עקיצה של 50$ בחשבון פייפאל ישראלי הובילה לחשיפת דליפת פרטי גולשים. בדקו אם אתם ברשימה.

אם נרשמתם לאתר הקופונים גרופאנץ’, ייתכן שהסיסמאות שלכם דלפו לרשת בשל מחדל אבטחה; עוד דלפו: פרטים אישיים של פונים לחברות שונות, ביניהן חברה להסרת שיער

הגולש שרון חדד גילה השבוע שחשבון הפייפל שלו נפרץ ושנגנבו ממנו חמישים דולר. חדד הגיש בקשה לפיצוי, אבל סקרנותו התעוררה: איך גילה הגנב את הסיסמה שלו? חיפוש של כתובת המייל שלו בגוגל הוביל לקובץ גיליון נתונים ובו שמו המלא, כתובת האימייל שלו, וסיסמה המשמשת אותו במספר אתרים, ביניהם פייפאל. חדד לא היה היחיד שהופיע בקובץ, המכיל 1,375 רשומות, כולם של משתמשי אתר הקופונים Groupunch.co.il, שחדד השתמש בו בעבר.

חדד פנה אלינו, ומהבדיקה שערכנו עולה שהסיסמאות המופיעות בקובץ לא פועלות עוד באתר גרופאנץ’. עם זאת, ובשל נטייתם של גולשים להשתמש באותן סיסמאות לשירותים שונים, חלק מהסיסמאות עדיין שמישות באתרים אחרים. בדיקה מדגמית שערכנו הראתה שניתן להשתמש בסיסמאות כדי לחדור לחשבונות ג’ימייל, וואלה מייל ופייפאל.

אם נרשמתם לאתר גרופאנץ’, חפשו את שמכם ברשימה המצורפת בסוף הכתבה (הסרנו ממנה את כתובות האימייל והסיסמאות). אם כן, מומלץ להחליף את הסיסמה בכל שירות שבו אתם עושים בה שימוש.

זה לא הכל: בבדיקה שערכנו גילינו באותו דומיין כמה וכמה קבצי נתונים של בתי עסק נוספים, ובהם פרטים אישיים של לקוחות. הקבצים מגוונים: חלקם עוסקים בסטטיסטיקות של משתמשים, חלקם – בפרטי לקוחות פוטנציאלים (“לידים”) שאנשי מכירות יצרו איתם קשר טלפוני. באחד הקבצים, המרכז לידים של עסק להסרת שיער, יש פירוט אינטימי של הפונים ושל הטיפולים שהם מעוניינים בהם, וכן הערות, מעליבות בחלקן, על הלקוחות (“עור כהה מלא שיער!”, “דפוקקקקקקקקקקק”).

מקור הדליפה – חברת “שיא טכנולוגיות”

המשותף לכל הקבצים הוא שכולם מופיעים באתר squares.co.il. המתחם רשום על שם שי פינקלשטיין, מנכ”ל שיא טכנולוגיות, המוכרת מערכת ניהול קשרי לקוחות בשם CSM. בין לקוחותיה מונה שיא טכנולוגיות חברות גדולות כמו בלוקבאסטר, הד ארצי, NMC יונייטד וטאוור רקורדס. גם אתר הקופונים גרופאנץ’, שפרטיו של חדד נלקחו ממנו, משתמש במערכת של שיא טכנולוגיות. הקבצים שהמערכת מייצרת, כך נראה, מופיעים באופן גלוי למנועי חיפוש ואינם מוגנים בסיסמה.

אבי עמר, שכתובת המתחם של גרופאנץ’ רשומה על שמו, מסר בתגובה: “זה אתר שלי שהקמנו לפני שנה וחצי, הם (החברה של פינקלשטיין, ע.ק) כבר שנה משכירים את הדומיין ממני ומפעילים אותו תחת החברה שלהם”.

לקוח ששמו הופיע בקובץ הסרת השיער העיד שפנה לשם לפני זמן רב – לפי הערה בגוף הקובץ, נקבע לו תור לסוף ספטמבר (לא מצוין איזו שנה). בקובץ אחר, שעוסק ככל הנראה בהקמת קבוצות נטוורקינג, מופיעים תאריכי פגישות מ-2006 ועד 2010. קובץ נוסף שייך לבית עסק שהשתמש ב-CSM לתקופת ניסיון בלבד. “עבדנו איתם תקופה קצרה, בערך שבועיים, ועזבנו”, מספרת בעלת העסק, שביקשה ששמה לא יוזכר. משמעות הדבר היא שבשיא טכנולוגיות לא רק שלא שמרו כראוי על אבטחת המידע של לקוחותיהם – הם גם לא מחקו קבצים של לקוחות שהפסיקו לעבוד איתם.

“הורדנו את הקובץ”, הודיע פינקלשטיין בערבות פנייתנו. “זה קובץ ישן שהיה על השרת – קובץ טסטים. בהעברה של בסיס הנתונים העברנו רשומות כדי לראות שהכל עובר כמו שצריך, היה שם קובץ טסטים שכנראה נשכח על השרת”.

זה לא הקובץ היחיד, יש שם יותר מעשרה קבצים של עסקים שונים עם המון מידע על אנשים.

פינקלשטיין ביקש לבדוק את הדברים, ומסר בהמשך תגובה מעודכנת: “הקבצים אשר הופיעו על השרת היו קבצי טסט, אשר עקב טעות אנוש לא הוסרו לאחר השימוש בהם. הקבצים הכילו מספר מועט של פרטים וכמובן לא הכילו פרטים רגישים, חברתנו נוקטת בכל צעדי האבטחה האפשריים ותמשיך לנהוג כך”.

גם אנחנו אשמים

הפרשה הזו מצביעה על מחדל אבטחה חמור מצד שיא טכנולוגיות, וכן על הקלות שבה כל אחד יכול להחזיק במאגרי מידע, גם אם הוא לא מגלה אחריות לאבטחתם. גם בפרשה הקודמת, שבה עשרות אלפי פרטי אשראי של ישראלים דלפו לרשת, מקור הדליפה היה אתר קופונים קטן. אבל גם מצידנו נדרשת אחריות: ראשית, אל תספקו פרטים אישיים לאתר שאתם לא סומכים עליו (בגרופאנץ’, למשל, אין אפילו מספר טלפון לפניות, רק כתובת אימייל). שנית, חשוב לוודא שלכל שירות משתמשים בסיסמה שונה (מי שמתקשה לזכור עשרות סיסמאות מוזמן להשתמש באותה סיסמה אך בשינויים קטנים, למשל password_paypal, password_gmail, וכן הלאה.

“חשבתי לשלוח מייל לכל התפוצה של האימיילים, שהסיסמאות שלהם נפרצו”, אמר חדד, קורבן הפריצה. אחרי שנכווה הוא מבקש להעביר מסר: “שאנשים יחליפו סיסמאות מדי פעם ולא ישתמשו באותה סיסמה לאתרים שונים כמו שאני עשיתי”.

רשימת הלקוחות שפרטיהם נחשפו:

להורדה (XLS, 109KB)

3 במאי, 2012 | בנושאים 404 

תגובות

7 תגובות לפוסט “עקיצה של 50$ בחשבון פייפאל ישראלי הובילה לחשיפת דליפת פרטי גולשים. בדקו אם אתם ברשימה.”

  1. אורי on 3 במאי, 2012 15:08

    והורידו את זה
    נשאר רק עוד הCACHE של גוגל

  2. חיים on 3 במאי, 2012 20:24

    לצערי אפילו שמחקו עדיין ניתן להגיע לכל המסמכים, כמובן שאני לא יראה פה איך אבל מי שיפעיל קצת שכל יגיע ל”כל” המסמכים חבל!!!!

  3. גאפו on 4 במאי, 2012 13:00

    גם אני מצאתי את כל הפרטים בקאש של גוגל.
    מחפשים מספר סלולרי או שם פרטי או שם משפחה וישר מקבלים מאיפה היא רצתה להסיר שיער ואת האמייל שלה וגיל ועוד דברים.
    ממש ביזיון הדבר הזה.

  4. David on 6 במאי, 2012 00:16

    מי שמתקשה לזכור עשרות סיסמאות מוטב שישתמש במנהל סיסמאות כמו SISMA ו-KeePass.

  5. נעקצתי on 6 במאי, 2012 00:17

    בכל אופן ניסו לעקוץ אבל לא הצליחו.
    ניסו לקחת לי מהחשבון 500$
    למזלי קיבלתי הודעה מפיפאל על כך
    ישר ביטלתי
    לצערי אני גם רשומה ברשימות
    אמאל’ה

  6. me on 6 במאי, 2012 00:51

    אני לא יודע נראה לי שגרופאנצ לא סידרו עדיין את הבעייה

    http://groupunch.co.il/x.txt

    הפורץ השאיר מזכרת
    אני לא מאמין שהוא כורדי :)

  7. יגאל on 31 בינואר, 2019 10:38

    האתר כבר לא קיים.
    הבעלים התחלפו ושינינו את השם ל http://www.omgdeal.co.il
    אני הבעלים החדש וכל מי שרוצה לשאול שאלה מוזמן דרך תיבת הצור קשר או ישירות לדף הפייסבוק שלי iggal@hotmail.com

פרסום תגובה

עליך להתחבר כדי להגיב.