פרצת אבטחה בשורת אתרי מסחר מקוונים

המילה החמה ביותר בעולם האינטרנט היא "אבטחה". כולם מדברים עליה, וטורחים להודיע לנו עד כמה הם משקיעים בתחום, אבל מסתבר שהמצב עדיין רחוק מלהיות מרגיע. פרצת אבטחה חדשה במערכת ה"חנות המקוונת" שבשימוש אתרים רבים, חושפת את פרטי לקוחות האתרים ואת מספרי כרטיסי האשראי שלהם. את הפירצה חשף בפני חיים ברשת מתכנת ישראלי צעיר העונה לכינוי 20Lives.

מערכת הניהול המשותפת לאתרים החשופים, הנקראת LiveShop (השייכת לחברת LiveDNS הישראלית), משרתת חנויות מקוונות רבות בישראל בסדר גודל קטן עד בינוני. לדברי LiveDNS, המערכת מתפעלת כ-500 אתרים בארץ, החולשים יחד על נתח של כ-40% משוק אתרי המסחר האלקטרוני בישראל.

זו הפעם השניה שמתגלה פרצת אבטחה במערכת זו. גם בפרצה הקודמת, עליה דיווחנו בנובמבר 2004, עמדו בסכנה נתונים רגישים ביותר של עשרות אלפי לקוחות שרכשו מוצרים דרך חנויות הפועלות על מערכת LiveShop.

מבין האתרים הפועלים על המערכת ושעמדו חשופים לפירצה האחרונה, ניתן למצוא, בין היתר, את אתר רשת חנויות המחשבים אייבורי, אתר החנות YardenPC, אתר One Stop Shop ו-PC Now, אתר פרסי, Video.org.il ועוד רבים אחרים.

לא ידוע אם חור אבטחה זה נוצל לרעה על ידי האקרים והאם נעשה שימוש בנתונים שהיו חשופים באתרים.

סכנה לגניבת זהויות

פורץ שהיה מנצל את הכשל היה נחשף למסך הבא, המכיל פרטים רגישים של לקוחות החנות:

הפרצה שחשפה נתונים אלו התגלתה במנגנון במערכת האמור להיות נגיש למנהלים בלבד, אולם למעשה הוא היה פרוץ ונגיש לכל. ניצול זדוני של כשל זה מאפשר לכל מי שמעוניין בכך להעלות קבצים לשרת האתר. פורץ מיומן מסוגל היה להעלות לשרת קובץ המכיל פקודות (סקריפט), שמאפשר לו לצפות בכל הנתונים הרגישים של האתר, ביניהם פרטי הלקוחות ומספרי כרטיסי האשראי שלהם, ופרטים מלאים על היקף העסקים והמכירות של כל חנות.

"הבעיה לא מתמצית בכך שניתן למשוך מהאתרים מידע רגיש" מסביר עופר אלזם, מומחה אבטחה בחברת אלאדין, שבדק את הפירצה עבור מערכת חיים ברשת. "פורץ מתוחכם יותר יכול להעלות למערכת האתר קבצים מזיקים, כדוגמת סוסים טרויאנים או רוגלות, ובכך להדביק את הגולשים". אלזאם אישר את קיום הפרצה והגדיר אותה כ"חמורה".

"מעבר לכך", מוסיף אלזם, "ניתן לבצע בדרך זו הונאת פישניג, שהיא אפילו חמורה, מתוחכמת וקשה יותר להבחנה מאשר גניבת כרטיסי אשראי נקודתית. הפרטים שנחשפו כוללים לא רק מספרים של כרטיסי אשראי, אלא גם סיסמאות, ההיסטוריה הצרכנית של הלקוחות ופרטים אחרים. באמצעות מידע זה ניתן לבצע גניבת זהות של ממש".

תגובות

מחברת LiveDNS נמסרה התגובה הבאה: "נראה כי הרדיפה המגמתית של פורטל נענע כנגד החברה נובעת משיקולים כלכליים בלבד שבאים לידי ביטוי בהקטנת נתח השוק של נענע שופס בשוק המסחר האלקטרוני בישראל".

עוד הוסיפו כי :"מומחי האבטחה בחברה בדקו את הנושא ומצאו כי לא הייתה כל פגיעה במערכות של הלקוחות וכמובן שלא נגרם כל נזק לאתרים או ללקוחותיהם. מייד כשנודע לנו על נסיונות הפריצה לאתרים בודדים ביצענו את כל הפעולות המתבקשות על מנת למנוע את האפשרות לנסיונות פריצה נוספים באופן מוחלט".

בחברה סירבו להתייחס לכך שמדובר בכשל גורף במוצר, ולא בניסיונות פריצה מפוזרים ובחרו לטרוק את הטלפון (לאחר פירסום הכתבה החליטו בחברה להגיב באופן מקורי במיוחד).

מנכ"ל אייבורי, אייל דרוקמן, אמר בתגובה: "יצרנו קשר עם LiveDNS, הם אמרו שבאמת יש פרצה קטנה ובעקבות הדיווח סגרו אותה ועכשיו הכל בסדר".

מחברת YerdenPC נמסר :"יש לנו מעט מאד פעילות של כרטיסי אשראי. הלקוחות מבצעים את רוב הקניות שלהם דרך החנות הפיסית, כשהאתר מספק להם את המידע בלבד".

עדי שיפר, אחראי אתר One Stop Shop, הגיב: "אנחנו מודעים לחומרת הבעיה. הפרצה נסגרה חמש דקות לאחר הדיווח".

מאתר Video.org.il נמסר: "חברת 'רואים עולם', מפעילת האתר, משקיעה את מיטב המשאבים באבטחת מידע ושמירה על פרטי לקוחותיה, זאת בצד שירות לקוחות יעיל ואדיב. פרטי הלקוחות ופרטי העיסקאות מוגנות על ידי מערכות האבטחה הטובות בשוק על מנת למנוע פגיעה בלקוחות ובחברה. אנו רואים את אתר המסחר האלקטרוני כאחת התשתיות החשובות לקיום הפעילות ושירות הלקוחות ומתחייבים להשקיע באבטחת המידע את כל המשאבים הנדרשים".

מחברת PC Now נמסר :"דיברנו עם החבר'ה ב-LiveDNS, והם הודו שבמשך פרק זמן מסויים היתה קיימת הפרצה, שתוקנה בינתיים".

לא ניתן היה להשיג את תגובת מנהלי אתר פרסי.

גילוי נאות: חברת נטוויז'ן, מפעילת אתר הקניות נענע שופס, מפעילה גם את אתר נענע