פרסום ראשון: חור אבטחה בשירות הטיסות המוזלות Up אפשר יירוט של פרטי כרטיסי אשראי
מחדל אבטחה באתר אל על חשף את לקוחותיהם של מותג הטיסות הזולות החדש Up, במשך תקופה ארוכה, לסכנת יירוט פרטי כרטיס האשראי שלהם. מה קרה שם?
חפש טיסה, ואחר כך חפש את כרטיס האשראי שלך. מקור: צילום מסך
על מותג הטיסות המוזלות החדש של אל על, שהושק בקול תרועה רמה, Up, בוודאי שמעתם דרך אמצעי התקשורת בשבועות האחרונים. החברה תחל להפעיל החל מה-30 במרץ 2014, כ-50 טיסות שבועיות מוזלות לאירופה, באמצעות מטוסי בואינג מיוחדים שהוסבו על ידי חברת התעופה, ועוצבו בהתאם למותג החדש.
על אבטחת מידע שילמתם?
החברה, כמו כל חברת תעופה שלוקחת את עצמה ברצינות, מאפשרת ללקוחותיה לרכוש טיסות דרך אתר האינטרנט שלה. את הטיסות ניתן לרכוש כפריטים בודדים כנהוג בטיסות ה-Low Cost, כלומר: טיסה בנפרד, העלאת מזוודה למטוס בנפרד, הגשת אוכל ושתייה במטוס בנפרד וכו׳. אך האם גם עבור אבטחת המידע של סליקת כרטיס האשראי שלכם באתר החברה תצטרכו לשלם בנפרד? לקוחות שהזמינו כרטיסים עד היום בשעות הבוקר העבירו את פרטי אמצעי התשלום שלהם באתר בלתי מאובטח שלא עמד בסטנדרטים הבסיסיים ביותר ברשת. מאז פניית גיקטיים לחברה הבוקר, חור האבטחה נחסם בשעות האחרונות והאתר כעת מאובטח.
כך זה נראה הבוקר
החברה מודיעה, באופן מפורש בעת הזנת פרטי כרטיס האשראי כי מדובר בהליך מאובטח:
מקור: צילום מסך
אך למרבה הפלא, בבדיקת חתימת אבטחה וזהות פשוטה אשר ערכנו, המתבצעת באמצעות כל דפדפן פופולרי, מעלה את התוצאה הבאה:
מקור: צילום מסך
כמו כן, ניתן לראות בבירור שהכתובת אינה מתחילה בפרוטוקול https, ומכך ניתן להסיק שטופס שליחת פרטי כרטיס האשראי, אינו מאובטח כלל וכלל.
בטוח שזה לא מאובטח?
התשובה היא חד משמעתית כן, אבל ניחא, בואו נרד טיפה לשורש העניין. נתחיל, כזכור, מדף הזנת פרטי כרטיס האשראי, שאת חלקו הצגנו בפיסקה שלפני כן:
לחץ להגדלה. מקור: צילום מסך
התיבה מצד שמאל למעשה מזהירה את המשתמש כי זהות האתר אינה אומתה, הקישור לאתר, booking.elal.co.il, שמהווה ככל הנראה את מנגנון ההזמנות של החברה, אינו מוצפן וכי זו הפעם הראשונה שאנחנו מבקרים באתר, נכון להיום. בטופס, מילאנו פרטים מזוייפים לצורך בדיקת האבטחה של האתר, ולחצנו על כפתור האישור. זה מה שקרה מאז:
לחץ להגדלה. מקור: צילום מסך
לצורך בדיקת בקשת ה-POST שנשלחה אל שרתי החברה, השתמשנו בכלי ה-Inspect Element של דפדפן Google Chrome. בתמונה הנוכחית, ניתן בבירור לראות דבר אחד בולט: ה-Request URL של הבקשה נשלח אל הכתובת http://booking.elal.co.il/newBooking/preparePayment.do, המהווה כתובת לא מאובטחת. את הפרטים שנשלחו ניתן למצוא בהמשך הבקשה, ביניהם סוג הכרטיס, השם ושם המשפחה של הנוסע, מספר כרטיס האשראי, ה-CVV והתוקף, בקיצור – את כל הפרטים הדרושים בכדי לעשות שימוש בכרטיס האשראי. הבקשה הזו נשלחה, ללא ספק, מטופס בכתובת אינטרנט לא מאובטחת אל מנגנון הזמנות שנמצא גם הוא על כתובת אינטרנט לא מאובטחת.
מה הסכנה בכך, אתם שואלים? ובכן, תארו לכם שאתם יושבים בבית קפה, או אפילו ברשת הביתית שלכם, אשר הרבה מאוד פעמים פתוחה או לא מוגנת בסיסמא. כל מה שהאקרים צריכים לעשות, הוא ״להאזין״ לתעבורה שעוברת דרך הרשת, לתפוס את בקשת ה-POST המכילה את פרטי האשראי שלכם (שעוברים בצורה לא מוצפנת, עקב המחסור בפרוטוקול האבטחה), לגנוב אותם ולעשות בהם שימוש כרצונם. עבור האקר, מדובר בפעולה פשוטה למדי השקולה ליירוט פתק, אשר מכיל את כל פרטי כרטיס האשראי של אדם מסויים, אשר עף באוויר ועובר מול העיניים שלכם.
נציין כי מיד עם בקשת התגובה לידיעה מיהרה החברה לסגור את חור האבטחה המפורט ועדכנה את האתר.
מאלעל נמסר בתגובה: ״מדובר בתקלה נקודתית אשר תוקנה מיד. אנו מודים לגיקטיים על כך שהסבו את תשומת ליבנו לנושא״.
אבישי בר
מנהל מוצר. מפתח Web ו-React Native, חולה גאדג'טים, הולך נגד הזרם ואוהב את כל מה שקשור לגוגל, לאנדרואיד ולקוד פתוח. עיסוקו העיקרי הוא לפרק לחלקים כל צעצוע חדש שמגיע למשרד ואז לכתוב עליו מדריך.
הגב
34 תגובות על "פרסום ראשון: חור אבטחה בשירות הטיסות המוזלות Up אפשר יירוט של פרטי כרטיסי אשראי"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
פרצת אבטחה מאוד חמורה, בואו תגזימו עוד קצת
מה אתם מנסים להגיד בכתבה הזאת? פשוט מיותר
אני הייתי מוכן להכניס את פרטי האשראי שלי שם – ולהיות בטוח ב100% שאתם לא תוכלו לקבל אותם.
גם כשהטופס מאובטח ב-SSL עדיין יכולים לקבל את הפרטים שלכם, ואפילו יותר סביר שיהיה לך Key Logger על המחשב מאשר שיעשו לך Man in the Middle
תגיד אתה במקרה עובד של אל על ??
אתה רציני בתגובה שלך ??
כל הכבוד לאנשים ששומרים על. אזרח הפשוט מחברות חובבניות כמו האתר של up
תודה
כשאני קורא את מה שהאיש "תפסיקו לחרטט" כותב אני פשוט לא מאמין
אני מאחל לאיש בריאות ואושר רק במדינה אחרת
תחסוך ממדינתנו הקטנה את החפריות שאתה כל כך טוב באה
מעניין , האם אתה חושב שכל נושא ה SSL מיותר? מציע לך לדבר עם EBAY , AMAZON, GOOGLE וכל החבר'ה ולספר להם על התיאוריה הזו. מקווה מאד שאתה לא עובד בתחום המחשוב ו/או אבטחת מידע.
לצערך אני עובד בדיוק בתחום של אבטחת המידע
ותאמין לי ש-SSL זה הדבר האחרון שימנע מהאקרים להשיג את פרטי האשראי שלך
אז כל העולם שמשתמשים ב-SSL הם הטפשים, ורק אתה וחברי האתר הנ"ל הם החכמים שיודעים מה שהם עושים.
או שיש לך שיגעון גדלות או שאתה סתם חרטטן מפגר.
אולי אתה מוכן להפקיר את מספר כרטיס האשראי שלך לכל האקר מזדמן, אבל רוב האנשים בישראל מעדיפים לדעת שכשהם עושים קנייה באינטרנט יש איזשהו מינימום של אבטחה על הכרטיס שלהם.
אני לא מבין גדול באבטחה, אבל כל האקר מתחיל יודע שHTTPS זה מינימום של אבטחה.
כשהרשת האלחוטית שאתה מחובר אליה אינה מוצפנת כלל (או מוצפנת באמצעות WEP), לא צריך להיות Man in the middle, אפשר להפעיל את כרטיס הרשת האלחוטי על מצב מוניטור ולקבל את כל התעבורה שעוברת אל ומהראוטר.
תגובה מביכה משהו.
נניח שאתה מחובר לאתר באמצעות רשת לא מאובטחת, ואתה גולש ב – SSL .
התעבורה בינך לבין אתר האינטרנט מופצנת עדיין והנתב האלחוטי לא יכול לקרוא אותה.
ניסית פעם להפעיל מצב מוניטור ולראות את כל התעבורה?
ראית פעם תעבורה של SSL בצורה כזו שיכולת לקרוא אותה?
כל ההיסטריה סביב SSL היא כל כך מינורית וטיפשית, כמובן שבסופו של יום הם צריכים להוסיף SSL, אבל הם בימים הראשונים של ההקמה, אם האקר יתאמץ מספיק כדי להסניף תקשורת בWIFI ללקוח ספציפי שההאקר יודע שהוא קונה כרטיס בUP מראש, הוא כבר יכול להתאמץ מספיק ולעשות MITM פשוט שגם SSL מעאפן לא יכול למנוע.
כל אבטחה ניתנת לפריצה בסופו של דבר, זה לא אומר שלא צריכים לאבטח.
אין שום סיבה לעשות חיים קלים לגנבים.
כל הכבוד גיקטיים על הקליטה ועל ההודעה למי שצריך.
ואם מישהו שם לך key logger על המחשב או שמפעיל MITM נקודתית בשבילך, אז יש לך פירצת אבטחה נקודתית (וגם כנראה שמאוד עיצבנת מישהו) ולא לאתר שאתה משלם דרכו.
חובבני במיוחד. גם הניהול הזמנה ממעביר את הפרמטרים ב get שזה עוד יותר הזוי. תיכנסו להוספת מזוודה ממהתפריט ותראו את הזוועה זה כמו להעביר שםמשתמש וססמה ב get !
OMG
ההבדל היחיד (מבחינה אבטחתית) בין get לבין post הוא שבראשון המשתמש רואה את הפרמטרים בשורת הכתובת.
אם זה היה ב – post ניתן היה לראות גם כן את הפרמטרים בקלות בין אם ב – fiddler ובין אם ב – network tab ב – developer tools של כל דפדפן.
אל תעשה מההעברה ב – get משהו כזה חמור.
ההבדל הוא פשוט: ל GET יש CACHE של הדפדפן. וניתן לשבת על מחשב באינטרנט קפה שבו מישהו הזמין טיסה זה עתה ולהתעלל לו בהזמנה
נראה שחברה חיצונית בנתה את המערכת הזו עבור אל על… ואני בטוח שאף אחד באל על לא בסכנת פיטורין… כרגיל יאשימו את הש"ג
"מחדל אבטחה …במשך תקופה ארוכה…"
במיוחד כי האתר באוויר בדיוק שבוע ימים.
חלש מאד חברים. הערתם, תיקנו בזריזות. יאללה מתקדמים.
עד שמגיע ההאקר הסעודי וכולם נעמדים על הרגליים האחריות ושואלים איך זה קרה
תאמת? מחברה כזו כמו אל על לא ציפיתי…
נגיד SSL או לא SSL
החברה כותבת שם במפורש!! במפורש! שהאתר מאובטח !!!!!
וזה היה שקר
מה יותר גרוע מזה??
אז אם בקטנות כאלה הם משקרים, מה קורה עם כל שאר הדברים???????
הUP הזה לא ממש ממריא,
רק כרטיסי האשראי שלנו מעופפים באוויר
חלש?? חוצפן !
האתר לא צריך להיות באוויר גם לא דקה !!
אתה במקרה החובבן שבנה את האתר ??
מה בשטוח אתה לא לקוח שהזמין דרך האתר ע"י כרטיס האשראי שלך.
תלמד מקצועיות ואז תדבר.
כמה משלמים לך על כל תגובה? זה באמת שווה את השטויות שאתה כותב?
זו תגובה מאוד לא נבונה
This is an extremely not wise comment
זה אמיתי הדבר הזה??????????????
העיקר שכל הרשת מפוצצת פרזסומות על האתר הזה!
הזוי
זה לא פירצת אבטחה זה פשוט הפקרה.
זה כמו שברינקס יפקירו חבילה שלהם באמצע הרחוב ויילכו הביתה, זה לא נחשב ל"פירצת אבטחה" זה פשוט מחדל.
אין מילים על דבר כזה. פשוט אין.
ההפקרות היא שככל הנראה אנשים שאחרים למחדל (ר"ל: לאתר UP) כותבים ברוב חוצפתם:
"חלש מאד חברים. הערתם, תיקנו (אנחנו תיקנו) בזריזות. יאללה מתקדמים."
זו הפריצות האמיתית.
אכן חמור, אבל –
נכנסתי לאתר כשראיתי את הכתבה – ודף התשלום היה ב ssl.
כלומר – ניתן לסמוך על התגובה של אלעל שהיא נכונה, שהייתה בעיה נקודתית והיא תוקנה.
ניסיתי לבדוק יותר מתוחכם, ונכנסתי גם לאתר הרגיל שלהם – וגם שם היה SSL.
בקיצור – נראה לי כמו סערה בכוס תה. הייתה בעיה, הצפתם אותה, אלעל תיקנו ושלום על ישראל.
אנחנו אלופים בלאכול אחד את השני, בואו נרגע עם זה קצת…
הבעיה היא שאלעל שיקרו באתר וכתבו שזה כן מאובטח.
שקר! אלפי כרטיסי אשראי טסים באוויר העולם , אלאאותם אלה שעברו לפני התיקון שנעשה. מה איתם? זה נראה לך תקין?
ומה עם הבאג המטורף שנדב העלה פה למעלה? זה תוקן? לא!!!
הבעיה היא שאלעל שיקרו באתר וכתבו שזה כן מאובטח.
שקר! אלפי כרטיסי אשראי טסים באוויר העולם , אלאאותם אלה שעברו לפני התיקון שנעשה. מה איתם? זה נראה לך תקין?
נ.ב: ומה עם הבאג המטורף שנדב העלה פה למעלה? זה תוקן? לא!!!
האמת היא כזו:
1. פתיחת DEVELOPER ב CHROME גם אם האתר הייה מוצפן הייה מציג את כרטיס אשראי בפוסט. (יש לזכור שה SSL מצפין את התעבורה מהדפדפן לשרת. אך הדפדפן עצמו מכיר במה שהוא שולח)
במילים אחרות – זה לא מדד להציג דרך DEVELOPER של הדפדפן שכרטיס אשראי מוצג.
2. ה SSL "פותר" בערך את המצב שאם במקרה מישהו יהיה בין נקודות הROUTING פלוס מינוס.
3. מזבוב (שכנראה חברת על-אל רצתה לחסוך 100$ על סרטיפיקייט) עשו כתבה שצריכה להכיל הרבה מילים שלא אומרת כלום.
זה שאלעל רצתה לחסוך 100 דולר על חשבון הלקוחות שלה, זה עניין גדול
אולי זה זבוב, אבל שתי מסקנות יש מהזבוב הזה:
1: אלעל שיקרה ללקוחות שלה, באתר החדש שלה!(הרי שהיה רשום שם בפירוש שזה מאובטח)
2: אלעל ניסתה לחסוך 100 דולר על חשבון הלקוחות שלה! רק מראה כמה היא קמצנית…
אז יהודה, או מי שלא תהיה,
כל מה שתנסה להגיב עם כל הכסף ששלימו לך, רד מזה
אלעל היתה לחוצה להעלות אתר כמה שיותר מהר, כי הרי ירדו עליה בתקשורת שלא העלתה עדין אתר, אז מתוך לחץ העלו אתר רדוד לגמרי!
בהצלחה להם
בקיצור – לשלם עם פייפאל ואין סיכוי ששום פרטים ידלפו החוצה
הדובר של אל על עוד יאמר ש SSL משתמשים רק ב AIR SYRIA