וואלה
וואלה
וואלה
וואלה

וואלה האתר המוביל בישראל - עדכונים מסביב לשעון

תקלה חמורה באפליקציית מקס מציגה פרטים של לקוחות אחרים

עודכן לאחרונה: 1.2.2023 / 10:16

לקוחות בחברת האשראי מקס? תבדקו את האפליקציה: תקלה חמורה שמתרחשת בשעות האחרונות מציגה בשגגה פרטים אישיים וחיובים של לקוחות אחרים. מומחה סייבר: "מקרה מצער שחושף מידע רגיש על כלל הלקוחות". תגובת מקס: "הבאג הופיע אצל לקוחות בודדים לזמן קצר בלבד ותוקן"

החיוב באפליקציה של MAX. צילום מסך,
כך זה נראה. ולא, לבעלים של הכרטיס לא קוראים אליאב וזה לא החיוב שלו/צילום מסך

תקלה חמורה שהתרחשה הערב (שלישי) באפליקציה של חברת האשראי מקס, הציגה ללקוחות פרטי חיובים ופרטים אישיים לקוחות אחרים - כך לפי דיווחים שהגיעו לידי וואלה! טכנולוגיה. "בכל כניסה לאפליקציה קיבלתי פרטים של משתמש אחר, הכל", מספרת יפעת, לקוחה של חברת מקס.

"זה מאוד מלחיץ לגלות שאתה נכנס לאפליקציה שאמורה להיות מאובטחת (במקרה שלי בטביעת אצבע) ולא רק שהיא פרוצה אלא בכל פעם מהפעמים שנכנסתי הופיעו שמות, סכומים, פירוט כרטיסים בחשבון, כתובת מייל וטלפון של אנשים אחרים", הוסיפה יפעת. "נכנסתי לאפליקציה ופתאום ראיתי משהו אחר - חיוב שהוא לא שלי. ואז ראיתי שהשם לא נכון", מספר לקוח אחר.

החיוב באתר מקס. צילום מסך,
החיוב באתר מקס/צילום מסך
החיוב באתר מקס. צילום מסך,
החיוב באתר מקס/צילום מסך

סהר אביטן, המנכ"ל והבעלים של חברת קייראן, מסביר בשיחה עם וואלה! טכנולוגיה כי "טעות בקוד היא נפוצה ואפילו לגיטימית - במידה ועולים עלייה לפני שחרור גרסה לפרודקשן, בסופו של דבר בתוך אלפי ומליוני שורות קוד קל מאוד לפספס או לא לשים לב לפרטים הקטנים, לפי איך שזה נראה MAX היו לחוצים לשחרר גירסה או תיקון מהיר ולא טרחו לבצע בדיקות (QA) כמו שצריך, מקרה מצער שחושף מידע רגיש על כלל הלקוחות".

"לפני שחרור גרסה חדשה או שינוי באפליקציה רצוי ואף מומלץ לבצע בדיקת QA שתמנע חשיפת מידע לא רצוי לגורמים שלא אמורים להיחשף למידע, מידע זה יכול לשמש לרעה גורמים אשר יכולים לנצל את הבאג הזה כדי לבצע פעולות לא מורשות או להיחשף למידע פיננסי לא שלהם", מוסיף חוקר מודיעין הסייבר תום מלכה.

נדב אביטל, ראש קבוצת המחקר בחברת אימפרבה: "ככל הנראה מדובר בחולשה שהתגלתה ב-API, ממשק תכנות יישומים של האפליקציה, והיא אפשרה גישה לקבלת מידע אישי על המשתמשים ללא הרשאה. מדובר באחת מהבעיות הכי נפוצות בעולמות אלו ומבדיקה שנערכה במהלך השנה האחרונה עולה כי ישנו גידול של 300% בהתקפות על ממשקי API. כמו כן, ישנו גם גידול משמעותי בשימוש בממשקים אלו ותעבורת הרשת של APIs מהווה 40% מכלל תעבורת הרשת האפליקטיבית, המסמנת גידול של 100% לעומת שנת 2021. עקב כך, כל חברה שמתבססת על ממשקי API ומפתחת אפליקציית מובייל, עליה לספק דרך טובה לנטר, לעקוב ולהגן על נתונים רגישים".

די, שילמתם מספיק

4 מנויים ב-100 שקלים וגם חודש חינם! וואלה מובייל חוסכת המון

לכתבה המלאה

מחברת האשראי מקס נמסר בתגובה:

"לצערנו מדובר בבאג טכני שקשור לעדכון גרסה של האפליקציה. הבאג הופיע אצל לקוחות בודדים לזמן קצר בלבד ותוקן באופן מיידי".

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    2
    walla_ssr_page_has_been_loaded_successfully