”בשבילי, אספרסו קצר ופרצת אבטחה בבקשה”

כמה כשלי אבטחה בחברת מכונות קפה הרסה לנו את הקפה של הבוקר

מקור: Unsplash

מאת: נעם רותם, עידו קינן – סייברסייבר

עידוק לא אוהב קפה. לנעםר יש בעיה עם אנשים ששותים קפה בקפסולות. לשנינו יש בעיה עם חברות קפה שמפקירות את פרטי המשתמשים. אספרסו קלאב היתה חברה כזאת. לשמחתנו, כשהצלחנו סוף סוף להגיע למנכ”ל, הפירצה טופלה במקצועיות.

גילינו מספר כשלי אבטחה באתר אספרסו קלאב, ובהם directory listing, שמאפשר צפייה בכל הקבצים על השרת. דרך הפירצה הזאת הצלחנו לראות קבצי לוג שתיעדו הזמנות של לקוחות, כולל פרטי התקשרות וכתובת מגורים. הפירצה איפשרה להסתכל על כל פרטי הלקוחות של כל הלקוחות, כשהוא מתעדכן בזמן אמת. המידע גם היה נגיש דרך כלי הפריצה המשוכלל גוגל, שבחיפוש לא קשור בו מצאנו את הפירצה. חיפוש בגוגל למציאת מידע שנחשף בטעות נקרא גוגל דורקינג, ועסקנו בו בפרק “????גוגל דורקינג: מנוע חיפוש למציאת פירצות ????‍???? ע01פ04“.

דיברנו עם לקוח שפרטיו נחשפו (אנחנו לא מפרסמים אותם פה). הוא התעצב לגלות שפרטיו דלפו – שם, כתובת, מספר טלפון. “זה אף פעם לא הרגשה טובה שפרטים שלך מסתובבים באינטרנט, בטח כשאתה לא יודע מה ההיקף של המידע שדלף ומה סדר הגודל של הפריצה”, אמר לנו הלקוח.

איסגרנו באימייל לאספרסו קלאב. לא קיבלנו תשובה, ושישה ימים אחר כך הפירצה עדיין היתה פעורה. התקשרנו לחברה, הגענו ליועצת קפה נחמדה שהעבירה את פנייתנו הלאה ונתנה לנו את האימייל של המנכ”ל, אורן טל. אחרי זמן לא רב זכינו סוף סוף לתשובה: “אשמח לקבל פרטים. אין לי מושג במה מדובר”.

אחרי שהצגנו לו את הפירצה, טל אמר שהנושא בטיפול. הוא הפנה לסמנכ”ל הטכנולוגיות והתפעול, אמיתי אברהם, שמסר בתגובה: “ראשית, תודה רבה על הגילוי והעדכון. עם קבלת פנייתכם התחלנו לחקור את הנושא לעומק, כאשר בראש בוטלה שמירת הלוגים בתיקייה חשופה והועברה למקום מוצפן. כמו כן, גם הלוגים שהיו חשופים, הוסרו לאלתר. חשוב לי לציין שהלוגים אינם לוגים מלאים כמצויין וקשורים לתהליכי הפיתוח שבוצעו בשרת ולא לוגים הנשמרים באתר. השרת, בין היתר, פותח על ידי חברת גלובלביט שבאחריותם המלאה היה כמובן לדאוג שדבר חמור כזה לא יקרה. היינו המומים לנוכח הממצא ואנו נשקול בכובד ראש כיצד לפעול בעניין מולם. לקוחותינו בכלל ופרטיותם בפרט חשובה לנו מאוד ואנו רואים בחומרה רבה כל תקלה שגרמה לזליגה ולו לפרט הכי קטן”.


סייברסייבר (רסס) הוא פודקאסט על האקרים ומאפים עם נעם רותם ועידו קינן. עיצוב סאונד: עומר סנש. הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404. אפשר לשמוע את סייברסייבר ביישומוני הפודקאסטים ובהם ספוטיפייגוגל פודקאסטס ואפל פודקאסטס ובאתר סייברסייבר.

צרו קשר: טוויטר @OhCyberMyCyber; אימייל cyber@cybercyber.co.ilתיבת ההדלפות הסודית ב-TOR (הסבר); 055-2-776766 – הקו החם והפריך של סייברסייבר פתוח להודעות קולית (סיגנל/וואטסאפ/טלגרם) שאולי יושמעו בתוכנית, הודעות טקסט ותרומות בפייבוקס.

 

סייברסייבר

סייברסייבר הוא פודקאסט על האקרים ומאפים עם נעם רותם ועידו קינן. עיצוב סאונד: עומר סנש. הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404. אפשר לשמוע את סייברסייבר ביישומוני הפודקאסטים ובהם ספוטיפיי, גוגל פודקאסטס, אפל פודקאסטס ובאתר סייברסייבר

הגב

5 תגובות על "”בשבילי, אספרסו קצר ופרצת אבטחה בבקשה”"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אייל
Guest

יש! אפילו לא קראתי וכך לא ביזבזתי 5 דקות מהחיים, תודה גיקטיים!

עידוק
Guest

תודה ששיתפת

קפסולה
Guest

מה יש לכולם נגדם באמת שהם טובים.

בצל כחול
Guest

ככה אני אוהב.
קצר ולעניין. בלי פעלולי סאונד ילדותיים או חפירות על מאפים.

תודה

משה משה
Guest

אלופים , כל הכבוד

wpDiscuz

תגיות לכתבה: