פרצת אבטחה בהדסטארט אפשרה לכל אחד לראות את פרטי התומכים

תמכתם בפרויקט במסגרת אתר מימון ההמונים הדסטארט? יכול מאוד להיות שפרטיכם היו חשופים בפני כל; האתר: הפלאגין הוסר, הכתבה תגרום יותר נזק מתועלת לגולשים וליזמים

“מעדיף להישאר אנונימי”. צילום מסך: גיקטיים

אין ויכוח על התרומה והחשיבות של אתרי מימון ההמונים הישראליים בעידוד פרויקטים שונים של יזמים ואמנים מקומיים. את שנת 2014 סיים האתר עם יותר מ-270 פרויקטים שעמדו ביעד שהציבו לעצמם והצליחו לגייס כ-10.8 מיליון ש”ח והשנה, סך הגיוסים לרבעון הראשון בלבד כבר חצה את קו ארבעת מיליוני השקלים. אולם עתה מתגלה, שאם תמכתם באחד מהפרויקטים באתר מימון ההמונים הישראלי Headstart, יכול מאוד להיות שפרטים אישיים שלכם דלפו והיו חשופים לעיניהם של משתמשים אחרים.

מסכום התרומה ועד הכתובת המלאה ומספר הטלפון שלכם

ממידע שהגיע לידינו עלה כי פרצת האבטחה ב-Headstart חשפה את פרטיהם האישיים של תורמים לפרויקטים השונים, מבלי ידיעתם כמובן. כך למשל ניתן היה לראות את שמו המלא של כל תורם, כתובתו המלאה, מספר הטלפון שלו, כתובת המייל שלו ואת הסכום אותו הוא תרם לפרויקט.

אולם, לא מדובר רק על מספר תורמים שפרטיהם נחשפו. מסתבר שבעזרת שינוי פשוט של 2 פרמטרים בלבד, ניתן היה לשלוף מהדאטה-בייס של האתר פרטים של תורמים רבים נוספים ואף ליצור סקריפט פשוט שמייצר קובץ עם מאות רשומות:

צילום מסך: גיקטיים

מי שגילה את פרצת האבטחה הוא איתי נתנאל, מפתח Web, שנמנה על משתמשי הדסטארט ונדהם לגלות ששמו ופרטיו חשופים בפני כל. נתנאל מסר לגיקטיים כי מייד כאשר גילה את הפרצה העלה צילום מסך לעמוד הפייסבוק של הדסטארט, אולם למרות שעבר שבוע מאז, לא קיבל תגובה מבעלי האתר. לדבריו, לאחר שראה שהפעילות בדף הפייסבוק נמשכת כהרגלה, אולם הוא לא מקבל מענה או התייחסות לפירצה, החליט לפנות לגיקטיים. הבוקר פנינו להדסטארט, ובעקבות הפנייה, תוקנה הפירצה בשעות הצהריים.

הפנייה של איתי נתנאל על הקיר של הדסטארט, מתאריך 18.6. צילום מסך: גיקטיים

מהדסטארט נמסר בתגובה:

״איננו מבינים את התועלת החדשותית הזו, הרי זה לא שיש פרצה. הנתונים שאתם מדברים עליהם (כתובת, טלפון, מייל וסכום תמיכה) היו יכולים להיחשף רק אם הגולש בחר לשתף אותם בסיום תהליך הרכישה.

אנו מודים לגולש שפנה אלינו הבוקר והסב את תשומת ליבנו שאולי לא נכון לאפשר זאת והפלאגין (צד שלישי) שאפשר את השיתוף מעמוד סיום תהליך הרכישה הוסר כבר הבוקר.

אנו מודים וגאים בקהל התומכים הגדול שלנו, מעל 200 אלף יוזרים שכבר תמכו אצלנו באתר ביותר מ 29 מליון שקלים. לא נוכל להמשיך לגדול ולהשתפר ללא ההערות שלכם. נשמח לקבל כל הערה או רעיונות לשיפור ל info@headstart.co.il מבטיחים להגיב כרגיל תוך דקות בודדות לכולם.

צר לנו שכותרת מפוצצת היא מה שמנחה אתכם לפרסם כתבה זאת, שעלולה לגרום ליותר נזק מאשר תועלת לציבור הגולשים והיזמים שמשתמש ב Headstart ככלי חברתי ומהפכני לטובת מאות יוזמות שונות ומשונות״.

יניב אביטל

עורך אתר גיקטיים. יש לכם רעיון לכתבה? טיפ סודי? הדלפה? מחכה לכם ב-yaneev@geektime.co.il

הגב

5 תגובות על "פרצת אבטחה בהדסטארט אפשרה לכל אחד לראות את פרטי התומכים"

התחבר עם:

   

Photo and Image Files

 

 

 

 

 

 

Audio and Video Files

 

 

 

 

 

 

Other File Types

 

 

 

 

 

 

התראה על תגובות חדשות לתגובה הזאת

   

Photo and Image Files

 

 

 

 

 

 

Audio and Video Files

 

 

 

 

 

 

Other File Types

 

 

 

 

 

 

התראה על תגובות חדשות לתגובה הזאת

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים

Guest

DAG

שתפ/י ב Twitterשתפ/י ב Google

מזכיר קצת את הבחור שהדביק לצוקרברג את הבאג בפייסבוק על הוול… למה חברות לא מתייחסות להתראות?

דרג/י למעלה

0

דרג/י למטה  תגובות

5 years 6 days ago

Guest

העיקר עשינו כתבה

שתפ/י ב Twitterשתפ/י ב Google

לפי דעתי איתי נתנאל הוא סתם אידיוט שמחפש תשומת לב! הוא יכול לפנות לצור קשר באתר או לתמיכה תכנית אבל לא הוא היה חייב ליצור כותרת דרך פייסבוק. נניח שעל דף הפייסבוק של החברה היה אחראי אדם שאין לא רקע תכני בתכנות אלא מתמחה בשיווק ואותו אחראי חשב שמדובר באדם שלא הבין איך עובדת המערכת ופשוט התעלם, דבר לגיטימי כי פייסבוק זה לא תמיכה תכנית! למה אני אומר שאיתי נתנאל אידיוט, מאוד פשוט, צור קשר עם תמיכה תכנית ואם לא עונים לך אז תעלה לפייסבוק את הנושא וגם אז אני חושב שזה לא נכון כי הרבה חברות מתחזקות עמוד פייסבוק… Read more »

דרג/י למעלה

0

דרג/י למטה  תגובות

5 years 6 days ago

Guest

מגיב_לאיתי

שתפ/י ב Twitterשתפ/י ב Google

איתי, אני איתך בכל הנוגע לחשיפת פרטים אישיים. אתה צודק ולא צריך להצדיק דבר. אין אף סיבה אחת שמישהו צריך לחשוש שמספרי הטלפון, כתובת המייל, וכתובתו בבית ייחשפו. אבל כאחד שחשוב לו הנושא, לא נדמה שפעלת במאת האחוזים לטובת העניין. – לצד שמך מתנוסס Web Developer. – ציינת בעצמך שכבר פנית אליהם בעבר במיילים והם ענו מהר. – העלית תמונה לדף פייסבוק ושם סיימת את התהליך מבחינתך. (אגב ייתכן שאולי הם פיספסו notification בודד?) בכל אופן, נראה לי שבמקום אישי כלשהו אתה דיי מבסוט מהכתבה ואזכור השם שלך, ברור לי שאני הייתי מבסוט לאתר תקלה שכזו, אבל לפני שפנית לgeektime… Read more »

דרג/י למעלה

0

דרג/י למטה  תגובות

5 years 6 days ago

Guest

נמאסתם מגיבים מטעם

שתפ/י ב Twitterשתפ/י ב Google

אם לפחות היית מסווה את זה שאתה מגיב מטעם.
לתקוף את חושף הבעיות זו הדרך הבזויה ביותר שקיימת.

לפי מה שכתוב פה הוא שם להם על הקיר לפני שבוע והם התעלמו
הוא לא רץ לספר את זה לגיקטיים ישר
הוא חיכה שבוע ואז כשהתעלמו מזה הוא פנה לגיקטים

אז במקום לתקוף את מי שחשף את הפדיחה שלהם
תתקוף אותם על זה שאין להם QA נורמלי
על זה שהם לא עולים על בעיות כאלו לבד
על זה שמי שמתחזק את הפייסבוק שלהם לא יודע את העבודה
וזה שלקח להם שבוע לתקן וגם זה רק אחרי שרצו לפרסם את הכתבה

דרג/י למעלה

0

דרג/י למטה  תגובות

5 years 5 days ago

Guest

Itai Nathaniel

שתפ/י ב Twitterשתפ/י ב Google

אנונימי, כן, אני מבסוט מזה שאזכרו את השם שלי. בכל זאת, תרמתי פה לתחושת הביטחון האישית שלי ושל אחרים, אבל: א. ארבעה ימים אחרי שדיווחתי בעמוד הפייסבוק שלהם על העניין כתבתי עוד פוסט ותייגתי אותם. הופ, שתי notifications). באותו היום היו להם ארבעה פוסטים, אז אין סיבה שאני אחשוב שהם לא בודקים את העמוד 2. למה לא שלחתי אימייל? ובכן, אני מדווח על קיר פייסבוק פעיל יחסית משהו שאני חושב שהוא חשוב למדי, ומקבל התעלמות. למה שאני אחשוב שמייל יהיה שונה? III. מצב עגמומי לאתר? חוץ מזה שיש לי פרטים של כ-50 תרומות ואנשים, מה עגמומי פה? • בדקתי דרך… Read more »

דרג/י למעלה

0

דרג/י למטה  תגובות

5 years 5 days ago

תגיות לכתבה: