חוקרים ישראלים גילו פרצת אבטחה באתר הקניות LightInTheBox

מיליארד וחצי רשומות באתר הקניות הגדול נשמרו באופן לא מאובטח ולא מוצפן. בין המידע שהיה זמין לכל האקר: כתובות מייל, כתובות IP ומדינת המוצא של הקונים

מקור: צילום מסך

חודש הקניות מאחורינו, וחלקנו עדיין מחכים לחבילות שהזמנו מאתרי קניות כאלה ואחרים. מה שאנשים לא מצפים לו אחרי הקניות המרובות הוא ידיעה שיכול להיות שכמות ענקית של מידע מהאתר שקנו בו אוחסנה בצורה לא מאובטחת. לקוחות LightInTheBox, זה בשבילכם.

1.3 טרה-בייט של מידע לא מוצפן

נעם רתם ורן לוקאר, חוקרים ישראלים בחברת vpnMentor, גילו כי באתר הקניות הסיני LightInTheBox איחסנו 1.3 טרה-בייט של מידע על גולשים באופן לא מאובטח ולא מוצפן – כך שהיה חשוף לכל גולש ומכל דפדפן. המידע נשמר במסד נתונים של Elasticsearch, שעל פי הדו”ח על הפרצה שפורסם באתר vpnMentor בדרך כלל לא נעשה בו שימוש באתרי אינטרנט.

הפרצה שגילו שני החוקרים הישראלים כוללת כמיליארד וחצי רשומות מלוג השרת של האתר שכלל בקשות גישה לעמודים ומידע על פעולות שביצעו משתמשים בין אוגוסט 2019 ל-11 באוקטובר 2019. הרשומות שנשמרו באופן לא מאובטח ולא מוצפן כללו כתובות מייל, כתובות IP, המדינה שבה גרו המשתמשים שגלשו באתר ועמודים שנצפו על ידי הגולשים. חלק מהרשומות שנמצאו היו של אתר נוסף של החברה הסינית – MiniInTheBox.com.

החוקרים ציינו כי הפרצה, שחשפה בין השאר את כתובות המייל של המשתמשים, יכלה לשמש האקרים כדי לנסות ולגרום למשתמשים להעביר להם פרטים אישיים או פרטי תשלום, פרטי התחברות לאתרים או ללחוץ על לינקים זדוניים.

גילוי הפרצה קרה לפני כחודש, ב-20 בנובמבר, כשהחוקרים מציינים בדיווח על הפרצה באתר של vpnMentor כי פנו לאתר תוך ארבעה ימים וכי נראה שנעשו פעולות מצד LightInTheBox כבר ביום הדיווח על הפרצה.

“למרות שהמידע שדלף לא חושף מידע קריטי על משתמשים, כמה פעולות אבטחה בסיסיות כלל לא בוצעו. זו תקופה בשנה שבה מבוצעות קניות רבות ברשת: בלאק פריידיי, סייבר מאנדיי וכריסמס. גם דליפת מידע נרחבת שלא כוללת פרטים היכולים לזהות את המשתמשים יכולה להוות איום על החברה ועל לקוחותיה כאחד”, כתבו החוקרים בדו”ח על הפרצה.

מי יהיו הסטארטאפ, הקרן והאקסלרטור של השנה? מי יהיו הסטארטאפ, הקרן והאקסלרטור של השנה? הגישו את המועמדים שלכם לפרסי ה-GeekAwards

אושרי אלקסלסי

עדיין מבואס מהפסקת שידורי TechTV בישראל. נהנה מסרטי סטאר וורז החדשים - Don't @ Me.

הגב

1 תגובה על "חוקרים ישראלים גילו פרצת אבטחה באתר הקניות LightInTheBox"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
מישהו
Guest

מייל IP ומדינה? סו וואט? זה לא שימושי לכלום, בטח לא אם אתה משתמש בסיסמה נפרדת ולא משלם באשראי אלא עם פייפל. IP גם ככה מתחלף ומאחורי NAT

wpDiscuz

תגיות לכתבה: