, מדובר לכאורה בקישור פשוט ובסיסי שחשוף לכל ללא שום מערך הגנה נוסף. אותו לקוח גילה כי החלק של שם קובץ ה-PDF הוא בסך הכל מספר רץ ואפילו לא רנדומלי. כלומר, אם תשנו את הסיומת של שם הקובץ, פשוט תגיעו לקובץ הבא שהופק, גם אם הוא לא שלכם. בר-זיק החליט בשלב הזה לבנות סקריפט קצר ובסיסי אשר בעצם יצר את הכתובות הרצות הללו, והצליח לטענתו לכרות חשבוניות של אלפי משתמשים.

מעכשיו גיקטיים גם בטלגרם מעכשיו גיקטיים גם בטלגרם להצטרפות לערוץ הטלגרם שלנו לחץ כאן

כך נראות החשבוניות שבר-זיק כרה

באותן חשבוניות שכרה, מצא בר זיק שמות מלאים, כתובות מייל, 4 ספרות אחרונות של אמצעי התשלום, חברת האשראי, ואפילו את תוקף הכרטיס של כל לקוח. תוהים מה ניתן לעשות עם המידע הזה? בר-זיק טוען שלא מעט. בין היתר ניתן לשלוח לכם מייל פישינג המתחזה לבאבל ומכיל פרטים אמינים שרק באבל אמורה לדעת, ופשוט לגרום לכם להקליד את מספר האשראי המלא שלכם. אך יותר מזאת, בר-זיק מזהיר מפני שילוב של מידע שכזה עם מידע אחר שדלף, כמו למשל הדליפה הענקית ממאגר אפליקציית “אלקטור” שחשפה פרטים של 6.5 מיליון ישראליים. לטענתו, השילוב של הפרטים מאפשר להזדהות אל כמעט כל שירות ממשלתי או עסקי ולהמשיך בתקיפה מסוכנת עוד יותר.

לאחר שחשף את דבר הפירצה לדן, המפעילה של שירות Bubble Dan, טענו בחברה כי הבעיה טופלה, והוסיפו כי לטענתם לא נעשה שימוש בפירצת אבטחה בארץ או בחו”ל. תגובה זו מעניינת במיוחד לאור העובדה שבר-זיק השתמש ב-VPN וניגש לשרת של החברה ממדינה זרה.

בשיחה עם גיקטיים מסביר בר-זיק מה כדאי לעשות כעת, כשפוטנציאלית הפרטים שלכם עשויים להימצא בידיים עוינות: “כדאי להזהר מפישינג שמשתמש בפרטים האלו – בין אם הוא מגיע במייל או בווטסאפ/סמס. אם אתם מחזיקים ארנק וירטואלי, חשבון בבנק זר המנוהל באינטרנט או כל נכס אחר שיכול להחטף על ידי תוקף זר – בגלל שהפרטים האלו יכולים לשמש לחטיפת סים – זה הזמן להוסיף אימות דו שלבי שאינו נשען על סמס אלא על תוכנה (כמו Google Authenticator) בכל השירותים החשובים לכם”.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

12 תגובות על "נסעתם ב’באבל דן’? הפרטים שלכם דלפו בגלל פירצת אבטחה מטופשת"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
דעה
Guest

איך, איך, איך?!
למה חברה טכנולוגית לא עומדת במינימום של הגנה על הפרטיות?
מ י נ י מ ו ם !!

משה ההאקר
Guest

חברת הסליקה אשמה

שם כלשהו
Guest

כל גוף שיהיה לו יד בדבר אשם ללא יוצא מן הכלל

שם כלשהו
Guest

תביעה יצוגית נגד החברה בעוד 3… 2… 1…
ובצדק, עד שבישראל לא יתחילו לשלם כנסות ענק הפרטיות שלנו לא תעניין אף אחד.

היידה
Guest

Via חברה פח

Truth
Guest

עד שלא יכניסו לכלא על בעיות אבטחה זה יימשך

אחד שלא יודע
Guest

רק לי זה מוזר שהחשבונית יושבת ישירות תחת הדומיין כמעט הראשי של AWS?
http://amazonaws.com/docs
תחת הדומיין הזה יש אלפי אפליקציות…איפה ההפרדה למערכת החשבוניות של bubble?

מתן
Guest

זו רק דוגמא…

תומר
Guest

חבר איזשהו שכבת הגנה לצרכן הפשוט.
לדוגמה: אפליקיה באייפון שמדרג את כל השירותים שאני משתמש בהם עם ציון 1-5 ונותן התרעה לשירותים שהדירוג שלהם קטן מ-3

sacana
Guest

אדון בר זיק, או כל קורא אחר ,נא להסביר איך חוטפים סים קארד. ומה ההשלכות של חטיפת סים קארד. האזנות סתר? חשיפת כל המידע הרגיש בסמארטפון, חשיפת המיילים, התכתבויות ווטסאפ, נא לפרט את סיכוני “חטיפת סימקארד”???????????

האקר חובב
Guest

נסה פשוט להתקשר לחברת הסלולר שלך ולהודיע שהמכשיר אבד. תראה איזה פרטים הם מבקשים וזו רמת הקושי “לחטוף סים”.

אליעד
Guest

מעניין מה יש למר מומחה בר זיק להגיד אחרי שגילו חולשות במנגנון האימות של גוגל

גוגל ומיקרוסופט יודעות שנים על חולשה מטופשת באפליקציות האימות שלהן, ועכשיו יש נוזקה שיכולה להשתמש בה

wpDiscuz

תגיות לכתבה: