חוקרי סייבר בחברת Salt Security גילו פרצת אבטחה באתר הזמנת חופשות מהגדולים בעולם, שסיכנה מזמיני טיסות, רכבים שכורים ומלונות וחשפה אותם לאפשרות של גניבת זהות, שימוש בחשבונם להזמנת חופשות נוספות, ביטול הזמנות קיימות ופגיעה בפרטיותם. בעקבות המקרה, ראיינו את יניב בלמס, סמנכ"ל מחקר בחברת Salt Security.
"זה לא משהו בשוליים, מדובר בחברה ענקית שמספקת את השירות. אנחנו מנועים מלהגיד את השמות שלהם, מדובר בכמה מחברות התעופה הגדולות בעולם ולא מעט מהן, אפשר להגיד כתריסר. אנחנו מצאנו פגיעות שתוקנו, הם אמרו שהם לא הצליחו לראות שמישהו ניצל את זה, כנראה שמצאנו את זה בזמן", מסביר בלמס.
"מה שמצאנו זה דבר כזה – דמיינו שאתם מזמינים כרטיסי טיסה ותוך כדי שאתם באתר שלהם, חברת התעופה מציעה שירותים נוספים, כמו הזמנת מלון, רכב ושירותים נוספים להוספה, ישירות דרך חברת התעופה. כמשתמש, אתה עובד מול האתר של חברת התעופה, אבל בפועל, הם משתמשים בשירות של חברת צד שלישי מאחורי הקלעים.
"המשתמש לא מרגיש את זה, אבל זה קורה. אם מישהו רוצה לתקוף, כל מה שהוא צריך לעשות, בדרך מסוימת, זה קישור לאתר של חברת התעופה וברגע שהלקוח לוחץ על הקישור, התוקף יקבל גישה מלאה לחשבון באתר של חברת הנסיעות והוא חשוף לפרטיו של הנוסע. זה יכול להגיע גם לנקודות הנוסע המתמיד של המשתמש ואף להשתמש בהן", מוסיף סמנכ"ל המחקר בחברה.
"כדי להיות מדויקים מבחינה טכנית, חברות התעופה לא עשו שום דבר לא בסדר, הן מאוד מאובטחות, החולשה הייתה של הספק שהעניק שירותים לחברות התעופה. אנחנו מצאנו פרצה שהיא קצה קרחון, אבל בעצם מדובר בתופעה מאוד מקובלת. כולם מספקים שירותים ואם משהו חסר לי, אני משתמש בשירותים של מישהו אחר, זה נפוץ ומקובל, אבל מספיק שאחד הגורמים בשרשרת הזו לא אבטח כמו שצריך, זה יכול להיות בעיה. החברות צריכות לאבטח ברמה הגבוהה ביותר".
איך אפשר להימנע מזה כלקוח?
יניב בלמס מסביר: "תהיו מאוד חשדנים כשמדובר בקישורים ממקורות לא אמינים. כדי להבין שיש חולשה, צריך מומחה אבטחה ורוב האנשים הם לא, לכן מומלץ שלא ללחוץ על קישורים שלא מכירים. לצערי, למשתמש הפשוט אין עוד המלצות שהייתי יכול לתת לו כדי להגן על עצמו במקרה הזה, אבל זאת המלצת זהב שיכולה לחסוך הרבה אי נעימויות".
המחקר בוצע על ידי עמית אלבירט חוקר אבטחה בחברת Salt Security.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו