פרצת אבטחה במערכת הזמנת הכרטיסים באתר של רשת בתי קולנוע מוכרת אפשרה לכל דורש לעקוף את מנגנון התשלום, ולהזמין כרטיסים לכל סרט בחינם - כך עולה ממידע שהגיע לידי וואלה! טכנולוגיה. את החולשה זיהו סהר אביטן, מנכ"ל בחברת Kayran, ועדן צרף, CTO בחברת Kayran.
איך זה עבד? בתהליך רכישת הכרטיסים, המשתש יכל לשבש את הערכים במנגנון התשלום באתר ולגרום לו לטעות בחישוב התשלום לכרטיסים, כך שהסך הכל לתשלום יהיה 0 שקלים. לאחר מכן, הכרטיסים כבר מגיעים למייל שהוזן במערכת.
"בשינוי של פרמטר מסוים בשליחת הבקשה לאתר, משתמש יכול לשנות פרמטר מסוים על מנת לנצל את פעולות המערכת לטובתו ועל מנת לגרום לדברים במערכת לעבוד בצורה שונה מאיך שהם אמורים לעבוד בשליחה של ערך תקין", מספר צרף. לדבריו, גרסאות אחרות של אותה המערכת נמצאות גם באתרים נוספים בארץ ובעולם. טרם הפרסום, בחברת Kayran עדכנו את הרשת ומערך הסייבר על החולשה - שנסגרה.
"חברות ובעיקר בתי תוכנה שמפתחות עבור חברות אחרות צריכות להיות יותר קפדניות על בדיקות תקופתיות למבדקי חדירה (Penetration Testing), פגיעויות כאלו עלולות לגרום לחברה להפסד כספי רע ובמקרה הגרוע לדליפות מידע", אומר אביטן.
"הפוטנציאל בחולשה הזאת הוא ענק משום שיכול להיות שהחולשה נוצלה מאות ואף אלפי פעמים על מנת להזמין כרטיסים בחינם, והחברה הפסידה המון כסף. חברות צריכות להפיק לקחים מדיווחים אלו כדי שלהן לא יקרה. תמיד עדיף להיות עם יד על הדופק ולמצוא את החולשה בעצמך לפני התוקף האמיתי".