משתמשי Meetup: אתם חשופים

חברת צ'קמרקס מצאה חולשות בפלטפורמת Meetup. בין היתר, התוקף יכול להפוך למארגן-שותף של המיטאפ ולהשתלט עליו

ארז ילון. צילום: גיא יחיאלי

חברת צ'קמרקס (Checkmarx) חושפת חולשות אבטחה בפלטפורמת Meetup.com, המשמשת עשרות מיליוני משתמשים ברחבי העולם למפגשים מקצועיים. פרצות האבטחה מאפשרות לתוקפים "להשתלט" על ארגון וניהול על ארגון וניהול מיטאפים (מפגשי אונליין ואוף-ליין), להפנות תשלומים שנעשו באתר דרך PayPal לחשבונות שלהם מבלי שהמשתמשים ישימו לב, ועוד.

Meetup.com משרת 49 מיליון חברים רשומים מסביב לעולם ולמעלה מ- 230,000 מארגנים היוצרים בממוצע 15,000 אירועים באופן אישי ביום. (הנתונים לפי TechCrunch) החוקרים של צ'קמרקס מצאו מספר חולשות חמורות באתר, שמאפשרות לתוקף בין היתר, להפוך למארגן-שותף co-organizer של המיטאפ ולהשתלט עליו. באופן כזה הוא מקבל גישה למיילים של כל המשתתפים גם כשמדובר בקבוצה פרטית, יכול לארגן מפגשים, לשנות את הפרטים, כמו מועד, מיקום, ואף לבטל אותם.  

לגנוב כספים: כיוון שחלק מהמפגשים גובים תשלום באמצעות PayPal, החולשות מאפשרות לתוקף לשנות את כתובת חשבון ה-PayPal המקורית לכתובת שלו, וכך לנתב אליו את כל המימון מהמשתתפים מבלי שהם שמו לב. הפעולות הללו התאפשרו הודות לחולשות נפוצות מסוג  XSS ו-CSRF שמצאו החוקרים.

במתקפת Cross-Site Scripting או XSS "מוזרקים" קודים זדוניים לאתרים מהימנים. התקפות XSS מתרחשות כאשר תוקף משתמש ביישום אינטרנט כדי לשלוח קוד זדוני, בדרך כלל בצורה של סקריפט בצד הדפדפן, למשתמש קצה אחר. תוקף יכול להשתמש ב- XSS בכדי לשלוח סקריפט זדוני למשתמש התמים, מבלי שיידע על כך תוך שהוא חושב שזה הגיע ממקור מהימן. 

כך הסקריפט הזדוני יכול לגשת לכל קובצי Cookie, session tokens או מידע רגיש אחר שנשמר על ידי הדפדפן ומשמש לפעילות באתר זה. סקריפטים אלה יכולים אפילו לכתוב מחדש את תוכן עמוד ה-HTML. מתקפת Cross-Site Request Forgery או CSRF, מאלצת את משתמשי הקצה לבצע פעולות לא רצויות באפליקציית רשת שבה הם מאומתים באותו זמן. 

בעזרת הנדסה חברתית (כגון שליחת קישור באימייל או בצ'אט), תוקף יכול להערים על המשתמשים באפליקציית הרשת לבצע פעולות לפי בחירתו. אם הקורבן הוא משתמש רגיל, מתקפת CSRF מוצלחת יכולה להכריח את המשתמש לבצע דרישות משתנות כמו העברת כספים, שינוי כתובת הדוא"ל שלו וכו'. אם הקורבן הוא חשבון מנהל (אדמין), מתקפה כזו עלולה לסכן את אפליקציית הרשת כולה. 

החוקרים גילו גם פרצת אבטחה בממשק ה-API באתר, דרכה ניתן לקבל את רשימת כתובות הדואר האלקטרוני של כל משתתפי המפגשים בקבוצות השונות. צ'קמרקס פנתה למנהלי האתר ופרצת האבטחה תוקנה. "Meetup מתייחסת ברצינות רבה לדיווחים על אבטחת המידע שלה ומעריכה את עבודתה של צ'קמרקס בהבאת הנושאים הללו לידיעתנו לצורך בדיקה ומעקב", נמסר מהרשת החברתית.

לדברי ארז ילון, ראש צוות המחקר בצ'קמרקס, "בזמן שחברות וארגונים מסתמכים יותר ויותר על תקשורת וכנסים וירטואליים כדי להישאר מחוברים לעובדים, לקוחות ושותפים, בפלטפורמות האלה עוברות כמויות מידע גדולות מאי פעם, כך שחולשת האבטחה שנחשפה עלולה הייתה לסכן מידע רגיש, הרשאות וכספים. המחקר הוא חלק מהמאמצים המתמשכים של מחלקת המחקר בצ'קמרקס ליזום ולבצע את השינויים הנדרשים באבטחת התוכנה בקרב ארגונים ברחבי העולם".

פתרונות של בדיקות תוכנה סטטית (SAST) חיוניים בסיוע לארגונים לאתר חולשות אבטחה הנגרמות על ידי קוד, כגון בעיות XSS ו-CSRF שנמצאות ב-Meetup.com, ומתן תובנות שיובילו לתיקון.

מצ"ב הבלוג המלא, סרטון המדגים את הפרצה (לינק).