Jan 28, 2021

פרטים אישיים של מאות אלפי אזרחים חשופים בעקבות מחדל אבטחה באתר טיב טעם

תקציר

לאחרונה אנו רואים עליה חדה במקרים הנובעים מרשלנות של אבטחת מידע והגנה על מאגרי לקוחות. חברות גדולות לא מבינות את גודל החשיבות של הגנה על פרטי הלקוחות שלהם. היום זה אני - בכובע ה'טוב' ומחר (או אתמול) זה מישהו אחר בכובע ה'רע', שמנצל הזדמנויות.

גילוי חולשה באתר של רשת שיווק מזון אחת הגדולות בארץ "טיב טעם" מאפשרת להשיג מידע מלא על כל לקוחות החברה (חברי מועדון) אשר מצטרפים לשירות דרך הסניפים, קופאיות והרשמה אונליין. מדובר בפונטציאל חשיפה חמור מאוד אשר מעמיד במאות אלפי לקוחות בישראל בסיכון.

לא נדרש שום כלי מיוחד על מנת לחשוף פרטים אודות לקוחות חברי המועדון. רק דפדפן וניסוי וטעייה - והמידע נחשף: שם מלא, תעודת זהות, טלפון נייד, דוא"ל, מין, תאריך לידה וכתובת מגורים.

בהמשך אפרט כיצד ומהן הפעולות הנדרשות.

תהליך הרשמה

הצטרפות למועדון טיב טעם החדש - הזנת פרטים אישיים

- השלמת תהליך הצטרפות לחבר מועדון + ביצוע רישום לאתר

- קבלת מספר חבר מועדון ותאריך תפוגה יחד עם פרטיי האישיים.

במקביל להצגת ההודעה על השלמת התהליך קיבלתי מסרון עם קישור לאישור תנאי המועדון.

אם נתמקד בקישור המצורף נבחין כי הוא מכיל 2 פרמטרים עיקריים: p1 - מספר חבר מועדון שקיבלתי p2 - מספר הטלפון שהוזן ברישום

חשיפת המידע

לחיצה על הקישור המצורף מובילה אותי לעמוד שמכיל את כל הפרטים מההרשמה.

בשלב זה שמתי לב שאם משנים את הערכים של הפרמטר p2 (מספר הטלפון) לערכים שהם אינם מספרים, התוכן של העמוד כלל לא משתנה - משמע פרמטר זה אינו נחוץ לצורך הצגת מידע, אין ולידציה מלאה לנתון (קיים רק למספרים?) אל מול שאר הפרמטרים ו\או מול מסד נתונים מאחורי הקלעים.

ביצעתי תחקור לפרמטרים השונים וגיליתי שביכולתי לחשוף את פרטיהם של לקוחות אחרים, פרטים כגון: שם מלא, תעודת זהות, טלפון נייד, דוא"ל, מין, תאריך לידה וכתובת מגורים.

התוצאות לפניכם:

לקוח נוסף:

ועוד אלפי לקוחות, כמה פשוט..

פוטנציאל ניצול המידע

בעזרת כתיבת סקריפט קוד קצר באפשרותי לשלוף את כל מסד הנתונים במהירות רבה - מה שמציב פונטציאל חשיפה חמור מאוד - מדובר במאות אלפי לקוחות בישראל של רשת השיווק מזון "טיב טעם".

כיום, כל לקוח שנרשם למועדון הלקוחות של טיב טעם בכל ערוץ התקשרות (סניפים \ קופאיות \ אתר אינטרנט) נכנס לאותו מסד נתונים.

מספר חבר מועדון הוא מספר רץ, ומסתמן שישנה חלוקה לפי איזורים \ סניפים, למשל שמתי לב שמספר שמתחיל ב-55 זה בעיקר לקוחות מהעיר באר שבע.

מימוש שכזה של ידיים זדוניות יכול להוביל ל:

ביצוע הונאות כמו בעזרת פישינג ממוקד (Spear Phishing) - שליחת סמסים \ מיילים "מטעם רשת השיווק" אשר מציעה הטבות ופינוקים בצירוף קישור זדוני שמבקש פרטי אשראי, או מבצע פעולות אחרות
יכולת לשנות את פרטי הלקוח (כפי שניתן לראות בתמונות) ולנצל זכויות שאחרים צברו (נקודות מועדון וכד')
איסוף מידע ויצירת העתק למאגר הקיים

אפילו ניתן לומר שזה מרשם אוכלוסין קטן לכל דבר שנחשף ולא נשמר כראוי.

דיווח לסגירת החולשה

ביצעתי פנייה בדוא"ל שמפורסם בדף צור קשר באתר שלהם, כתובת גנרית hello@tivtaam.co.il

על אף החיפושים שביצעתי לאיתור כתובת מייל לתמיכה או לגורמים מוסמכים יותר בטיב טעם (כמו כתובת לדיווח על סוגיות אבטחת מידע ותקלות). חבל שלא קיימת כזו. במקביל דווח למערך הסייבר הלאומי בערוצים המקובלים.

הפנייה נענתה לאחר מספר שעות והם פעלו לתיקון הממצא. התקבל אישור סופי מטיב טעם+מערך הסייבר הלאומי שטופל ותקין.

סוף טוב הכל טוב, כל שנותר לקוות שלקוחות ירגישו שהפרטים שלהם שמורים היטב אצל מחזיקי המידע.

2 comentários

SecHive1

29 de jan. de 2021

שלום הדס,

1. פניה למערך הסייבר הלאומי התבצעה מיד לאחר גילוי התקלה.

2. המייל ששלחתי לכתובת שפורסמה באתר נענה בתוך מס' שעות. אם היה נדרש גם הייתי מתקשר או מחפש דרכים אחרות להגיע לבעלי העניין.

3. איפשרתי לארגון את כל הזמן הנדרש בכדי לתקן את הבעיה. הייתי בקשר עם המנהל מערכות מידע ועודכנתי שהבעיה טופלה, וגם אישור בכתב מטעם מערך הסייבר שהכל טופל.

4. בעניין היח"צ - זכות הציבור לדעת שפרטיהם היו חשופים, ופרסום המקרה יכול בהחלט למנוע מחדל נוסף ולהביא לידיעה לארגונים נוספים שיש להגן על המידע האישי של כולנו בצורה נאמנה ומקצועית.

Curtir

Hadas Shany

מתי פנית למערך הסייבר בנושא הזה? למה לא ניסית לאתר את מנהל אבטחת המידע של הארגון בלינקדין? כמה זמן איפשרת לארגון לתקן את התקלה בטרם עשית לעצמך מסע יח"צ שכזה?