חברת האבטחה הישראלית Dos-Op חושפת פרצה משמעותית בפלטפורמת Base44, שנרכשה לאחרונה על ידי Wix, אשר העמידה אלפי אתרים ומשתמשים בסכנת השתלטות וחשיפת מידע רגיש. לפי ממצאי המחקר, מנגנוני האימות וההרשאות במערכת אפשרו מתקפות NoSQL Injection - חולשה שאיפשרה לתוקפים לעקוף את ההגנות, להיכנס לחשבונות משתמשים ולשלוט בהם, ואף לקבל גישה לנתוני ניהול. בבדיקות שנעשו התגלו למעלה מ-200 אפליקציות פגיעות, כאשר החוקרים מבהירים כי מדובר בכשל ארכיטקטוני בפלטפורמה עצמה ולא בבעיה מקומית של לקוח מסוים. ההשלכות למשתמשים חמורות: גניבת זהות דיגיטלית, גישה למידע אישי וארגוני וחשיפה רוחבית של נתונים.
חברת האבטחה הישראלית Dos-Op חשפה פרצת אבטחה בפלטפורמת Base44, שנרכשה לאחרונה על ידי Wix. החולשה אפשרה לתוקפים לעקוף את מנגנוני ההגנה של המערכת, להשתלט על חשבונות משתמשים ולחשוף מידע רגיש של אלפי אתרים שנבנו על בסיס הפלטפורמה.
לפי ממצאי החברה, מנגנוני האימות וההרשאות ב-Base44 היו פגיעים למתקפה מסוג NoSQL Injection - טכניקה שבאמצעותה ניתן להזריק שאילתות זדוניות למסד הנתונים. המשמעות עבור המשתמשים הייתה אפשרות לכניסה לחשבונות אישיים ללא הרשאה, צפייה במידע פרטי וביצוע פעולות בשמם. בבדיקה שנעשתה נמצאו יותר מ-200 אפליקציות פגיעות, והחוקרים מבהירים כי מדובר בכשל במבנה הפלטפורמה עצמה ולא בטעות של לקוח מסוים.
ב-Dos-Op מציינים כי ההתקפה אפשרית גם באמצעות שינוי פשוט בבקשות HTTP, דבר שהקל על ניצול החולשה. "כאשר מנגנוני אבטחה קריטיים מבוססים על קוד בצד לקוח בלבד, נוצר סיכון רחב שקל לנצל", אמר צוות המחקר. הם ממליצים למשתמשים לוודא שהאפליקציות שלהם עודכנו, להחליף סיסמאות ולבחון שימוש באמצעי אבטחה נוספים כמו אימות דו שלבי.
לאחר גילוי הפרצה פנתה Dos-Op אל Base44 ב-22 באוגוסט, ושלושה ימים לאחר מכן פרסמה החברה עדכון שסגר את החולשה. בתגובתה הרשמית טענה Base44 כי מקור הבעיה הוא בהגדרות לקוח שגויות ולא בתקלה במערכת עצמה. עם זאת, החוקרים מציינים כי גם לאחר פרסום התיקון נותרו דפי ניהול נגישים.
Base44 הוקמה בינואר 2025 על ידי היזם מאור שלמה, והיא מציעה פלטפורמה לפיתוח אפליקציות בינה מלאכותית ללא צורך בכתיבת קוד. בתוך חצי שנה בלבד צברה החברה מעל 100 אלף משתמשים והגיעה לרווחיות, וביוני האחרון נרכשה על ידי Wix בעסקה בהיקף של כ-80 מיליון דולר.