וואלה
וואלה
וואלה
וואלה

וואלה האתר המוביל בישראל - עדכונים מסביב לשעון

וואלה דואר
קרא דואר

טכנולוגיה

/

חדשות

פרצת אבטחה חמורה באתרי מכירת כרטיסים

אורי דישון

18.1.2015 / 14:07

מידע המכיל מידע אישי, מספרי טלפון ומספרי תעודת זהות של לקוחות ישראלים דלף לרשת בסוף השבוע. המקור, כפי, הנראה בתוכנה לניהול הזמנה ומכירת כרטיסים של חברת מכירת הכרטיסים Eventgo. הנהלת Eventgo בתגובה: "ניסיון הפריצה טופל ונחסם"

האקר. ShutterStock
לא בטוח בכלל שמדובר בעבודה של האקרים/ShutterStock

אם הזמנתם לאחרונה כרטיסים להופעה במועדון הבארבי בתל אביב, או למשחק של מכבי תל אביב בכדורסל, תבדקו את חשבון האשראי שלכם: במהלך סוף השבוע התגלתה פירצה במערכת הזמנה ומכירת כרטיסים של חברת Eventgo, המספקת כרטיסים להופעות ואירועים בישראל באתרים שונים. בעקבות הפירצה, דלפו לרשת בסיסי נתונים גדולים של משתמשים בשירות. הפרצה דווחה לראשונה באתר מזבלה.

הנתונים שדלפו כוללים פרטים אישיים ומספרי תעודות זהות של גולשים שרכשו כרטיסים דרך האתר, כמו גם מספרי טלפון, סיסמאות ספקים ומידע כללי. מבדיקה של וואלה! TECH עולה כי ככל הנראה פרטי אשראי לא היו חשופים במערכת ניהול האתר, אולם היות שניתן היה לערוך את המידע של המופעים, גולשים יכלו להכניס קוד שיאסוף את הנתונים שהמשתמשים מקישים. בנוסף, ניתן היה להעלות קבצים, שלאחר מכן ניתן להריץ בצד השרת, כך שאם היה מידע שמור על השרת, ניתן יהיה לגשת גם אליו.

עד לשעות הצהריים היום (א') הפירצה עוד הייתה קיימת בחלק מהאתרים להם Eventgo מספקת או סיפקה בעבר את שירותי הזמנות הכרטיסים. בעוד שהפירצה לאתר הבארבי נחסמה, הצלחנו להגיע בקלות יחסית לנתוני הזמנות באתר ישן של מכבי תל אביב בכדורסל שגם הכיל מידע אישי רב, וכן למידע לגבי מזמיני כרטיסים להופעות באתר שבלול ג'אז.

אין תמונה. צילום מסך, מערכת וואלה!
כך נראתה מערכת הניהול - חלק מהקישורים דוגמת סליקות וניהול מופעים היו לחיצים והובילו למידע ללא הגנת סיסמא/מערכת וואלה!, צילום מסך

כפי הנראה מקור הפריצה פשוט: חברת Eventgo מספקת לאתרים המוכרים כרטיסים מערכת ניהול, היושבת על כתובת אינטרנט. כשם שכתובת אינטרנט לגלישה במייל של ארגונים לעבודה מהבית זמינה ברשת, היא נסרקת וזמינה לגלישה גם דרך גוגל. חלקים המכילים מידע רגיש אמורים להיות מוגנים בכמה דרכים, כשהצורה הבסיסית ביותר היא הגנה של יוזר וסיסמא, אך כפי הנראה זה לא היה המצב לגבי חלק מהמידע בתפריט האפשרויות של האתרים, אליו כאמור הצלחנו להגיע דרך חיפוש פשוט בגוגל.

sheen-shitof

עוד בוואלה!

התהליך המסקרן של מיחזור אריזות מתכת

בשיתוף תאגיד המיחזור תמיר
אין תמונה. צילום מסך, מערכת וואלה!
צילומסך אתר מכבי תל אביב הכולל פרטים אישיים. אפשרות סינון התאריכים חשפה מידע שנאסף במשך שנים/מערכת וואלה!, צילום מסך

חברת Eventgo מסרה כי "היה ניסיון פריצה מסיבי הכולל DDOS אשר למיטב הבנתנו גובל בפלילים ברם ניסיון זה טופל ונחסם באופן מיידי. בשום אופן לא דלף כל מידע אישי חסוי הנוגע למי הרשומים באתר מאחר ולא הגיעו לבסיסי הנתונים עצמם. חברתנו השתמשה וממשיכה להשתמש באמצעי האבטחה המתקדמים בשוק ותנקוט בכל האמצעים העומדים לרשותה הן כדי למנוע כל מקרה דומה בעתיד והן כדי למצות את הדין עם האחראים לארוע הנ"ל".

חשוב לציין, כי מבלי לדעת מה התרחש בשרתים שלהם, או מה טיב ההסכמים בינם לבין האתרים להם מסופק השירות, מהבדיקה שערכנו היום עולה כי מדובר ביותר משני אתרים: כאמור, הדיווח הראשוני התייחס לאתר הבארבי, והגענו למידע גם מאתר ישן של מכבי-תל אביב בכדורסל (Eventgo טענו כי הוא הוסר מהרשת) וכן מאתר שבלול ג'אז. שניהם הופיעו תחת לקוחות של חברת Eventgo. הפריצות נחסמו מאוחר יותר היום אולם נראה שחלק מהן עוד מופיעות ב-cache של גוגל. מחיקתן מצריכה פעולה נקודתית עבור תוכן שהוסר מהאינטרנט.

בנוסף, DDOS הינם ראשי תיבות של distributed denial of service, ומיוחסת לנסיונות של הפלת אתרים ולא של גניבת מידע. התקפה כזו יכולה להשבית מערכת שלמה על ידי מניעת שירות מכל משתמשי המערכת או מחלק מהם. ומתבצעת על ידי ניצול קריטי של משאבים בצד השרת. לא ברור מה הקשר שלהם בפירצה הנ"ל.

אין תמונה. צילום מסך, מערכת וואלה!
צילומסך אתר שבלול ג'אז הכולל פרטים אישיים/מערכת וואלה!, צילום מסך
  • עוד באותו נושא:
  • האקרים

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    2
    walla_ssr_page_has_been_loaded_successfully