✈ פרטי נוסעי אל על וחברות נוספות נחשפו בפירצה ב”אמדאוס”, ששולטת ב-44% מהשוק העולמי 🐱‍💻 סייברסייבר

רן בר-זיק בסך הכל רצה לטוס לפסטיבל מטאל, “המוזיקה היחידה ששווה משהו”. אבל האקר נאה וחובב פחמימות (אך מתעב מטאל) פרץ לו לחשבון, שינה לו את הפרטים והכי נורא, הזמין לו ארוחה טבעונית גלאט כושר. איך זה קרה? בגלל פירצת אבטחה במערכת ששולטת על כמעט חצי משוק הכירטוס העולמי. הסיפור המלא בפרק 3 של סייברסייבר (שהוקלט בבהילות, ואנחנו מתנצלים על הסאונד).

הנגשה לכבדי שמיעה: כתבה על הפירצה

זה התחיל מכך שנעםר הזמין לעצמו כרטיס טיסה באל על (לקייב, מכל המקומות בעולם). כשקיבל אישור באימייל ראה שהלינק שצורף אליו, שמאפשר לצפות בהזמנה ולעדכנה, מכיל את המזהה הייחודי (ID) של ההזמנה. הוא ניסה לשנות את המזהה בשורת הכתובת ולהגיע לכרטיסים של אנשים נוספים, ונחל הצלחה. הוא גילה גם ששילוב של שם הנוסע והמזהה מאפשר לו ללגון למערכת, לראות את כל פרטי הנוסע ולשנותם.

בר-זיק, שלא ידע על כל זה, הזמין כרטיס לפסטיבל המטאל ומיהר לספר לחבר’ה בוואטסאפ, כולל תמונה של הכרטיס. אחד הנמענים היה נעםר, שנכנס לעמוד ההזמנה של בר זיק עם שמו של ברזיק והמזהה הייחודי, והזמין לו ארוחת גלאט טבעונית. יאמי.

אבל גם אם בר-זיק לא היה חושף את כרטיסו, נעםר יכול היה לאתר את ההזמנה בעצמו. כשהריץ סקריפט על האתר גילה שאין הגנה ממתקפת כוח-גס (ברוט פורס), כך שהוא יכול להריץ את כל צירופי האותיות והמספרים האפשריים למזהה הייחודי, ולשאוב את מאגר המידע המלא של נסיעות נוסעי אל על. וב-2018 אין שום סיבה שאתר יהיה חשוף למתקפה פרימיטיבית כמו ברוט פורס.

רן בר-זיק חושף את עצמו
רן בר-זיק חושף את עצמו

מחברת אל על נמסר בתגובה:

אל על קיבלה דיווח מלקוח של החברה לפיו קיים ליקוי אבטחת מידע.
הלקוח מסר כי לא עשה ואינו מתכוון לעשות שימוש במידע  וכי מטרת הפניה הינה בחינת הליקוי במטרה לתקנו.
החברה התייחסה במלוא הרצינות לדיווח וביצעה בדיקות מידיות. במסגרת הבדיקות עלה כי  הליקוי איפשר באמצעות הזנת מספר ההזמנה של לקוח אחר, לצפות בפרטי הזמנתו. יש לציין כי בשום שלב לא התאפשרה חדירה אל בסיס הנתונים של החברה. נדגיש כי אין מדובר בגישה למערכת ההזמנות עצמה אלא בגישה לתצוגה מצומצמת הקשורה בהזמנה ספציפית בלבד.
מערכת ההזמנות בה אל על עושה שימוש הינה מערכת בינלאומית בעלת רמת אבטחה גבוהה, המשמשת חברות תעופה רבות בעולם. אל על פנתה באופן מיידי לספק מערכת ההזמנות שנרתם לתיקון הליקוי.


המערכת הפרוצה שבה משתמשת אל על הוקמה על ידי אמדאוס, ספקית שירותים לחברות תעופה שב-2017 הכניסה 5.81 מיליארד דולר והחזיקה ב-43.9% מהשוק. מחברת אמדאוס נמסר בתגובה:

אבטחת מידע נמצאת בעדיפות עליונה באמדאוס, ואנחנו מנטרים ומעדכנים את המערכות שלנו כל הזמן. הצוותים הטכניים שלנו פעלו מיידית ואנחנו יכולים לאשר כעת שהסוגייה נפתרה. כדי לחזק את האבטחה, הוספנו Recovery PTR כדי למנוע ממשתמשים זדוניים גישה למידע הפרטי של הנוסעים. אנחנו מתנצלים על כל אי נוחות שעלולה היתה להיגרם בגלל המצב הזה.


ועל כך אומר נעםר: “אני מודה בבושה שאני לא מבין עד הסוף מה התיקון שהם עשו, אבל היי – זו חברה ששווה מיליארדים, הם בטח יודעים על מה הם מדברים”.

פירצת אבטחה באל על 📸 בורקס: Shlomif (PD); מטוס: זיגי נגראה (cc-by-nc-sa)

🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: נעם רותם, עידו קינן ➕ אורח: רן בר-זיק 🥐 בורקס: Shlomif (PD) 🛫 מטוס אל על: זיגי נגראה (cc-by-nc-sa) 🎵 מוזיקה: (Fauna & Killah B – CC-by), רוברט קלאות’ 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס 📰 חדשות סייברסייבר: @OhCyberMyCyber 📫

תכלה שנה ופירצותיה 🐱‍💻 סייברסייבר מסכמים את 2018

רק פרק שני וסייברסייבר כבר מסכמים שנה: נעם רותם ועידו קינן מדברים על דליפת פרטי מאות מיליוני משתמשים, מתקפות DDoS, פייסבוק וקיימברידג’ אנליטיקה, חקיקה נגד הצפנה, מלחמות הראוטרים ועשרות פירצות ופירצות בישראל.

הנגשה לכבדי שמיעה: התסריט המלא של הפרק מתפרסם כאן.

הערותוכנית

1:01 מתקפת מניעת שירות מבוזרת (DDoS)

6:01 ביג ביג דאטה

9:23 הצפנה

15:19 מלחמות הראוטרים

18:18 פריצות ופירצות

22:33 ובארץ

נעם רותם ועידו קינן, סייברסייבר 📸 עומר סנש, Podcasti.co
נעם רותם ועידו קינן, סייברסייבר עומר סנש, Podcasti.co

🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: נעם רותם, עידו קינן 🎵 מוזיקה: (Fauna & Killah B – CC-by), רוברט קלאות’ 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס 📰 חדשות סייברסייבר: @OhCyberMyCyber 📫

תוספי נגישות הם אסון 🐱‍💻 סייברסייבר ע01פ01

בפרק הבכורה של סייברסייבר, נעםר מספר לעידוק איך הכוונות הטובות של תקנות הנגישות הביאו בעלי אתרים לפעור פירצת אבטחה חמורה באתריהם. וגם: מה ד’ה פקס הקטע של הבנק עם פקסים?

נעם רותם ועידו קינן, סייברסייבר 📸 עומר סנש, Podcasti.co
נעם רותם ועידו קינן, סייברסייבר 📸 עומר סנש, Podcasti.co

הנגשה לכבדי שמיעה: התסריט המלא של הפרק מתפרסם כאן.

סייברסייבר הוא הסכת על האקרים ומאפים. מגישים: נעם רותם ועידו קינן. מוזיקה: Fauna & Killah B (CC-by), רוברט קלאות’. עיצוב סאונד: עומר סנש. 📸 בורקס: Dan Zelazo cc-by-nc-sa). הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס