פרצת אבטחה חמורה באתר בזק בינלאומי אפשרה גישה לחשבוניות הדיגיטלית ולאזור האישי של לקוחות החברה. מדובר בחולשה שאפשרה לכל מי שברשותו פרטים מזהים לצפות במידע רגיש – כמו שמות, כתובות ומספרי תעודות זהות. בנוסף, ניתן היה אף לגשת לשירות האחסון בענן של כל לקוח בזק בינלאומי, לחדור אל חשבונות דואר אלקטרוני, וגם לקבל את מספר 014 המאפשר לחייג לחו"ל.
שחר, בן 16 ממרכז הארץ שחשף את הפרצה, ציין כי כל מה שעליו היה לעשות הוא להקיש על 6 ספרות במקלדת. "עזרתי לדוד שלי לצפות בחשבונית החודשית שלו בבזק בינלאומי", הוא מספר בשיחה עם "ישראל היום". "לאחר שהתחברתי אליו למחשב מרחוק, האתר ביקש אימות קוד במייל. המתנו מספר דקות ומתוך סקרנות ויאוש וכשלא קיבלנו שום קוד החלטתי להכניס סתם קוד ולראות אם זה יעבוד – וזה עבד".
>> עוד עדכוני טכנולוגיה גם בעמוד האינסטגרם
"לא האמנתי שזה כך ולכן היום התחברתי לחשבון של דוד שלי, בהסכמתו, כדי לבדוק את הדברים שוב. גם הפעם ביקשתי איפוס סיסמה והפעם גם הגיע אלי אפשרות איפוס סיסמה. אלא שאני לא הקשתי את המספר ששלחו אל המייל שלי – כתובת שהוגדרה ככתובת לאיפוס הסיסמה – אלא סתם כתבתי צירוף מספרים וזה פשוט נכנס לחשבון", הוא מוסיף.
חברת אבטחה: ניתן להשתלט על כל חשבון בבזק בינלאומי
בבדיקה שערכנו עם חברת אבטחה פרטית הסתבר כי אכן מדובר בפריצה לכל דבר ועניין. "ברגע שיש לי מייל ומספר זהות שזה דבר מאוד קל להשגה, אפשר פשוט להקיש מספר סלולרי אחר ואז לקבל סמס ולאפס את החשבון ולמעשה להשתלט עליו", מסביר עידו נאור מנכ"ל חברת Security Joes.
"הודעת SMS לא אמורה להישלח למכשיר שאינו מוגדר, אך ישנה בעיה נוספת – אין בדיקה על הסיסמה החד-פעמית שנשלחת למכשיר", מוסיף נאור. "תוקף בעצם יזין 6 ספרות רנדומליות, למשל 123456, והמנגנון יאשר את שינוי המספר הקיים (של הקורבן) למספר החדש (של התוקף)".
מבזק בינלאומי נמסר בתגובה: "הכניסה לאזור האישי באתר נעשית באמצעות הזנת שני פרטים מזהים של הלקוח. לאחר הזיהוי, כחלק משיפור השירות, אפשרנו ללקוחות לעדכן את מספר הטלפון באתר לאחר קבלת קוד אישי לטלפון. בתהליך העדכון אותרה בעיה זמנית, והיא תוקנה מיידית".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו