פרצת אבטחה בהדסטארט אפשרה לכל אחד לראות את פרטי התומכים
תמכתם בפרויקט במסגרת אתר מימון ההמונים הדסטארט? יכול מאוד להיות שפרטיכם היו חשופים בפני כל; האתר: הפלאגין הוסר, הכתבה תגרום יותר נזק מתועלת לגולשים וליזמים
אין ויכוח על התרומה והחשיבות של אתרי מימון ההמונים הישראליים בעידוד פרויקטים שונים של יזמים ואמנים מקומיים. את שנת 2014 סיים האתר עם יותר מ-270 פרויקטים שעמדו ביעד שהציבו לעצמם והצליחו לגייס כ-10.8 מיליון ש"ח והשנה, סך הגיוסים לרבעון הראשון בלבד כבר חצה את קו ארבעת מיליוני השקלים. אולם עתה מתגלה, שאם תמכתם באחד מהפרויקטים באתר מימון ההמונים הישראלי Headstart, יכול מאוד להיות שפרטים אישיים שלכם דלפו והיו חשופים לעיניהם של משתמשים אחרים.
מסכום התרומה ועד הכתובת המלאה ומספר הטלפון שלכם
ממידע שהגיע לידינו עלה כי פרצת האבטחה ב-Headstart חשפה את פרטיהם האישיים של תורמים לפרויקטים השונים, מבלי ידיעתם כמובן. כך למשל ניתן היה לראות את שמו המלא של כל תורם, כתובתו המלאה, מספר הטלפון שלו, כתובת המייל שלו ואת הסכום אותו הוא תרם לפרויקט.
אולם, לא מדובר רק על מספר תורמים שפרטיהם נחשפו. מסתבר שבעזרת שינוי פשוט של 2 פרמטרים בלבד, ניתן היה לשלוף מהדאטה-בייס של האתר פרטים של תורמים רבים נוספים ואף ליצור סקריפט פשוט שמייצר קובץ עם מאות רשומות:
מי שגילה את פרצת האבטחה הוא איתי נתנאל, מפתח Web, שנמנה על משתמשי הדסטארט ונדהם לגלות ששמו ופרטיו חשופים בפני כל. נתנאל מסר לגיקטיים כי מייד כאשר גילה את הפרצה העלה צילום מסך לעמוד הפייסבוק של הדסטארט, אולם למרות שעבר שבוע מאז, לא קיבל תגובה מבעלי האתר. לדבריו, לאחר שראה שהפעילות בדף הפייסבוק נמשכת כהרגלה, אולם הוא לא מקבל מענה או התייחסות לפירצה, החליט לפנות לגיקטיים. הבוקר פנינו להדסטארט, ובעקבות הפנייה, תוקנה הפירצה בשעות הצהריים.
מהדסטארט נמסר בתגובה:
״איננו מבינים את התועלת החדשותית הזו, הרי זה לא שיש פרצה. הנתונים שאתם מדברים עליהם (כתובת, טלפון, מייל וסכום תמיכה) היו יכולים להיחשף רק אם הגולש בחר לשתף אותם בסיום תהליך הרכישה.
אנו מודים לגולש שפנה אלינו הבוקר והסב את תשומת ליבנו שאולי לא נכון לאפשר זאת והפלאגין (צד שלישי) שאפשר את השיתוף מעמוד סיום תהליך הרכישה הוסר כבר הבוקר.
אנו מודים וגאים בקהל התומכים הגדול שלנו, מעל 200 אלף יוזרים שכבר תמכו אצלנו באתר ביותר מ 29 מליון שקלים. לא נוכל להמשיך לגדול ולהשתפר ללא ההערות שלכם. נשמח לקבל כל הערה או רעיונות לשיפור ל [email protected] מבטיחים להגיב כרגיל תוך דקות בודדות לכולם.
צר לנו שכותרת מפוצצת היא מה שמנחה אתכם לפרסם כתבה זאת, שעלולה לגרום ליותר נזק מאשר תועלת לציבור הגולשים והיזמים שמשתמש ב Headstart ככלי חברתי ומהפכני לטובת מאות יוזמות שונות ומשונות״.
הגב
5 תגובות על "פרצת אבטחה בהדסטארט אפשרה לכל אחד לראות את פרטי התומכים"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
מזכיר קצת את הבחור שהדביק לצוקרברג את הבאג בפייסבוק על הוול… למה חברות לא מתייחסות להתראות?
אם לפחות היית מסווה את זה שאתה מגיב מטעם.
לתקוף את חושף הבעיות זו הדרך הבזויה ביותר שקיימת.
לפי מה שכתוב פה הוא שם להם על הקיר לפני שבוע והם התעלמו
הוא לא רץ לספר את זה לגיקטיים ישר
הוא חיכה שבוע ואז כשהתעלמו מזה הוא פנה לגיקטים
אז במקום לתקוף את מי שחשף את הפדיחה שלהם
תתקוף אותם על זה שאין להם QA נורמלי
על זה שהם לא עולים על בעיות כאלו לבד
על זה שמי שמתחזק את הפייסבוק שלהם לא יודע את העבודה
וזה שלקח להם שבוע לתקן וגם זה רק אחרי שרצו לפרסם את הכתבה