נסעתם ב'באבל דן'? הפרטים שלכם דלפו בגלל פירצת אבטחה מטופשת
שמות מלאים, מיילים, ופרטי כרטיס האשראי. כל הפרטים של כל נוסעי Bubble Dan מאז ומעולם – היו חשופים
שירות הנסיעות של Bubble Dan הושק עם הבטחה לא קטנה, שירות הסעות חכם שלוקח את התחבורה הציבורית, והופך אותה ליותר יעילה, מהירה וחכמה. מעין מונית שירות על סטרואידים, כשכל מה שאתם צריכים בשביל לעלות לנסיעה הוא אפליקציה. בלי מזומן ובלי להעביר עודף. חשיפה של רן בר-זיק, מתכנת בוורייזון מדיה וחוקר אבטחה, מזכירה לנו שוב באיזו קלות דעת מאחסנים את המידע שלנו בישראל, כאשר הוא מציג חולשה כמעט מביכה שחשפה את כל הפרטים של הנוסעים בשירות.
קישורים לחשבוניות בלי הגנה
כמיטב החולשות בעת האחרונה, גם היא פשוטה ולא דורשת כמעט שום כלי או פרקטיקה מיוחדת. בתום כל נסיעה בבאבל, הנוסע מקבל לינק לחשבונית כמקובל בלא מעט שירותים אחרים. על פניו, הקישור לחשבונית נראה מורכב למדי וכולל לא מעט פרמטרים. בר-זיק נותן לדוגמה את הלינק הבא:
http://amazonaws.com/docs/XXXXX.pdf?AWSAccessKeyId=AKIAI5SMGXIP5LGEZSMA&Expires=1582557071
בר-זיק קיבל פניה ממיכאל גוברמן, חוקר אבטחה בעצמו, שגילה שניתן לגשת לקובץ החשבונית גם אם מוחקים את הפרמטרים לאחר סימן השאלה ונותרים רק עם הכתובת הפשוטה:
http://amazonaws.com/docs/XXXXX.pdf
במילים אחרות, מדובר לכאורה בקישור פשוט ובסיסי שחשוף לכל ללא שום מערך הגנה נוסף. אותו לקוח גילה כי החלק של שם קובץ ה-PDF הוא בסך הכל מספר רץ ואפילו לא רנדומלי. כלומר, אם תשנו את הסיומת של שם הקובץ, פשוט תגיעו לקובץ הבא שהופק, גם אם הוא לא שלכם. בר-זיק החליט בשלב הזה לבנות סקריפט קצר ובסיסי אשר בעצם יצר את הכתובות הרצות הללו, והצליח לטענתו לכרות חשבוניות של אלפי משתמשים.
באותן חשבוניות שכרה, מצא בר זיק שמות מלאים, כתובות מייל, 4 ספרות אחרונות של אמצעי התשלום, חברת האשראי, ואפילו את תוקף הכרטיס של כל לקוח. תוהים מה ניתן לעשות עם המידע הזה? בר-זיק טוען שלא מעט. בין היתר ניתן לשלוח לכם מייל פישינג המתחזה לבאבל ומכיל פרטים אמינים שרק באבל אמורה לדעת, ופשוט לגרום לכם להקליד את מספר האשראי המלא שלכם. אך יותר מזאת, בר-זיק מזהיר מפני שילוב של מידע שכזה עם מידע אחר שדלף, כמו למשל הדליפה הענקית ממאגר אפליקציית "אלקטור" שחשפה פרטים של 6.5 מיליון ישראליים. לטענתו, השילוב של הפרטים מאפשר להזדהות אל כמעט כל שירות ממשלתי או עסקי ולהמשיך בתקיפה מסוכנת עוד יותר.
לאחר שחשף את דבר הפירצה לדן, המפעילה של שירות Bubble Dan, טענו בחברה כי הבעיה טופלה, והוסיפו כי לטענתם לא נעשה שימוש בפירצת אבטחה בארץ או בחו"ל. תגובה זו מעניינת במיוחד לאור העובדה שבר-זיק השתמש ב-VPN וניגש לשרת של החברה ממדינה זרה.
בשיחה עם גיקטיים מסביר בר-זיק מה כדאי לעשות כעת, כשפוטנציאלית הפרטים שלכם עשויים להימצא בידיים עוינות: "כדאי להזהר מפישינג שמשתמש בפרטים האלו – בין אם הוא מגיע במייל או בווטסאפ/סמס. אם אתם מחזיקים ארנק וירטואלי, חשבון בבנק זר המנוהל באינטרנט או כל נכס אחר שיכול להחטף על ידי תוקף זר – בגלל שהפרטים האלו יכולים לשמש לחטיפת סים – זה הזמן להוסיף אימות דו שלבי שאינו נשען על סמס אלא על תוכנה (כמו Google Authenticator) בכל השירותים החשובים לכם".
הגב
12 תגובות על "נסעתם ב'באבל דן'? הפרטים שלכם דלפו בגלל פירצת אבטחה מטופשת"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
איך, איך, איך?!
למה חברה טכנולוגית לא עומדת במינימום של הגנה על הפרטיות?
מ י נ י מ ו ם !!
חברת הסליקה אשמה
כל גוף שיהיה לו יד בדבר אשם ללא יוצא מן הכלל
תביעה יצוגית נגד החברה בעוד 3… 2… 1…
ובצדק, עד שבישראל לא יתחילו לשלם כנסות ענק הפרטיות שלנו לא תעניין אף אחד.
Via חברה פח
עד שלא יכניסו לכלא על בעיות אבטחה זה יימשך
רק לי זה מוזר שהחשבונית יושבת ישירות תחת הדומיין כמעט הראשי של AWS?
http://amazonaws.com/docs
תחת הדומיין הזה יש אלפי אפליקציות…איפה ההפרדה למערכת החשבוניות של bubble?
זו רק דוגמא…
חבר איזשהו שכבת הגנה לצרכן הפשוט.
לדוגמה: אפליקיה באייפון שמדרג את כל השירותים שאני משתמש בהם עם ציון 1-5 ונותן התרעה לשירותים שהדירוג שלהם קטן מ-3
אדון בר זיק, או כל קורא אחר ,נא להסביר איך חוטפים סים קארד. ומה ההשלכות של חטיפת סים קארד. האזנות סתר? חשיפת כל המידע הרגיש בסמארטפון, חשיפת המיילים, התכתבויות ווטסאפ, נא לפרט את סיכוני "חטיפת סימקארד"???????????
נסה פשוט להתקשר לחברת הסלולר שלך ולהודיע שהמכשיר אבד. תראה איזה פרטים הם מבקשים וזו רמת הקושי "לחטוף סים".
מעניין מה יש למר מומחה בר זיק להגיד אחרי שגילו חולשות במנגנון האימות של גוגל