פרטיהם של עשרות אלפי רוכשי כרטיסים דלפו לרשת. מי אשם?

פרצת אבטחה חמורה שהתגלתה באתרי מועדונים מוכרים חשפה פרטים אישיים של אלפי רוכשים; חושף הפרצה לגיקטיים: ׳׳התרעתי על כך כבר לפני שלוש שנים׳׳; EventGo שאחראית על המערכת: ”זו היתה בקשה של המועדונים”

B-EG-RONA KENAN

כל הפרטים על הופעתה של רונה קינן באתר הבארבי. מקור: גיקטיים

לפני מספר ימים קיבלנו ידיעה על פרצת אבטחה חמורה שהתגלתה במערכת הזמנת הכרטיסים של מספר אתרים למכירת כרטיסים לאירועים. בין האתרים, כאלו של מועדונים תל אביביים מוכרים כמו “בארבי”, מועדון “צוותא”, מועדון “שבלול”, מכבי תל אביב בכדורסל וחברת EventGo. הפרצה חשפה בפני כל הגולשים מידע מפורט על מופעי מוסיקה וספורט ורוכשי הכרטיסים, ולמעשה סיפקה להם גישה ישירה למערכת הניהול של ההזמנות.

תעודות זהות, מספר נייד, שינוי מחירים והנחות

ממשק הניהול של האירועים. מקור: גיקטיים

ממשק הניהול של האירועים. מקור: גיקטיים

הפרצה שהתגלתה על ידי ד”ר אייל גרוס, מומחה לאבטחת מידע, איפשרה לכל אחד, מבלי שיהיה לו מושג בהאקינג, פריצה או אבטחת מידע לקבל נתונים על מכירות הכרטיסים של מועדוני המוסיקה המובילים ולקבל מידע על רוגכשי הכרטיסים, כולל מספרי תעודת זהות ומספרי הטלפון שלהם. בנוסף, כל אחד יכל לשנות פרטים בסיסיים בהופעות כמו הביוגרפיה של האמן, כמות הכרטיסים המוצעת, מחיר ההופעות, לייצר קוד הנחות ועוד. על פי דיווחים בקבוצת הפייסבוק DC9723, שעוסקת באבטחת מידע, היו חשופים גם מספרי כרטיסי אשראי, אולם אנחנו לא ראינו עדות לכך. בזמן הכנת הכתבה עוד היתה הפירצה זמינה, כך שיכולנו לוודא את דבר קיומה, אולם לאחר שהחלו להתפרסם הדיווחים אודותיה, היא נחסמה.

זהות רוכשי כרטיסים למשחקי מכבי תל אביב בליגה האדריאטית. מקור: גיקטיים

זהות רוכשי כרטיסים למשחקי מכבי תל אביב בליגה האדריאטית. מקור: גיקטיים

בראיון לגיקטיים מספר ד”ר גרוס, שחשף את פרצת האבטחה, כי הכל החל לפני כשלוש שנים, כאשר קיבל ספאם טלפוני ורצה לגלות היכן מופיע מספר הטלפון שלו. חיפוש מהיר בגוגל העלה כי מספר הטלפון שלו מופיע באתר שבו רכש כרטיסים להופעה. הבעיה היא שיחד עם מספר הטלפון שלו הופיעו מספריהם של כל רוכשי הכרטיסים לאותה הופעה, כולל מספרי תעודת זהות ופרטים נוספים. הבעיה התבררה כרחבה הרבה יותר, משום שגרוס הגיע למעשה לממשק ניהול ההזמנות של מערכת מועדון המוסיקה התל-אביבי, הבארבי. גרוס מספר כי פנה למועדון הבארבי, שהבטיח לתקן את הפרצה, ואכן הדפים המדוברים כבר לא היו זמינים בגוגל. אולם חיפוש פשוט בגוגל של מחרוזת מסויימת סיפק לו ולכל מי שרצה, גישה ישירה ל-URL של ממשק הניהול של אותם מועדונים שעשו שימוש בתשתית של חברת EventGo. לדברי גרוס, שעוסק באבטחת מידע, הוא הופתע מאוזלת הידיים של האחראים על הפירצה. לדבריו, כאשר גוגל מגלה פרצת אבטחה של מיקרוסופט היא מאפשרת לה 90 יום, ולכן, נראה לו ש-3 שנים הן די והותר לתיקון שכזה. כאשר הבין גרוס שרק חשיפה של הפרצה תגרום למעשה לסגירתה, החליט לשתף את דבר קיומה.

כל אחד יכול לשנות את הפרטים כרצונו. מקור: גיקטיים

כל אחד יכול לשנות את הפרטים כרצונו. מקור: גיקטיים

בראיון ראשון לאחר החשיפה, מספר לנו אבי וייסמן, מנהל EventGo ישראל, שהפרצה נגרמה עקב בקשה של המועדונים עצמם. לדבריו, מספר מועדונים דרשו מ-EventGo שהגישה למסך הניהול תהיה בעזרת URL בלבד, ללא מנגנון אימות וסיסמה. ויסמן סירב להסגיר את שמות המועדונים המדוברים, אולם ככל הנראה מדובר במועדונים שהיו חשופים לפרצה ביניהם “בארבי”, “שבלול” ו”צוותא”. לדבריו, חברת EventGo מודעת היטב לסיכונים ולאבטחת מידע ולצורך כך נעזרת בחברות חיצוניות שעורכות סקרי אבטחה וניסיונות חדירה למערכות על בסיס קבוע. אנו שואלים את מר ויסמן לגבי הנזק שבדליפת הפרטים האישיים של אלפי קוני כרטיסים, אולם לטענתו מדובר ב”נזק מינורי”, מכיוון שבשום שלב לא היתה גישה למאגר כרטיסי האשראי. כששאלנו אותו לגבי טענתו של ד”ר גרוס, שפנה בנוגע לפרצה כבר לפני 3 שנים, ענה ויסמן שאליהם לא הגיעה פניה. “לו היתה מגיעה פניה שכזו”, הוא מסכם “היינו סוגרים את הפרצה מייד, כמו שעשינו עם היוודע דבר קיומה”.

[interaction id=”54bcf401cd7e120f0d077904″]

יניב אביטל

עורך אתר גיקטיים, ובזמנו החופשי גיק, קופירייטר, אבא, חולה על גאדג'טים וקוד, לא בהכרח בסדר הזה

הגב

4 תגובות על "פרטיהם של עשרות אלפי רוכשי כרטיסים דלפו לרשת. מי אשם?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
ואני אחד שמבין במזרונים
Guest
ואני אחד שמבין במזרונים

רק מלראות את “מערכת הניהול” ברור לכל שמדובר באתר ג’ומלה
למה מתפלאים, ג’ומלה זאת ג’ומלה זרת ג’ומלה.

מישהו
Guest

לבחור שמבין במזרונים – ״ברור״ זה לא.
זה בכלל ב.Net, ממש לא ג׳ומלה…

לא מבין במזרונים, אבל בכל זאת
Guest
לא מבין במזרונים, אבל בכל זאת

ממשק הניהול, לא משנה אם ג’ומלה או דוט.נט, נראה כמו כל ממשק ניהול ישראלי אחר.
והעובדה שחברת הכרטיסים איפשרה גישה ללא אמצעי אבטחה כלשהו מעיד עוד יותר על השירות, או החוסר שלו, שהם מספקים – “ישראלי”.

טל
Guest

זה לא ג׳ומלה, זה סתם פח ישראלי

wpDiscuz

תגיות לכתבה: