בלעדי: פירצת אבטחה מביכה נוספת ב”באבל”. אלפי צילומי תעודות זהות נחשפו

אין מילים. יממה לאחר שנחשפה פירצת אבטחה מטופשת למדי בשירות Bubble Dan, התגלתה פירצת אבטחה נוספת שחשפה אלפי צילומי תעודות זהות ותעודות אזרח וותיק של משתמשי השירות

צילום: גיקטיים

יממה לאחר שנחשף כי מערך הפקת החשבוניות של שירות ‘באבל דן’ חשף שמות מלאים, כתובות מייל ופרטי אשראי של לקוחות ללא הגנה ראויה, נמצאה פירצה נוספת בשירות. ממידע שהגיע לגיקטיים, עולה כי פרצה חדשה בשירות באבל חשפה לכאורה אלפי צילומי תעודת זהות חשופים לעיניי כל מי שמחזיק בדפדפן.

תיקיות פתוחות, ללא כל הגנות

הפירצה באתר של Bubble Dan אפשרה לכל משתמש – גם אם הוא לא האקר מנוסה במיוחד – להיכנס לתיקיות שונות בשרת ולהוריד סריקות וצילומים של תעודות שונות בהן תעודות זהות, תעודות זיהוי אחרות ותעודות אזרח ותיק. הסיבה שבאבל מאחסנת צילומי תעודות שונות היא מנגנון האימות שלה, שנועד לאפשר לאזרחים ותיקים ליהנות מהנחה של 50 אחוז בדמי הנסיעה בשירות. כאשר משתמש מעוניין ליהנות מההנחה, הוא מתבקש למלא טופס קצר ולצרף צילום של תעודת הזהות או תעודת האזרח הותיק שלו.

מי שגילה את הפרצה הוא עידו נאור, מנהל מחקר בחברת האבטחה קספרסקי, שפנה לגיקטיים לאחר שקרא אתמול את הדיווח על הפרצה המקורית. נאור נכנס לאתר השירות, כדי לבדוק האם הוא מאובטח כראוי. במקום לגלות אתר מאובטח, הוא הצליח לגלות להפתעתו מאגר של אלפי תעודות זהות חשופות.

מעכשיו גיקטיים גם בטלגרם מעכשיו גיקטיים גם בטלגרם להצטרפות לערוץ הטלגרם שלנו לחץ כאן

נאור הסביר כי כדי לגלות את הפירצה הוא לא היה זקוק לכלי פריצה מתוחכם, או אפילו לפצח כתובת URL מתוחכמת, אלא פשוט להיות מצויד בידע בסיסי והיכרות קלה עם WordPress. כל שהוא עשה, הוא להיכנס מדפדפן המובייל שלו לכתובת:

www.bubbledan.co.il/wp-content/uploads

זוהי תיקייה שנמצאת בכל אתר שנבנה בוורדפרס, ולרוב היא מכילה תמונות ששייכות לאתר כמו לוגואים, תמונות רקע וקבצים פומביים נוספים. רק שבמקום אותם קבצים ציבוריים, הופתע נאור לגלות תיקיות פתוחות, המחולקות לפי חודשי ההעלאה של המסמכים –  החל מחודש אפריל 2019 בו הושק השירות וממש עד לחודש מרץ 2020. בתוך התיקיות הללו המתינו אלפי תעודות זהות ותעודות אזרח וותיק של משתמשים ומשתמשות כקובצי תמונה פשוטים. ללא כל צורך בסיסמה או אמצעי נוסף אשר מגן עליהן.


“אפשר פשוט לגשת מהטלפון או מהדסקטופ. לא צריך שום יכולת של האקר בשביל לצפות בתעודות הזהות של האנשים. כל האקר יכול לאסוף מידע של אנשים. זו רשלנות” מספר נאור ומוסיף: “יש תיקיות מסוימות שאתה נכנס אליהן כשאתה מקים אתר וורדפרס, יש כ-4 כאלו שאתה בודק לראות שאף אחד לא עשה פאשלה. אין בעיה שהתיקייה תהיה פתוחה, יש בעיה שלשם הם העבירו את התעודות זהות”.

נאור יצר מייד קשר עם מערך הסייבר הישראלי, אשר יצר קשר עם חברת דן, המפעילה של שירות Bubble Dan, וזו חסמה את הפירצה. טופס ההרשמה עבור אזרחים וותיקים לא זמין לשימוש בשעה זו באתר.

תקלה שניתן היה למנוע בקלות

גם את החולשה הזאת, כמו החולשה שנחשפה אמש, ניתן היה למנוע בקלות. “פשוט לפנות לחברה שעושה סימולציות של תקיפה על האתר, או לשכור חברה שמבינה בוורדפרס”, טוען נאור, אשר מתלונן על כך ש”כל מפתח בין יומו” מציע שירותים במחירים נמוכים, והחברות בוחרות לעיתים בשחקנים הזולים והלא בהכרח מתאימים או מיומנים מספיק.

מ”דן”, מפעילת השירות Bubble Dan נמסר בתגובה: המקרה המוזכר בכתבתך טופל באופן מיידי תוך עדכון הגורמים הרלוונטיים. במקביל, נשכרה חברה חיצונית כדי לבחון את מערך אבטחת המידע בכלל המערכות הקשורות בהפעלת שירות bubble Dan ולטפל בפערי אבטחה, אם ימצאו כאלה”.

ממערך הסייבר נמסר בתגובה: “מערך הסייבר הלאומי מעמיד לרשות גופים במשק מגוון מתודות לעיבוי חומות ההגנה במערכות הארגון. המערך מסייע בעת הצורך בצמצום חשיפות סייבר במשק הישראלי.
עם זאת, באחריות הארגונים לעמוד בדרישות ובתקני אבטחת המידע”.

2 פירצות התגלו ביומיים

אמש נחשף כי מנגנון החשבוניות של באבל אוחסן בצורה לא מוגנית בכתובות URL עם מספרים רצים, כך שניתן לגשת ולהוריד קבלות של אלפי משתמשים. בין הפרטים שהופיעו בקבלות ניתן למצוא שמות מלאים, כתובות מלאי, 4 ספרות אחרונות של אמצעי התשלום, חברת האשראי ואפילו את תוקף הכרטיס של כל לקוח. גם פירצה זו תוקנה לאחר חשיפתה.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

16 תגובות על "בלעדי: פירצת אבטחה מביכה נוספת ב”באבל”. אלפי צילומי תעודות זהות נחשפו"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
ASD
Guest

אני ממש מחבב את הטרנד החדש הזה של חשיפת פרצות אבטחה. well done גיקטיים.

דדי
Guest

מנעולים הם לאנשים ישרים

טל שלי
Guest

איך אפשר לבדוק האם הנתונים שלי גם נחשפו (זה שתיקנו את הפירצה – זה לא אומר שהנתונים לא נחשפו)
האם יש מרכז פניות לבאבל?

טל שלי
Guest

איך יודעים אם הנתונים האישיים שלי נחשפו? האם יש מוקד של באבל שניתן לפנות אליו לבירור? (זה שהפרצה תוקנה – לא אומר שהפרטים שנחשפו כבר לא חשופים)

Joe
Guest

מביך שאלו פרצות האבטחה שמתגלות, זה רק מוכיח שאין דין ואין דיין בנוגע לפרטיות וביטחון עבור חברות מסוימות, הן לא מפחדות לאבד לקוחות, אין עונש אז אין אינטרס לעשות בדיקות מינימליות.

לוחה
Guest

הכי מעצבן זה התגובות שהם מפרסמים בעצת משרד יחסי הציבו שלהם.
שתי תקלות כמו אלו שהתגלו שמקפות שמעולם לא היה איכפת להנהלת החברה מאבטחה וגם הלאה לא יהיה איכפת להם.
רק כנסות / פגיעה בהכנסות החברה יעודדו אותם להגן על האתר שלהם.

אריה
Guest

אם לליכוד ונתניהו מותר, אז כולם לא צריכים לאבטח כלום… מסריח מהראש.

sacana
Guest
שתי האפליקציות ששימשו את שלושת המפלגות (ליכוד, כחול לבן, ש”ס) יש בהן את כל פרטי האזרח: תעודת זהות, שם, כתובת, בני משפחה, מגדר, זהות פוליטית, שייכות מפלגתית, פלאפון. שתי האפליקציות הללו שאחת מהן היא אלקטור מוחזקת ומתוחזקת ע”י גורמים פרטיים, גרוע מכך, מי שעושה בהם שימוש בפריסה רחבה מנצל את פרצת החוק שיו”ר וועדת הבחירות המרכזית אישר רק בסבב הבחירות האחרון והוא שכל חבר וועדה בכל קלפי עשה שימוש לא תקין באפליקציות הללו, תוך הפרת הפרטיות, פגיעה באנונימיות, הפרחת חובת זהירות, הפרת חובת השליחות מטעם המדינה ומטעם התפקיד של חבר וועדת קלפי, בכך נחשפו פרטיהם האישיים של 6.5 מיליון מצביעים… Read more »
ליאור;;
Guest

מה 3 הספריות האחריות שתמיד צריך לבדוק לדברים אותו אדם?

ליאור;;
Guest

מה 3 הספריות האחריות שתמיד צריך לבדוק לדברי אותו אדם?

EEE
Guest

wp-admin
wp-includes
wp-content

ליאור
Guest

wp-content הוזכרה בכתבה, ואמרו שסה”כ יש 4, אז חסרה אחת

ליאור
Guest

מה 3 הספריות האחריות שתמיד צריך לבדוק לדברי אותו אדם?

ליאור
Guest

נא למחוק, פורסם פעמיים בטעות.

שם כלשהו
Guest

כמה עוד פרצות צריך בשביל לקבל חוקים בשביל לשמור על הפרטיות שלנו (לפחות בצורה מינימלית)?
חברות בכלל ומפתחים בפרט צריכים לשאת באחריות פלילית על רשלונות פושעת בכל הקשור לאבטחת מידע.

לוחה
Guest

יותר חברות, פחות מפתחים.

wpDiscuz

תגיות לכתבה: