פרצת אבטחה בהדסטארט אפשרה לכל אחד לראות את פרטי התומכים

תמכתם בפרויקט במסגרת אתר מימון ההמונים הדסטארט? יכול מאוד להיות שפרטיכם היו חשופים בפני כל; האתר: הפלאגין הוסר, הכתבה תגרום יותר נזק מתועלת לגולשים וליזמים

"מעדיף להישאר אנונימי". צילום מסך: גיקטיים

“מעדיף להישאר אנונימי”. צילום מסך: גיקטיים

אין ויכוח על התרומה והחשיבות של אתרי מימון ההמונים הישראליים בעידוד פרויקטים שונים של יזמים ואמנים מקומיים. את שנת 2014 סיים האתר עם יותר מ-270 פרויקטים שעמדו ביעד שהציבו לעצמם והצליחו לגייס כ-10.8 מיליון ש”ח והשנה, סך הגיוסים לרבעון הראשון בלבד כבר חצה את קו ארבעת מיליוני השקלים. אולם עתה מתגלה, שאם תמכתם באחד מהפרויקטים באתר מימון ההמונים הישראלי Headstart, יכול מאוד להיות שפרטים אישיים שלכם דלפו והיו חשופים לעיניהם של משתמשים אחרים.

מסכום התרומה ועד הכתובת המלאה ומספר הטלפון שלכם

ממידע שהגיע לידינו עלה כי פרצת האבטחה ב-Headstart חשפה את פרטיהם האישיים של תורמים לפרויקטים השונים, מבלי ידיעתם כמובן. כך למשל ניתן היה לראות את שמו המלא של כל תורם, כתובתו המלאה, מספר הטלפון שלו, כתובת המייל שלו ואת הסכום אותו הוא תרם לפרויקט.

אולם, לא מדובר רק על מספר תורמים שפרטיהם נחשפו. מסתבר שבעזרת שינוי פשוט של 2 פרמטרים בלבד, ניתן היה לשלוף מהדאטה-בייס של האתר פרטים של תורמים רבים נוספים ואף ליצור סקריפט פשוט שמייצר קובץ עם מאות רשומות:

צילום מסך: גיקטיים

צילום מסך: גיקטיים

מי שגילה את פרצת האבטחה הוא איתי נתנאל, מפתח Web, שנמנה על משתמשי הדסטארט ונדהם לגלות ששמו ופרטיו חשופים בפני כל. נתנאל מסר לגיקטיים כי מייד כאשר גילה את הפרצה העלה צילום מסך לעמוד הפייסבוק של הדסטארט, אולם למרות שעבר שבוע מאז, לא קיבל תגובה מבעלי האתר. לדבריו, לאחר שראה שהפעילות בדף הפייסבוק נמשכת כהרגלה, אולם הוא לא מקבל מענה או התייחסות לפירצה, החליט לפנות לגיקטיים. הבוקר פנינו להדסטארט, ובעקבות הפנייה, תוקנה הפירצה בשעות הצהריים.

הפנייה של איתי נתנאל על הקיר של הדסטארט, מתאריך 18.6. צילום מסך: גיקטיים

הפנייה של איתי נתנאל על הקיר של הדסטארט, מתאריך 18.6. צילום מסך: גיקטיים

מהדסטארט נמסר בתגובה:

״איננו מבינים את התועלת החדשותית הזו, הרי זה לא שיש פרצה. הנתונים שאתם מדברים עליהם (כתובת, טלפון, מייל וסכום תמיכה) היו יכולים להיחשף רק אם הגולש בחר לשתף אותם בסיום תהליך הרכישה.

אנו מודים לגולש שפנה אלינו הבוקר והסב את תשומת ליבנו שאולי לא נכון לאפשר זאת והפלאגין (צד שלישי) שאפשר את השיתוף מעמוד סיום תהליך הרכישה הוסר כבר הבוקר.

אנו מודים וגאים בקהל התומכים הגדול שלנו, מעל 200 אלף יוזרים שכבר תמכו אצלנו באתר ביותר מ 29 מליון שקלים. לא נוכל להמשיך לגדול ולהשתפר ללא ההערות שלכם. נשמח לקבל כל הערה או רעיונות לשיפור ל info@headstart.co.il מבטיחים להגיב כרגיל תוך דקות בודדות לכולם.

צר לנו שכותרת מפוצצת היא מה שמנחה אתכם לפרסם כתבה זאת, שעלולה לגרום ליותר נזק מאשר תועלת לציבור הגולשים והיזמים שמשתמש ב Headstart ככלי חברתי ומהפכני לטובת מאות יוזמות שונות ומשונות״.

 

יניב אביטל

עורך אתר גיקטיים, ובזמנו החופשי גיק, קופירייטר, אבא, חולה על גאדג'טים וקוד, לא בהכרח בסדר הזה

הגב

5 תגובות על "פרצת אבטחה בהדסטארט אפשרה לכל אחד לראות את פרטי התומכים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
DAG
Guest

מזכיר קצת את הבחור שהדביק לצוקרברג את הבאג בפייסבוק על הוול… למה חברות לא מתייחסות להתראות?

העיקר עשינו כתבה
Guest
העיקר עשינו כתבה
לפי דעתי איתי נתנאל הוא סתם אידיוט שמחפש תשומת לב! הוא יכול לפנות לצור קשר באתר או לתמיכה תכנית אבל לא הוא היה חייב ליצור כותרת דרך פייסבוק. נניח שעל דף הפייסבוק של החברה היה אחראי אדם שאין לא רקע תכני בתכנות אלא מתמחה בשיווק ואותו אחראי חשב שמדובר באדם שלא הבין איך עובדת המערכת ופשוט התעלם, דבר לגיטימי כי פייסבוק זה לא תמיכה תכנית! למה אני אומר שאיתי נתנאל אידיוט, מאוד פשוט, צור קשר עם תמיכה תכנית ואם לא עונים לך אז תעלה לפייסבוק את הנושא וגם אז אני חושב שזה לא נכון כי הרבה חברות מתחזקות עמוד פייסבוק… Read more »
מגיב_לאיתי
Guest
איתי, אני איתך בכל הנוגע לחשיפת פרטים אישיים. אתה צודק ולא צריך להצדיק דבר. אין אף סיבה אחת שמישהו צריך לחשוש שמספרי הטלפון, כתובת המייל, וכתובתו בבית ייחשפו. אבל כאחד שחשוב לו הנושא, לא נדמה שפעלת במאת האחוזים לטובת העניין. – לצד שמך מתנוסס Web Developer. – ציינת בעצמך שכבר פנית אליהם בעבר במיילים והם ענו מהר. – העלית תמונה לדף פייסבוק ושם סיימת את התהליך מבחינתך. (אגב ייתכן שאולי הם פיספסו notification בודד?) בכל אופן, נראה לי שבמקום אישי כלשהו אתה דיי מבסוט מהכתבה ואזכור השם שלך, ברור לי שאני הייתי מבסוט לאתר תקלה שכזו, אבל לפני שפנית לgeektime… Read more »
נמאסתם מגיבים מטעם
Guest
נמאסתם מגיבים מטעם

אם לפחות היית מסווה את זה שאתה מגיב מטעם.
לתקוף את חושף הבעיות זו הדרך הבזויה ביותר שקיימת.

לפי מה שכתוב פה הוא שם להם על הקיר לפני שבוע והם התעלמו
הוא לא רץ לספר את זה לגיקטיים ישר
הוא חיכה שבוע ואז כשהתעלמו מזה הוא פנה לגיקטים

אז במקום לתקוף את מי שחשף את הפדיחה שלהם
תתקוף אותם על זה שאין להם QA נורמלי
על זה שהם לא עולים על בעיות כאלו לבד
על זה שמי שמתחזק את הפייסבוק שלהם לא יודע את העבודה
וזה שלקח להם שבוע לתקן וגם זה רק אחרי שרצו לפרסם את הכתבה

Itai Nathaniel
Guest
אנונימי, כן, אני מבסוט מזה שאזכרו את השם שלי. בכל זאת, תרמתי פה לתחושת הביטחון האישית שלי ושל אחרים, אבל: א. ארבעה ימים אחרי שדיווחתי בעמוד הפייסבוק שלהם על העניין כתבתי עוד פוסט ותייגתי אותם. הופ, שתי notifications). באותו היום היו להם ארבעה פוסטים, אז אין סיבה שאני אחשוב שהם לא בודקים את העמוד 2. למה לא שלחתי אימייל? ובכן, אני מדווח על קיר פייסבוק פעיל יחסית משהו שאני חושב שהוא חשוב למדי, ומקבל התעלמות. למה שאני אחשוב שמייל יהיה שונה? III. מצב עגמומי לאתר? חוץ מזה שיש לי פרטים של כ-50 תרומות ואנשים, מה עגמומי פה? • בדקתי דרך… Read more »
wpDiscuz

תגיות לכתבה: