פרסום ראשון: חור אבטחה בשירות הטיסות המוזלות Up אפשר יירוט של פרטי כרטיסי אשראי

מחדל אבטחה באתר אל על חשף את לקוחותיהם של מותג הטיסות הזולות החדש Up, במשך תקופה ארוכה, לסכנת יירוט פרטי כרטיס האשראי שלהם. מה קרה שם?

חפש טיסה, ואחר כך חפש את כרטיס האשראי שלך. מקור: צילום מסך

על מותג הטיסות המוזלות החדש של אל על, שהושק בקול תרועה רמה, Up, בוודאי שמעתם דרך אמצעי התקשורת בשבועות האחרונים. החברה תחל להפעיל החל מה-30 במרץ 2014, כ-50 טיסות שבועיות מוזלות לאירופה, באמצעות מטוסי בואינג מיוחדים שהוסבו על ידי חברת התעופה, ועוצבו בהתאם למותג החדש.

על אבטחת מידע שילמתם?

החברה, כמו כל חברת תעופה שלוקחת את עצמה ברצינות, מאפשרת ללקוחותיה לרכוש טיסות דרך אתר האינטרנט שלה. את הטיסות ניתן לרכוש כפריטים בודדים כנהוג בטיסות ה-Low Cost, כלומר: טיסה בנפרד, העלאת מזוודה למטוס בנפרד, הגשת אוכל ושתייה במטוס בנפרד וכו׳. אך האם גם עבור אבטחת המידע של סליקת כרטיס האשראי שלכם באתר החברה תצטרכו לשלם בנפרד? לקוחות שהזמינו כרטיסים עד היום בשעות הבוקר העבירו את פרטי אמצעי התשלום שלהם באתר בלתי מאובטח שלא עמד בסטנדרטים הבסיסיים ביותר ברשת. מאז פניית גיקטיים לחברה הבוקר, חור האבטחה נחסם בשעות האחרונות והאתר כעת מאובטח.

כך זה נראה הבוקר

החברה מודיעה, באופן מפורש בעת הזנת פרטי כרטיס האשראי כי מדובר בהליך מאובטח:

מקור: צילום מסך

אך למרבה הפלא, בבדיקת חתימת אבטחה וזהות פשוטה אשר ערכנו, המתבצעת באמצעות כל דפדפן פופולרי, מעלה את התוצאה הבאה:

מקור: צילום מסך

כמו כן, ניתן לראות בבירור שהכתובת אינה מתחילה בפרוטוקול https, ומכך ניתן להסיק שטופס שליחת פרטי כרטיס האשראי, אינו מאובטח כלל וכלל.

בטוח שזה לא מאובטח?

התשובה היא חד משמעתית כן, אבל ניחא, בואו נרד טיפה לשורש העניין. נתחיל, כזכור, מדף הזנת פרטי כרטיס האשראי, שאת חלקו הצגנו בפיסקה שלפני כן:

לחץ להגדלה. מקור: צילום מסך

התיבה מצד שמאל למעשה מזהירה את המשתמש כי זהות האתר אינה אומתה, הקישור לאתר, booking.elal.co.il, שמהווה ככל הנראה את מנגנון ההזמנות של החברה, אינו מוצפן וכי זו הפעם הראשונה שאנחנו מבקרים באתר, נכון להיום. בטופס, מילאנו פרטים מזוייפים לצורך בדיקת האבטחה של האתר, ולחצנו על כפתור האישור. זה מה שקרה מאז:

לחץ להגדלה. מקור: צילום מסך

לצורך בדיקת בקשת ה-POST שנשלחה אל שרתי החברה, השתמשנו בכלי ה-Inspect Element של דפדפן Google Chrome. בתמונה הנוכחית, ניתן בבירור לראות דבר אחד בולט: ה-Request URL של הבקשה נשלח אל הכתובת http://booking.elal.co.il/newBooking/preparePayment.do, המהווה כתובת לא מאובטחת. את הפרטים שנשלחו ניתן למצוא בהמשך הבקשה, ביניהם סוג הכרטיס, השם ושם המשפחה של הנוסע, מספר כרטיס האשראי, ה-CVV והתוקף, בקיצור – את כל הפרטים הדרושים בכדי לעשות שימוש בכרטיס האשראי. הבקשה הזו נשלחה, ללא ספק, מטופס בכתובת אינטרנט לא מאובטחת אל מנגנון הזמנות שנמצא גם הוא על כתובת אינטרנט לא מאובטחת.

מה הסכנה בכך, אתם שואלים? ובכן, תארו לכם שאתם יושבים בבית קפה, או אפילו ברשת הביתית שלכם, אשר הרבה מאוד פעמים פתוחה או לא מוגנת בסיסמא. כל מה שהאקרים צריכים לעשות, הוא ״להאזין״ לתעבורה שעוברת דרך הרשת, לתפוס את בקשת ה-POST המכילה את פרטי האשראי שלכם (שעוברים בצורה לא מוצפנת, עקב המחסור בפרוטוקול האבטחה), לגנוב אותם ולעשות בהם שימוש כרצונם. עבור האקר, מדובר בפעולה פשוטה למדי השקולה ליירוט פתק, אשר מכיל את כל פרטי כרטיס האשראי של אדם מסויים, אשר עף באוויר ועובר מול העיניים שלכם.

נציין כי מיד עם בקשת התגובה לידיעה מיהרה החברה לסגור את חור האבטחה המפורט ועדכנה את האתר.

מאלעל נמסר בתגובה: ״מדובר בתקלה נקודתית אשר תוקנה מיד. אנו מודים לגיקטיים על כך שהסבו את תשומת ליבנו לנושא״.

אבישי בר

מנהל מוצר. מפתח Web ו-React Native, חולה גאדג'טים, הולך נגד הזרם ואוהב את כל מה שקשור לגוגל, לאנדרואיד ולקוד פתוח. עיסוקו העיקרי הוא לפרק לחלקים כל צעצוע חדש שמגיע למשרד ואז לכתוב עליו מדריך.

הגב

34 תגובות על "פרסום ראשון: חור אבטחה בשירות הטיסות המוזלות Up אפשר יירוט של פרטי כרטיסי אשראי"

התחבר עם:

Photo and Image Files

Audio and Video Files

Other File Types

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי: חדש | ישן | הכי מדורגים

Guest

תפסיקו לחרטט