כשל אבטחה באתר buyme אפשר לתוקף להשתלט על מתנות שרכשו אחרים
חוקרי סייבר מחברת White-Hat דיווחו על הכשל למערך הסייבר, שיחד עם החברה תיקנו את הכשל
עמי רוחקס דומבה
| 10/11/2020
חברת הסייבר White-Hat גילתה כשל באתר חברת buyme.co.il שדווח למערך הסייבר ותוקן על ידי החברה. על מציאת הכשל אחראים חוקרים ישראלים בשם חי וקנין ואלון אליאסף. אתר buyme מאפשר לאנשים פרטיים או מעסיקים לרכוש תווי מתנה אלקטרוניים למגוון הטבות.
"בעת התחברות כמשתמש באתר, ניתן לגשת לעמוד "מתנות שלי" ולבחור באפשרות "שיוך מתנות", השיוך מתבצע ע"י הזנת מספר טלפון נייד ואימות של המספר באמצעות OTP הנשלח ב-SMS למספר החדש אותו אנו רוצים לשייך", כותבים החוקרים. "בעת שיוך המספר החדש, המערכת מבקשת להזין את ה-OTP שהתקבל, שם גילינו מספר דברים מעניינים.
"הבנו שניתן לבצע מתקפת ניחוש אוטומטית על קוד האימות, עד לשיוך מוצלח של המספר החדש לחשבון שלנו. בעת שיוך המספר החדש מתווספות גם המתנות שמקושרות לאותו מספר (במידה ויש)."
לאחר שהצליחו לנחש בהצלחה את קוד האימות, המספר החדש התווסף לחשבון שלהם ואיתו כל המתנות המקושרות לאותו מספר. "יכולנו גם לנתק רק את המספר מהחשבון שלנו ולהשאיר את המתנות אצלנו וכך לבצע השתלטות מלאה על המתנות", אומרים החוקרים.
מ-BUYME נמסר: "אבטחת המידע והסייבר הם בעלי חשיבות עליונה ב-BUYME ואנו משקיעים רבות על מנת להמשיך ולהשתפר בעולם המשתנה של תחום הסייבר. BUYME מעסיקה חברה חיצונית, מהמובילות בארץ, לניטור שוטף של הפעילות ועל פי בדיקתנו לא נחשפו פרטים של לקוחות ולא נגרם נזק. אנחנו מודים לגורמים שגילו את שיפורי האבטחה הנדרשים ועזרו לנו לשפר את תחום אבטחת המידע בחברה.״
חוקרי סייבר מחברת White-Hat דיווחו על הכשל למערך הסייבר, שיחד עם החברה תיקנו את הכשל
חברת הסייבר White-Hat גילתה כשל באתר חברת buyme.co.il שדווח למערך הסייבר ותוקן על ידי החברה. על מציאת הכשל אחראים חוקרים ישראלים בשם חי וקנין ואלון אליאסף. אתר buyme מאפשר לאנשים פרטיים או מעסיקים לרכוש תווי מתנה אלקטרוניים למגוון הטבות.
"בעת התחברות כמשתמש באתר, ניתן לגשת לעמוד "מתנות שלי" ולבחור באפשרות "שיוך מתנות", השיוך מתבצע ע"י הזנת מספר טלפון נייד ואימות של המספר באמצעות OTP הנשלח ב-SMS למספר החדש אותו אנו רוצים לשייך", כותבים החוקרים. "בעת שיוך המספר החדש, המערכת מבקשת להזין את ה-OTP שהתקבל, שם גילינו מספר דברים מעניינים.
"הבנו שניתן לבצע מתקפת ניחוש אוטומטית על קוד האימות, עד לשיוך מוצלח של המספר החדש לחשבון שלנו. בעת שיוך המספר החדש מתווספות גם המתנות שמקושרות לאותו מספר (במידה ויש)."
לאחר שהצליחו לנחש בהצלחה את קוד האימות, המספר החדש התווסף לחשבון שלהם ואיתו כל המתנות המקושרות לאותו מספר. "יכולנו גם לנתק רק את המספר מהחשבון שלנו ולהשאיר את המתנות אצלנו וכך לבצע השתלטות מלאה על המתנות", אומרים החוקרים.
מ-BUYME נמסר: "אבטחת המידע והסייבר הם בעלי חשיבות עליונה ב-BUYME ואנו משקיעים רבות על מנת להמשיך ולהשתפר בעולם המשתנה של תחום הסייבר. BUYME מעסיקה חברה חיצונית, מהמובילות בארץ, לניטור שוטף של הפעילות ועל פי בדיקתנו לא נחשפו פרטים של לקוחות ולא נגרם נזק. אנחנו מודים לגורמים שגילו את שיפורי האבטחה הנדרשים ועזרו לנו לשפר את תחום אבטחת המידע בחברה.״