פיקוד העורף הגל השקט

הגדרת ישובים להתרעה
      הגדרת צליל התרעה

      נושאים חמים

      אופס: האפליקציות של הקרדשיאניות חשפו את פרטי המעריצים שנרשמו

      מאות אלפי מעריצים ומעריצות מיהרו להירשם לאפליקציות התוכן החדשות בתשלום של הבנות לבית משפחת ג'נר-קרדשיאן, רק שמישהו שם שכח לאבטח את קוד ה-API וכל המידע הפרטי הזה היה זמין לכל דורש. חושף המחדל: "הייתה לי גם היכולת ליצור או למחוק משתמשים"

      הקולקציה של קנדל וקיילי ג'נר לרשת טופשופ (יח"צ , יח"צ חו"ל)
      אופס. (צילום: יח"צ)

      זה לא פיצ'ר, זה בהחלט באג: השבוע הושקו האתרים החדשים של האחיות לבית ג'נר-קרדישאן, ואיתם גם האפליקציות הנלוות שנועדו לאפשר למעריצים לקבל תוכן בלעדי תמורת תשלום חודשי, במסגרת מנוי, כמו בימים שלפני האינטרנט - כשאנשים צרכו תוכן מודפס בתשלום ופחות תוכן מקוון מוקף בפרסומות.

      אך עם השקת האפליקציות והאתרים החדשים במקביל, לטענת יאהו, גרמו התוכנות המוקדשות לפועלן של בנות קרדישאן את ג'נר לחשיפה של מידע פרטי המעריצים: כ-900 אלף משתמשים נחשפו לכאורה בשל חור אבטחה בקוד ה-API (המאפשר לשאוב נתונים לאפליקציות צד ג'), שהותיר מידע אישי חשוף לכל.

      הפרצה נתגלתה שעות לאחר ההשקה על ידי אלקסיץ' סמית, מפתח רשת צעיר בן 19 שניהל אפליקציית סלבס משלו והחליט להשוות את המידע שצבר לזה שפרסמו באופן פומבי האפליקציות הקרדשיאניות.

      בניסיון ההשוואה הוא נדהם לגלות שהמידע הפרטי, שנצבר באותן אפליקציות, בעיקר של גולשים חובבי רכילות וסלבס, נותר חשוף לכל דורש בעל ידע מינימלי. "הייתה לי גישה לשמות הפרטיים, שמות המשפחה וכתובות האימייל של האנשים שנרשמו לאתר של קיילי ג'נר", כתב סמית, "ואז הבחנתי שאני יכול לבצע את אותה קריאת API לאורך כל האתרים ולהחזיר בדיוק את אותו מידע לכל אתר. הייתה לי גם היכולת ליצור או למחוק משתמשים, תמונות, וידאו ועוד", פירט סמית.

      סמית פנה לחברת Whalerock Digital Media, המפעילה את האתרים עבור המשפחה המוכרת. בתגובה לפניית אתר TechCrunch התחייבה החברה כי היא הורידה את האתרים עד לתיקון המחדל, ופתרה את הבעיה כך שכל תשלום שבוצע, גם טרם לכן, מאובטח כהלכה.

      חור באבטחה באפליקציות של הקרדישאניות (צילום מסך)
      רשימת המשתמשים זמינה לכל דרוש. (צילום מסך)