📧 פירצת פרטיות חשפה שמות, טלפונים וכתובות של לקוחות קבוצת ח.י.

פירצת פרטיות פשוטה באתר קבוצת ח.י. איפשרה לאסוף פרטים של לקוחות החברה – שם מלא, טלפונים וכתובת מגורים – שעלולים לשמש לספאם ולגניבת זהות. הפירצה איפשרה גישה לפרטים באמצעות דפדוף בין מספרי קריאה, שלקוחות קיבלו כשהזמינו התקנת מוצר שקנו בחברה. קבוצת ח.י. סגרה את הפירצה בשבוע שעבר בעקבות פניית חדר 404.

ארנון (שביקש שלא אפרסם את שמו האמיתי) גילה את הפירצה אחרי שקנה מוצר מקבוצת ח.י. הוא קיבל מהחברה סמס לתיאום ההתקנה, שמכיל לינק לעמוד אינטרנט ומספר קריאה שיש להזין בעמוד.

סמס מקבוצת ח.י. לתיאום מועד התקנה

סמס מקבוצת ח.י. לתיאום מועד התקנה

עם הזנת המספר, מוצגים ללקוח פרטיו והוא מתבקש לאשרם, ואחר כך מועבר לעמוד שבו הוא בוחר מועדי הובלה.

 דף הנחיתה של קבוצת ח.י. לתיאום הובלה

דף הנחיתה של קבוצת ח.י. לתיאום הובלה

ארנון הזין בטעות את המספר בלי הסיפרה האחרונה, וקיבל פרטים של לקוח אחר. בדקתי מספרים נוספים באתר, סביב המספר של ארנון ובטווחי מספרים אחרים, והפירצה אכן היתה קיימת ופעילה.

דף פרטי לקוח של קבוצת ח.י.

דף פרטי לקוח של קבוצת ח.י. חדר 404 הסתיר את פרטי הלקוח

“מטריד שחברה גדולה כמו ח.י. אלקטרוניקה לא נוקטת באמצעי אבטחה בסיסיים כדי לשמור על פרטיות לקוחותיה”, אמר ארנון. פירצת הפרטיות הזאת עלולה לאפשר גניבת זהות – גורם זדוני יכול להשתמש בפרטים כדי להזדהות בתור הלקוח מול קבוצת ח.י., בתור קבוצת ח.י. מול הלקוח (ובתירוץ של תיאום ההתקנה לשאוב ממנו פרטים נוספים, כמו מספר כרטיס אשראי או מועדים שבהם הלקוח לא נמצא בבית), או להתחזות ללקוח מול גורמים אחרים, כמו בנקים, ספקי שירות ומשרדי ממשלה.

“יש פה בעיה נוראית של הנגשה לא בטוחה של פרטים אישיים”, הסביר לחדר 404 ההאקר ים מסיקה, מנהל קבוצת R&D בסייברביט. “האתר מאפשר לגשת בלי אמצעי הזדהות אמיתי, ואפילו בעזרת shoulder surfing [הצצה מעבר לכתפו של גולש] פשוט של לראות איזה מספר מישהו הקליד בתיבת הטקסט שם, אני יכול לקבל עליו הרבה יותר פרטים ממה שהוא רצה לספק לי. הבעיה השנייה היא שאפילו אמצעי הזיהוי היחיד שכן מבקשים ממני, הוא קצר, לא אקראי וניתן לעשות עליו bruteforce [מתקפת כוח גס, במקרה זה הרצת מספרי קריאה אפשריים, ע”ק] בקלות, באופן שיאפשר לי לכרות את כל המידע שקיים באתר, וליצור לעצמי בסיס נתונים נאה של פרטים אישיים של משתמשים”.

איך היית מונע את זה?
“יש היום המון הגנות מגה פשוטות לאינטגרציה עבור בעלי אתרים, אבל ממש מציקות לאנשים שרוצים סתם לכייף עם Bruteforce, כשדוגמה ממש טובה היא reCAPTCHA של גוגל, מנגנון שכדי לאפשר מעבר לעמוד הפרטים ידרוש הזנת טקסט שמוצג בצורה מעוותת, אשר מחשבים מתקשים לפענח, או רק יבקש ממך לסמן V על האם אתה בנאדם – נשמע מצחיק אבל בפועל עושה המון דברים מאחורי הקלעים כדי לבדוק שאתה לא רובוט. המנגנון הזה מאפשר לרוב בעלי האתרים להטמיע את הטכנולוגיה באתר תוך דקות. אבל מה שהיה צריך לעשות בעקרון הוא תהליך הזדהות שכולל שם משתמש וסיסמה אקראית ושעומדת בסטנדרטים מסוימים, ואם באמת אכפת מהמשתמשים שלך, מאחר וכבר יש לך את הטלפון הנייד שלהם – גם סמס עם סיסמה מוגרלת זמנית, בשביל ה־2FA [ר”ת של 2 factor authentication, זיהוי דו-שלבי] שהופך את זה למנגנון משמעותית יותר בטיחותי”.

במערכת של קבוצת ח.י. כן הוטמע מנגנון סייבראבטחה, אבל רק ללקוחות שכבר תיאמו מועד. נסיון להיכנס עם מספר קריאה של לקוח כזה מחזיר הודעת שגיאה שלפיה “קריאה כבר שובצה, על מנת לשנות את השיבוץ יש להיכנס אל הלינק בהודעה הנוספת שהתקבלה בנושא שינוי מועד השיבוץ”.

הודעה באתר קבוצת ח.י.: "קריאה כבר שובצה, על מנת לשנות את השיבוץ יש להיכנס אל הלינק בהודעה הנוספת שהתקבלה בנושא שינוי מועד השיבוץ"

הודעת שגיאה באתר קבוצת ח.י.

בלינק הנוסף שבהודעה, הלקוח נדרש להזין מספר קריאה וגם מספר טלפון, מה שמקשה על המנסים לגנוב את הפרטים.

הודעת סמס נוספת מקבוצת ח.י.

הודעת הסמס הנוספת מקבוצת ח.י.

בקשת שם וסיסמה באתר קבוצת ח.י.

בקשת שם וסיסמה באתר קבוצת ח.י.

“מידע גלוי הפתוח לציבור”

מקבוצת ח.י נמסר כי החברה “פיתחה בשנה האחרונה ‘שירות התקנה עצמית’ המאפשר ללקוח להזין באתר ייעודי את מספר ההזמנה של המוצר שרכש
ולקבוע את מועד ההתקנה והשילוח המתאים לו. תוכנת השירות נמצאת בשלבים מתקדמים של פיתוח ובחודש האחרון הושקה כפיילוט עבור ליין מוצרי האלקטרוניקה. יודגש כי המידע שעלול היה להיחשף הינו מידע גלוי הפתוח לציבור”.

בניגוד לדברי קבוצת ח.י., המידע הזה גלוי רק לגבי אנשים שמספר הטלפון שלהם אינו חסוי, וכתובתם האמיתית מעודכנת במאגרי המידע של חברות התקשורת; אין ברשומות המודיעין הטלפוני שלהם מידע על כך שביצעו רכישה בקבוצת ח.י.; והפירצה באתר קבוצת ח.י. מקל על איסוף כמות גדולה של מידע כזה, מאחר שהאתר לא מכיל מנגנוני הגנה מפני קצירת המידע על ידי הצפתו בשאילתות.

פירצת פרטיות בקבוצת ח.י. תמונת לגו: BRICK 101 (cc-by-nc). איור: חדר 404

תמונת לגו: BRICK 101 (cc-by-nc). איור: חדר 404

עוד נמסר מקבוצת ח.י. כי “מיד עם פניית הכתב הועבר הנושא לצוות הפיתוח אשר הוסיף למערכת דרישה נוספת לאימות זהות הלקוח. בתקופה הקרובה תושלם בדיקת הפיילוט והשירות יוחל על כלל מוצרי הקבוצה”.

בדיקה של האתר אחרי קבלת התגובה מעלה שלצד מספר הקריאה נוספה דרישה להזין מספר טלפון.

תגובות

תגובות

Powered by Facebook Comments

תגובות

פרסום תגובה