בלעדי: פירצת אבטחה מביכה נוספת ב”באבל”. אלפי צילומי תעודות זהות נחשפו
אין מילים. יממה לאחר שנחשפה פירצת אבטחה מטופשת למדי בשירות Bubble Dan, התגלתה פירצת אבטחה נוספת שחשפה אלפי צילומי תעודות זהות ותעודות אזרח וותיק של משתמשי השירות
יממה לאחר שנחשף כי מערך הפקת החשבוניות של שירות ‘באבל דן’ חשף שמות מלאים, כתובות מייל ופרטי אשראי של לקוחות ללא הגנה ראויה, נמצאה פירצה נוספת בשירות. ממידע שהגיע לגיקטיים, עולה כי פרצה חדשה בשירות באבל חשפה לכאורה אלפי צילומי תעודת זהות חשופים לעיניי כל מי שמחזיק בדפדפן.
תיקיות פתוחות, ללא כל הגנות
הפירצה באתר של Bubble Dan אפשרה לכל משתמש – גם אם הוא לא האקר מנוסה במיוחד – להיכנס לתיקיות שונות בשרת ולהוריד סריקות וצילומים של תעודות שונות בהן תעודות זהות, תעודות זיהוי אחרות ותעודות אזרח ותיק. הסיבה שבאבל מאחסנת צילומי תעודות שונות היא מנגנון האימות שלה, שנועד לאפשר לאזרחים ותיקים ליהנות מהנחה של 50 אחוז בדמי הנסיעה בשירות. כאשר משתמש מעוניין ליהנות מההנחה, הוא מתבקש למלא טופס קצר ולצרף צילום של תעודת הזהות או תעודת האזרח הותיק שלו.
מי שגילה את הפרצה הוא עידו נאור, מנהל מחקר בחברת האבטחה קספרסקי, שפנה לגיקטיים לאחר שקרא אתמול את הדיווח על הפרצה המקורית. נאור נכנס לאתר השירות, כדי לבדוק האם הוא מאובטח כראוי. במקום לגלות אתר מאובטח, הוא הצליח לגלות להפתעתו מאגר של אלפי תעודות זהות חשופות.
נאור הסביר כי כדי לגלות את הפירצה הוא לא היה זקוק לכלי פריצה מתוחכם, או אפילו לפצח כתובת URL מתוחכמת, אלא פשוט להיות מצויד בידע בסיסי והיכרות קלה עם WordPress. כל שהוא עשה, הוא להיכנס מדפדפן המובייל שלו לכתובת:
זוהי תיקייה שנמצאת בכל אתר שנבנה בוורדפרס, ולרוב היא מכילה תמונות ששייכות לאתר כמו לוגואים, תמונות רקע וקבצים פומביים נוספים. רק שבמקום אותם קבצים ציבוריים, הופתע נאור לגלות תיקיות פתוחות, המחולקות לפי חודשי ההעלאה של המסמכים – החל מחודש אפריל 2019 בו הושק השירות וממש עד לחודש מרץ 2020. בתוך התיקיות הללו המתינו אלפי תעודות זהות ותעודות אזרח וותיק של משתמשים ומשתמשות כקובצי תמונה פשוטים. ללא כל צורך בסיסמה או אמצעי נוסף אשר מגן עליהן.
“אפשר פשוט לגשת מהטלפון או מהדסקטופ. לא צריך שום יכולת של האקר בשביל לצפות בתעודות הזהות של האנשים. כל האקר יכול לאסוף מידע של אנשים. זו רשלנות” מספר נאור ומוסיף: “יש תיקיות מסוימות שאתה נכנס אליהן כשאתה מקים אתר וורדפרס, יש כ-4 כאלו שאתה בודק לראות שאף אחד לא עשה פאשלה. אין בעיה שהתיקייה תהיה פתוחה, יש בעיה שלשם הם העבירו את התעודות זהות”.
נאור יצר מייד קשר עם מערך הסייבר הישראלי, אשר יצר קשר עם חברת דן, המפעילה של שירות Bubble Dan, וזו חסמה את הפירצה. טופס ההרשמה עבור אזרחים וותיקים לא זמין לשימוש בשעה זו באתר.
תקלה שניתן היה למנוע בקלות
גם את החולשה הזאת, כמו החולשה שנחשפה אמש, ניתן היה למנוע בקלות. “פשוט לפנות לחברה שעושה סימולציות של תקיפה על האתר, או לשכור חברה שמבינה בוורדפרס”, טוען נאור, אשר מתלונן על כך ש”כל מפתח בין יומו” מציע שירותים במחירים נמוכים, והחברות בוחרות לעיתים בשחקנים הזולים והלא בהכרח מתאימים או מיומנים מספיק.
מ”דן”, מפעילת השירות Bubble Dan נמסר בתגובה: “המקרה המוזכר בכתבתך טופל באופן מיידי תוך עדכון הגורמים הרלוונטיים. במקביל, נשכרה חברה חיצונית כדי לבחון את מערך אבטחת המידע בכלל המערכות הקשורות בהפעלת שירות bubble Dan ולטפל בפערי אבטחה, אם ימצאו כאלה”.
ממערך הסייבר נמסר בתגובה: “מערך הסייבר הלאומי מעמיד לרשות גופים במשק מגוון מתודות לעיבוי חומות ההגנה במערכות הארגון. המערך מסייע בעת הצורך בצמצום חשיפות סייבר במשק הישראלי.
עם זאת, באחריות הארגונים לעמוד בדרישות ובתקני אבטחת המידע”.
2 פירצות התגלו ביומיים
אמש נחשף כי מנגנון החשבוניות של באבל אוחסן בצורה לא מוגנית בכתובות URL עם מספרים רצים, כך שניתן לגשת ולהוריד קבלות של אלפי משתמשים. בין הפרטים שהופיעו בקבלות ניתן למצוא שמות מלאים, כתובות מלאי, 4 ספרות אחרונות של אמצעי התשלום, חברת האשראי ואפילו את תוקף הכרטיס של כל לקוח. גם פירצה זו תוקנה לאחר חשיפתה.
הגב
16 תגובות על "בלעדי: פירצת אבטחה מביכה נוספת ב”באבל”. אלפי צילומי תעודות זהות נחשפו"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
אני ממש מחבב את הטרנד החדש הזה של חשיפת פרצות אבטחה. well done גיקטיים.
מנעולים הם לאנשים ישרים
איך אפשר לבדוק האם הנתונים שלי גם נחשפו (זה שתיקנו את הפירצה – זה לא אומר שהנתונים לא נחשפו)
האם יש מרכז פניות לבאבל?
איך יודעים אם הנתונים האישיים שלי נחשפו? האם יש מוקד של באבל שניתן לפנות אליו לבירור? (זה שהפרצה תוקנה – לא אומר שהפרטים שנחשפו כבר לא חשופים)
מביך שאלו פרצות האבטחה שמתגלות, זה רק מוכיח שאין דין ואין דיין בנוגע לפרטיות וביטחון עבור חברות מסוימות, הן לא מפחדות לאבד לקוחות, אין עונש אז אין אינטרס לעשות בדיקות מינימליות.
הכי מעצבן זה התגובות שהם מפרסמים בעצת משרד יחסי הציבו שלהם.
שתי תקלות כמו אלו שהתגלו שמקפות שמעולם לא היה איכפת להנהלת החברה מאבטחה וגם הלאה לא יהיה איכפת להם.
רק כנסות / פגיעה בהכנסות החברה יעודדו אותם להגן על האתר שלהם.
אם לליכוד ונתניהו מותר, אז כולם לא צריכים לאבטח כלום… מסריח מהראש.
מה 3 הספריות האחריות שתמיד צריך לבדוק לדברים אותו אדם?
מה 3 הספריות האחריות שתמיד צריך לבדוק לדברי אותו אדם?
wp-admin
wp-includes
wp-content
wp-content הוזכרה בכתבה, ואמרו שסה”כ יש 4, אז חסרה אחת
מה 3 הספריות האחריות שתמיד צריך לבדוק לדברי אותו אדם?
נא למחוק, פורסם פעמיים בטעות.
כמה עוד פרצות צריך בשביל לקבל חוקים בשביל לשמור על הפרטיות שלנו (לפחות בצורה מינימלית)?
חברות בכלל ומפתחים בפרט צריכים לשאת באחריות פלילית על רשלונות פושעת בכל הקשור לאבטחת מידע.
יותר חברות, פחות מפתחים.