פרשת כרטיסי האשראי: אתרי הקופונים מגיבים

אחרי כל הבלאגן, האם אנחנו יכולים לחזור ולקנות בשקט באתרי הקופונים?

cc-by Andres Rueda via Flickr

פרשת גניבת כרטיסי האשראי הציבה ביומיים האחרונים את אתרי הקופונים בחזית כשהם סופגים את עיקר האש.

בשעות הצהריים אתמול (ג’) פירסם אתר “קבוצתי“, אחד האתרים ששמם הוזכר בקבצי הנתונים שדלפו בעקבות הפריצה כי “פעילות האתר הופסקה זמנית לביצוע בדיקות אבטחה” וביתר האתרים ניתן היה לראות כי מספר העסקות שנסגרו פחת משמעותית ביחס ליום ממוצע.

כבר אתמול איתרו מספר חוקרי אבטחה את שמם של שני אתרי קופונים ישראלים בקבצי הנתונים שהודלפו אל הרשת: “קבוצתי” ו-SALE365, שניהם אתרים צעירים יחסית שנטלו חלק בטרנד הקופונים שכבש את ישראל במהלך השנה החולפת. ההוזלות המשמעותיות שהציעו אתרי הקופונים משכו אליהם לקוחות רבים שביצעו אינספור עסקות באמצעות רשת האינטרנט ואחראיים במידה רבה לצמיחה המשמעותית של רכישות מבוססות כרטיס אשראי ברשת בשנים האחרונות. באופן טבעי, הפופולאריות של אתרי הקופונים הפכה אותם ליעד אטרקטיבי גם עבור גורמים זדוניים על אף שרמת האבטחה שהם מציעים אינה שונה מהותית מאתרי רכישות אחרים הזמינים באינטרנט.

“לאו דווקא אשמת אתרי הקופונים”

דיויד ממן, סמנכ”ל טכנולוגיות בחברת GreenSQL ומומחה לאבטחת מידע מסביר: “הפריצה איננה קשורה באופן ישיר דווקא לאתרי קופונים. הפלטפורמה בה השתמשו האתרים מהם דלף המידע לקתה בכשל וחלק מהם השתמשו באותה הפלטפורמה ככל הנראה. אתרים רבים רוכשים אפליקציה קיימת שתשרת את המטרות שלהם, הם לא בונים אותה מאפס ואם קיימת בעיית אבטחה באתר אחד היא מופיעה בכל האחרים שמשתמשים באותה אפליקציה. מעבר לכך, מאגר הנתונים שדלף כולל פרטים של כרטיסי אשראי שתוקפם פג לפני שנים, עוד לפני שאתרי הקופונים בכלל נוסדו ומעיד על כך שלא כל המידע הגיע דווקא מהם”, מוסיף ממן.

תמונה: בדיקת הקבצים מעידה על אחד ממקורות ההדלפה כאתר הקופונים "קבוצתי"

 

בפנייה אל מספר אתרי קופונים במטרה לקבל את התייחסותם לעניין, העדיפו מרביתם שלא להגיב בגלוי במטרה למנוע משמם להשתרבב אל הפרשה המביכה. גורם בכיר באחד מאתרי הקופונים הגדולים בארץ מסר לנו כי “חוסר המקצועיות של מספר אתרים קטנים שהפקירו את אבטחת המידע של הלקוחות שלהם פוגע כעת בכל הענף”. לטענתו, בעוד אתרי הקופונים הגדולים ובינהם גרופון, ביי2 ובאליגם אינם שומרים את פרטי כרטיס האשראי, שני האתרים שהיוו את מקור הדליפה ככל הנראה נטו שכן לשמור אותם. הסיבה לכך טוען אותו גורם בכיר נועדה לקצר את תהליך הרכישה בפעמים הבאות בהן יוכל הלקוח להזין רק את שם המשתמש והסיסמא ולא יצטרך להקליד מחדש את מספר כרטיס האשראי שלו, אך המשמעות היא שנתוני התשלום נשמרים במאגר של החברה ועשויים ליפול לידיים הלא נכונות.

“לא עומדים בתקנים כי זה כרוך בכאב ראש”

שי ארליכמן, אחד משותפי אתר האגרגציה לאתרי הקופונים “תבוא” ויועץ בכיר בתחום האינטרנט ציין כי “הרבה אתרים מעדיפים שלא להשתמש בתקנים מחמירים כי זה כרוך בהמון כאב ראש אך בטווח הארוך הדבר עשוי לפגוע בהם מאחר וכעת חברות האשראי עשויות לבחון מחדש את שיתוף הפעולה שלהן איתם ולמנוע מהם שירותי סליקה”.

על מנת שלא להפוך לקורבן בשל ביצוע עסקות אשראי ברשת, ממליץ ממן שלא להזין פרטים לאתרים שאינם עומדים בתקני אבטחה מחמירים ולשקול לעשות שימוש בכרטיס אשראי נטען אותו ניתן לרכוש מבנק הדואר או לבצע עסקאות רק באמצעות שירותים דוגמאת PayPal שאינם מעבירים את פרטי כרטיס האשראי לבית העסק או לאתר מולו בוצעה העסקה.

הכתבה פורסמה במקור היום בבוקר במוסף החדשות של עיתון מעריב.

רועי לטקה

גיק טכנולוגי עם נגיעות של תפוח, עדיף שיגיע נגוס. חי נושם וצורך טכנולוגיה באופן אובססיבי אך מדוד. קרימינולוג בהשכלתו, לוחם בפשע ובממסד באופן סימולטני. חובב כתיבה וקריאה, ונהנה לבחון באופן מדוקדק כל דבר שניתן לפרק לגורמים, ממוצרי טכנולוגיה ועד נפש האדם.

הגב

4 תגובות על "פרשת כרטיסי האשראי: אתרי הקופונים מגיבים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
בועז זינימן
Guest

לא חייבים לשמור פרטי אשראי (ובטח שלא מוצפנים) על מנת לאפשר ללקוח קניה חוזרת ללא הזנת פרטי כרטיס. רבים מספקי הסליקה הטובים (וכנראה גם היקרים והמאובטחים יותר) ישמחו לספק שרות זה עבורכם.

אגב – הקובץ המדובר עם שמות האתרים לא נראה כמו בסיס נתונים ואני לא בטוח שהאתר “קבוצתי”‘ זה שצילום המסך, שמר את הנתונים בבסיס נתונים. ניחוש שלי (וזה רק ניחוש) שמדובר בקובץ Log של פעולות הסליקה. לא שזה הופך את הבעיה לפחות חמורה וצריך להיות ממש טירון לעשות שטות כזאת אבל הנה עוד משהו שמפתחים חסרי מודעות עושים ואח”כ משלמים על זה ביוקר.

איתי
Guest

מסכים אתך לגבי הכל.
רוצה לחזק את דברייך, זהי דוגמה למפתחים חסרי מודעות שגרמו לנזק בלתי הפיך, הדבר החשוב שנפגע הוא התודעה הציבורית לגבי קניה באינטרנט ולגבי שימוש באינטרנט בכלל. עכשיו כל פעם שנעשה שימוש מסוים באינטרנט נחשוב פעמיים.
ללא ספק טעויות של טירונים.

אלכס
Guest

זה אחד הקבצים, יש עוד כמה קבצים כאשר 3 מהם קבצי MDB שמכילים את הטבלאות עם כל הנתונים ללא שום הצפנה.

גל
Guest

מדהים שהם טוענים שהם עומדים בכל תקני האבטחה (פופאפ בכניסה לאתר).

wpDiscuz

תגיות לכתבה: