תקלה חמורה שהתרחשה הערב (שלישי) באפליקציה של חברת האשראי מקס, הציגה ללקוחות פרטי חיובים ופרטים אישיים לקוחות אחרים - כך לפי דיווחים שהגיעו לידי וואלה! טכנולוגיה. "בכל כניסה לאפליקציה קיבלתי פרטים של משתמש אחר, הכל", מספרת יפעת, לקוחה של חברת מקס.
"זה מאוד מלחיץ לגלות שאתה נכנס לאפליקציה שאמורה להיות מאובטחת (במקרה שלי בטביעת אצבע) ולא רק שהיא פרוצה אלא בכל פעם מהפעמים שנכנסתי הופיעו שמות, סכומים, פירוט כרטיסים בחשבון, כתובת מייל וטלפון של אנשים אחרים", הוסיפה יפעת. "נכנסתי לאפליקציה ופתאום ראיתי משהו אחר - חיוב שהוא לא שלי. ואז ראיתי שהשם לא נכון", מספר לקוח אחר.
סהר אביטן, המנכ"ל והבעלים של חברת קייראן, מסביר בשיחה עם וואלה! טכנולוגיה כי "טעות בקוד היא נפוצה ואפילו לגיטימית - במידה ועולים עלייה לפני שחרור גרסה לפרודקשן, בסופו של דבר בתוך אלפי ומליוני שורות קוד קל מאוד לפספס או לא לשים לב לפרטים הקטנים, לפי איך שזה נראה MAX היו לחוצים לשחרר גירסה או תיקון מהיר ולא טרחו לבצע בדיקות (QA) כמו שצריך, מקרה מצער שחושף מידע רגיש על כלל הלקוחות".
"לפני שחרור גרסה חדשה או שינוי באפליקציה רצוי ואף מומלץ לבצע בדיקת QA שתמנע חשיפת מידע לא רצוי לגורמים שלא אמורים להיחשף למידע, מידע זה יכול לשמש לרעה גורמים אשר יכולים לנצל את הבאג הזה כדי לבצע פעולות לא מורשות או להיחשף למידע פיננסי לא שלהם", מוסיף חוקר מודיעין הסייבר תום מלכה.
נדב אביטל, ראש קבוצת המחקר בחברת אימפרבה: "ככל הנראה מדובר בחולשה שהתגלתה ב-API, ממשק תכנות יישומים של האפליקציה, והיא אפשרה גישה לקבלת מידע אישי על המשתמשים ללא הרשאה. מדובר באחת מהבעיות הכי נפוצות בעולמות אלו ומבדיקה שנערכה במהלך השנה האחרונה עולה כי ישנו גידול של 300% בהתקפות על ממשקי API. כמו כן, ישנו גם גידול משמעותי בשימוש בממשקים אלו ותעבורת הרשת של APIs מהווה 40% מכלל תעבורת הרשת האפליקטיבית, המסמנת גידול של 100% לעומת שנת 2021. עקב כך, כל חברה שמתבססת על ממשקי API ומפתחת אפליקציית מובייל, עליה לספק דרך טובה לנטר, לעקוב ולהגן על נתונים רגישים".
מחברת האשראי מקס נמסר בתגובה:
"לצערנו מדובר בבאג טכני שקשור לעדכון גרסה של האפליקציה. הבאג הופיע אצל לקוחות בודדים לזמן קצר בלבד ותוקן באופן מיידי".