וואלה
וואלה
וואלה
וואלה

וואלה האתר המוביל בישראל - עדכונים מסביב לשעון

וואלה דואר
קרא דואר

טכנולוגיה

"לא מדובר בהאקינג עם ערך אמיתי"

אסף לבנון

3.1.2012 / 10:03

מומחי אבטחת מידע: רשימת האשראי אינה הישג גדול. הפרטים לא איכותיים והמטרה קלה - גם אם לא כל אתרי הקופונים לוקים באבטחה

ביום שלאחר הגילוי על גניבת מספרי כרטיסי האשראי, לא יכולים לקוחות מודאגים לא לשאול את עצמם כיצד זה קרה וכמה באמת קל לשלוף את מספר כרטיס האשראי שלהם מאתר בו הם קנו.

לדברי טל מוזס ויוני דויטש, מומחי אבטחה ממחלקת אבטחת המידע Hacktics ב'ארנסט את יאנג' , זה יכול להיות קל מאוד – לפחות כאשר מדובר באתרים שלא מבצעים נהלי אבטחה ראויים. "יש היום רגולציה של חברות כרטיסי האשראי, לפיה כל מי שסולק כרטיסים מחויב לתקן אבטחה בשם PCI DSS. זהו תו תקן עולמי שייתכן שאתרי הקופונים שנפרצו לא עמדו בו", הם מסבירים. "ישנן שתי דרכים לסליקת נתוני כרטיסי אשראי: האתר יכול לקבלם ולהחזיק אותם אצלו – או להעבירם ישירות לגורם סליקה צד שלישי. על גורם כזה, שמקבל נתונים מאתרים שונים, חל תקן PCI DSS אפילו יותר מחמיר וככל שהוא מקיים מספר טרנזאקציות גבוה יותר – התקן מחמיר עוד יותר. יכול להיות שההאקרים פרצו לאתר מהסוג הראשון או לשירות מהסוג השני – וכך שאבו את הנתונים".

מוזס: "אתרי קופונים משמעותית פחות מאובטחים מאתרים של חברות אשראי גדולות. לכן אותם האקרים עושים משהו שהוא יחסית פשוט – הולכים על המטרה הקלה ביותר ופורצים למאגר נתונים שלא מאובטח בעליל רוב הזמן. כשאתה פורץ לאתרים כאלו המטרה שלך זה להשיג נקודת כניסה לאתר, גישה למאגר הנתונים של רוב האתר ולממשק שלו. על ידי מניפולציה אתה שולף את אותו מאגר וממפה אותו מרחוק".

דויטש: "אתמול בלילה בדקנו את הקבצים וראינו שלא מדובר בהישג גדול. באינטרנט יש סחר כמעט חופשי של מאגרי כרטיסי אשראי. יש אפילו מחירון בין פושעי סייבר למספרי כרטיסים איכותיים. הרשימה שנגנבה אינה בעלת ערך רב במונחי פשיעת אינטרנט. יש רק 6,000 רשומות. יש פרטים שחסרים, ואלו שקיימים לא מסודרים כמו שצריך, יש הרבה מספרי כרטיסים שחוזרים על עצמם. באינטרנט לא היו משלמים על רשימה כזאת אפילו מאה דולר. אין פה הרבה מורכבות טכנולוגית, והדברים האלו קורים בעולם על בסיס יומיומי. פשוט כאן היה מצב שעשו מזה 'מופע זיקוקים'. אבל מבחינת מה שקרה באמת לא מדובר על משהו חדש או בעל ערך במיוחד".

יואל פרומן, מנהל האתר kvutzati.co.il מסר כי האתר עבר בדיקות אבטחת מידע מקיפות לפני עלייתו לאוויר ואינו שומר את פרטי האשראי בבסיס הנתונים שלו. לדבריו, החיוב מתבצע דרך מערכת חיצונית בשם "טרנזילה".

בדקו אם שמכם מופיע ברשימת הכרטיסים שנפרצו
לבירור מול חברות האשראי:
ישראכרט 03-6364666
מאסטרקרד 03-6178800
אמריקן אקספרס 03-9221088
ויזה כ.א.ל 03-5723666

"המידע לא אובטח בסטנדרט מינימלי"

- מה לקוח של אתר כזה צריך לעשות?

דויטש: "קודם כל – להחליף סיסמאות. הרבה אנשים משתמשים בסיסמה אחת באתרים שונים. כך שאם נגנבו סיסמאות לאתר קופונים - יכול להיות שעכשיו נראה הרבה חשבונות פייסבוק ואי-מייל שנפרצים – על ידי ניסיון שימוש באותן הסיסמאות. באופן יותר כללי, הייתי ממליץ לשקול על הזמנת כרטיס אשראי ספציפי לקניות ברשת בלבד. זה שירות שחברות האשראי מציעות".

מוזס: "במקרה הזה רואים שהמידע אפילו לא הוצפן במערכת, וזה סטנדרט מינימלי שלא קוים. אם אותם אתרים היו מצפינים את סיסמאות הלקוחות בעזרת אלגוריתם – אי אפשר היה לנסות להשתמש בהן באתרים אחרים".

- ומה צריך לעשות אתר שנפרץ או שחושש להיפרץ?

מוזס: "הדבר הראשון הוא כמובן לעמוד בסטנדרט של PCI. זו חובה. מי שפרצו אליו צריך לעשות מחקר, קצת כמו מז"פ, ולהבין איך זה קרה. מומלץ לעשות מבדקי חדירות, שבודקים את חוסן האתר ומבררים איזה ממשקים פתוחים לגישה מבחוץ. אתר שנפרץ גם צריך לוודא שהפורץ לא הוסיף לבסיס הנתונים הרשאות עבור עצמו – שהוא לא יצר עוד משתמש שיכול להיכנס למערכת עם גישה והרשאות של מנהל רשת. לאתרים שנפרצו אני ממליץ לא לחזור לשדר מיד עסקים כרגיל, אלא לעשות חושבים ולהבין מה בדיוק קרה. שיפרסמו הודעה רשמית על הפריצה – זה נהוג היום, וגם סוני עשתה את זה בשנה שעברה, כשפרצו שוב ושוב לשרתיה. זו לא בושה, כחברת אבטחת מידע אנחנו יכולים להעיד שאין גורם חסין. בנוסף, מומלץ לאתר כזה שגורם הסליקה שלו לא יהיה הוא עצמו – אלא גורם צד ג' שסולק, שם סביר שהאבטחה מקצועית יותר".

"האתרים שהותקפו התרשלו באבטחת מידע"

אורי ליש, סמנכ"ל פיתוח וטכנולוגיות בוואלה! שופס, שמפעילה אף היא שירות קופונים, מבטיח כי האתר שומר על כללי האבטחה הדרושים, ב- 95.5% מתקן PCI DSS. "מעבר לתקן, השקענו בציוד אבטחה, בפיירוול ובנהלי עבודה שאמורים לאבטח את האתר ואת פרטי הלקוחות. האתר נבנה מראש בצורה שמונעת זליגות של מידע".

בתשובה לשאלה האם נתוני הלקוחות מוצפנים, כפי שייעצו אנשי Hacktics, עונה ליש בחיוב. "אנחנו מצפינים את הנתונים בבסיס הנתונים, וגם אם מישהו יצליח להגיע אליהם - הוא יגיע לנתונים מוצפנים שאינו יכול לפתוח".

אתר דה מרקר מדווח הבוקר כי חברת אבטחת המידע מגלן גילתה שהפריצה הנוכחית לאתרים הישראליים בוצעה על ידי שלושה האקרים - אחד מקטאר, אחד מסעודיה, ואחד הממוקם בזאגרב, שסיפק לשני האחרים כלי פריצה. "התחקינו אחרי שורשי המתקפה ובהחלט לא מדובר כאן במתקפת סייבר", אמר מנכ"ל החברה שי בליצבלאו, לדה מרקר. "האתרים שהותקפו התרשלו באבטחת מידע".

במוקד הפריצה עומדים מספר שירותים מקוונים ורשתות חברתיות – אתרי הקופונים sale 365, האתר Kvootzati.co.il והרשת החברתית העסקית bizmakebiz.co.il. בנוסף נפרץ בסיס הנתונים של אתר למכירת פריטי ידואיקה בארה"ב, והרשת החברתית העסקית של צעירי יהדות ארה"ב.

  • עוד באותו נושא:
  • האקינג

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    0
    walla_ssr_page_has_been_loaded_successfully