באג או פיצ’ר? שורטיסט טוען שמצא בעיית אבטחה בלמונייד. שי וינינגר: זה מתוכנן

מייסד החברה כתב למי שגילה את ה”חולשה”: ”אני מקווה שלא בזבזת על זה הרבה זמן”

תמונה: Lemonade

מקרה קלאסי של “זה לא באג, זה פיצ’ר” בלמונייד, החברה הישראלית, שהיא ‘המרענן הרשמי’ של עולם הביטוח השמרני. זאת לאחר ששורטיסט מוכר טען שהוא “גילה בטעות” בעיית אבטחה במערכת של החברה, אולם נשיא החברה, שי וינינגר, טען בתגובה שמדובר בכלל בפיצ’ר.

הימר שמניית החברה תקרוס אחרי התגלית

קרסון בלוק, מייסד חברת המחקר Muddy Waters, פירסם בסוף השבוע “מכתב פתוח” לחברת למונייד בו הוא טוען שגילה חולשת אבטחה קריטית שחושפת מידע פרטי של לקוחות. לטענתו, הוא גילה שגוגל ומנועי חיפוש נוספים מאנדקסים את הפרטים האישיים של לקוחות, וחיפוש פשוט מאפשר לו להיכנס לפוליסות של לקוחות ואף לשנות לכאורה פרטים של לקוחות בלי להזדהות. “למונייד נוסדה בעידן של מגוון פירצות אבטחה. איך היא השאירה את הדלת שלה פתוחה לתוקפים?” תמה בלוק וטוען כי גילה פרטים אישיים של תושב האיחוד האירופי, מה שלטענתו עשוי להוכיח שהחברה לא עומדת בתנאי ה-GDPR המחמירים.

למרות הכותרות המאיימות של בלוק, ישנם כמה פרטים בהתנהלות שלו שכדאי לשים לב אליהם: ראשית, הוא לא ביצע כנהוג תהליך אסגרה תקין של מה שהוא מכנה “חולשת אבטחה”, אלא פשוט פירסם אותה פומבית. בשיחה עם טקראנץ’ הוא אף חשף שלאור הבעיה שגילה, הוא החליט לעשות “שורט” על מניית למונייד – כלומר, הימר שערך המנייה יתרסק, ובפועל משקיע במכירה שלה כדי לקנות אותה מאוחר יותר במחיר נמוך יותר. באותה שיחה הוא אמר שהוא מהמר על התרסקות המניה “כי זה ברור שלמונייד לא שמה *** על אבטחת המידע הפרטי של לקוחות”.

בלוק כאמור פנה לאתר טקראנץ’ שבדק את טענותיו. על פי האתר, הצליחו כתביו להיכנס לחשבון הלמונייד של משתמש מסויים, ובו נחשף בפניהם השם המלא, הכתובת ואפילו את הצעות הביטוח שקיבל – בלי להזין סיסמה בשום שלב.

“זו לא חולשה, זה מתוכנן”

שי וינינגר, מייסד שותף ונשיא החברה, הגיב בחשבון הטוויטר שלו לממצאים של בלוק וכתב: “הלינקים שהוא מצא קישרו ל-4 הצעות מחיר שמשתמשי למונייד שיתפו (כלומר, הם היו כל כך מרוצים, שהם שיתפו אותן). זו לא חולשה, זה מתוכנן כך. תיכננו את הצעות המחיר שלנו, כך שניתן יהיה לשתף אותן. אם מישהו רוצה לשלוח את ההצעות למשפחה, חברים או אפילו לבנק – הם יכולים”. לטענת וינינגר, ישנם משתמשים שמשתפים את הצעות המחיר שקיבלו בפינטרסט ובבלוגים שונים (בעיקר בנושאי UX), וגוגל מאנדקסת את האתרים הללו ואת הלינקים הספציפיים שבלוק גילה. לסיכום, כותב וינינגר: “אני מקווה שלא בזבזת יותר מדי זמן על זה”. גם דוברת החברה אישרה כי לא מדובר בבאג.

פנקו את הטלגרם שלכם עם ערוץ הטכנולוגיה הגדול בארץ פנקו את הטלגרם שלכם עם ערוץ הטכנולוגיה הגדול בארץ הצטרפו לערוץ גיקטיים בטלגרם

 

 

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

5 תגובות על "באג או פיצ’ר? שורטיסט טוען שמצא בעיית אבטחה בלמונייד. שי וינינגר: זה מתוכנן"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
לירן
Guest

זה ידוע שחברות ישראליות מזלזלות בפרטיות של הלקוחות שלהן

כרובי
Guest

איפה בכתבה ראית שמישהו זלזל?

גלעד
Guest

חשב שיעשה עליהם סיבוב בסוף יצא חומוס.. עשו עליו סיבוב. כל הכבוד.

ירון ורצקי
Guest

זה בהחלט באג
כי גם שמשתפים מידע, צריך לשים HASH על השיתוף כך שלא יהיה נגיש למי שאין לו את הלינק כמו UNLISTED ב YOUTUBE. אם יש אפשרות לעשות REVERSE ENGINEERING לפי שם משתמש ולהגיע למידע שהוא שיתף (עבור גורם מסויים ולא לכל העולם) אז יש פה בעיה, לא הייתי אומר שזה באג כמו שזה ידע מינימלי של מתכנת במתודולגיה של כתיבת קוד עם קצת מחשבה מעבר ל “הנה זה עובד”

המשתמש בחר לשתף
Guest
המשתמש בחר לשתף

אבל זה לא קישור חסוי למשתמש עם קישור בלבד.
זה שיתוף לכל העולם.

wpDiscuz

תגיות לכתבה: