בואו לגלות את עמוד הכתבה החדש שלנו
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

אייפון חדש בשקל אחד: איך זה ששיטה של האקרים מהניינטיז עוד עובדת?

בשחר אתרי הסחר המקוון אפשר היה "לעבוד" על חנויות ולרכוש בקלות מוצרים יקרים בהנחה אדירה. דומה היה שכולם כבר למודי ניסיון - אך כמה דוגמאות עכשוויות מראות שזה אינו בדיוק המצב

תגובות
קניות בגדים באינטרנט
Hollie Adams - Bloomberg

סוף שנות התשעים היו עידן התמימות - לפחות בכל הנוגע לאינטרנט. ההתפוצצות המסחרית שלו בישראל עוד הייתה בחיתוליה, ואת חוסר הניסיון והאבטחה של החנויות המקוונות החדשות ניצלו האקרים ופורצים שונים. אחד מהטריקים הידועים היה הורדת מחיר של סחורה כלשהי בדפדפן בטרם הרכישה.

איך משנים מחיר של מוצר בדפדפן? אפשר לעשות זאת לדוגמה באמצעות כלי המפתחים. כל אחד בקלות יכול לגשת אליו בקלות באמצעות קליק ימני והקשה על "בדוק" (וגם: "הצגת מקור הדף"). ההאקר נכנס אליו ומשנה את תוכן המידע שיש באתר. בעקרון, השינוי מופיע כעת רק עבורו - ממש כמו להוריד קובץ Word ולשנות את תוכנו. כך למשל נכנסתי לחנות אלקטרוניקה ושיניתי את המחיר של המוצר לשקל אחד:

אייפון חדש בשקל אחד - משול לקשקוש על המסך בשלב זה
צילום מסך: רן בר-זיק

חשוב להבהיר שזה לא שונה מהותית מלקשקש על המסך בעט - אנו פשוט משנים את תצוגת האתר אחרי שהוא ירד אל המחשב שלנו. ברגע שאלחץ על כפתור הקניה תשלח ההוראה לשרת האתר, וזה כבר לא מצוי בשליטתי. מרגע שהוא לומד כי הלקוח מעוניין לרכוש אייפון הוא יבדוק את מחירו האמיתי, יעביר את המידע לחברת הסליקה, ואפשר יהיה להמשיך ברכישה - במחיר מלא.

אך בשנות התשעים העליזות עניין וידוא השרת לא תמיד היה בנמצא, ויותר מדי אתרים הסתמכו על המחיר כפי שהוא נשלח מהלקוח. זה ממש כאילו מוכר בסופר ישאל אותי למחירו של מוצר שאני מבקש לרכוש, ויקבל כל תשובה שאתן לו. כך ניצלו האקרים דה-לה-שמאטע את נאיביות האתרים כדי לרכוש מוצרים יקרים בהנחות גדולות.

חוסר הזהירות לא תמיד נותר בניינטיז, עם זאת. אחד המקרים המפורסמים בתחום זה ארע בשנת 2008, כשהבלוגר הטכנולוגי והמתכנת משה "הלמו" הלוי, נכנס לאתר הממשלתי של המרכז לגביית קנסות כדי לבדוק חוב של אדם איתו היה לו סכסוך אישי. הלוי ערך מניפולציה קטנה בטופס באמצעות כלי מפתחים ושילם שקל אחד מהחוב, אך עשה זאת כאילו הסכום שולם במלואו והחוב נמחק.

בבדיקה החשבונאית שנעשתה מאוחר יותר התגלה שנעשתה מרמה. בעל החוב המקורי נעצר, אך בחקירת המשטרה התגלה שהלמו הוא שאחראי למעשה. הוא טען להגנתו שלא מדובר בפרצה וכי הוא גם לא טרח להסוות את זהותו, אך המשטרה בכל זאת עצרה אותו, אסרה עליו להתקרב למחשב אישי והוא נתבע בדין פלילי. בפסק דין שווה קריאה זיכה אותו השופט טננבאום מכל אשמה, ביקר באופן חריף את המשטרה וגם את המרכז לגביית קנסות.

מאז זרמו לא מעט פיקסלים בנהר, ודומה היה כי כל בעלי האתרים למדו בדרך הקשה לעולם לא לסמוך על המחיר המתקבל מהלקוח. חישובי המחיר, דמי המשלוח והמיסים ייעשו תמיד בשרת בלבד. ובכל זאת, ובמיוחד בישראל כמדומה, פרצות עתיקות יומין נוטות לחזור - ממש כמו מפלצות מסרטי אימה זולים.

חוקר אבטחה בשם כסיף דקל מחברת SentinelOne גילה בשנה החולפת בעיה בממשק תשלומי חשבונות המשמש חלק גדול מהעיריות בישראל, וגם בממשק דומה המשמש חברת תשתיות גדולה. לאחר שמזין הלקוח את המספר הסידורי של הקנס שברשותו מוצג הסכום הנדרש לתשלום, והוא יכול לשלם אותו. אך מה קורה אם הלקוח משנה סכום זה באמצעות כלי מפתחים?

תשלום קנסות מופחתים - כך זה נראה מבפנים
צילום מסך

היינו מצפים שהשרת יבדוק את הפרטים. אך מסתבר שלא. הם לא נבדקו כלל, והלקוח יכול היה לסגור את חובו בתשלום של שקל אחד בלבד אם היה רוצה בכך. לא תמיד הדברים הללו מתגלים, ועל כך מעידים גם כמה רואי חשבון עמם שוחחתי. לא מעט בעלי עסקים וגם חברות גדולות סומכות על המערכות שלהן בעיניים עצומות, וקשה למצוא אחר כך מה השתבש, גם לאור ביקורת חשבונאית תקופתית המשווה את התקבולים לחשבוניות. תוקף מתוחכם יחסית גם יוכל לטפול את האשמה באמצעות הסוואת זהותו ושימוש בכרטיס אשראי בין-לאומי על לקוח אחר. 

אתרי תשלומים לא לבד: גם אתר הכרטיסים של הילולת מירון סבל מאותה בעיה, כפי שגילה מפתח פול סטאק חרדי לא מזמן. כאשר ניסה להזמין כרטיס להילולת מירון הוא גילה שלא נותרו כרטיסים לאירוע שרצה. בדיקה מהירה בדפדפן גילתה לו שאין שום בקרה של השרת, והאכיפה על הזמנה נעשית רק בקוד החשוף ללקוח. שינוי קטן שלו, שנעשה באמצעות כלי המפתחים, אפשר לו לרכוש כרטיסים גם לאירועים חסומים.

מירון
צילום מסך: רן בר-זיק

האתר הזה השתמש בתשתית למכירת כרטיסים של חברת טיקצ׳אק. אותו מתכנת המשיך את הבדיקה, וגילה שחור האבטחה הזה נמצא בכל התשתיות. הוא ניסה וגם הצליח לרכוש כרטיסים להופעה של נועה קירל ושל התקווה 6 ללא עלות בכלל. אך במקום לנצל את הפרצה ולצאת לרקוד בחינם, פנה ישירות למערך הסייבר ודיווח על התקלה. לא כולם היו פועלים כמוהו.

נועה קירל
צילום מסך: רן בר-זיק

ראוי לציין כי הן מערך הסייבר והן חברת טיקצ׳אק עצמה הגיבו מהר ותיקנו את הליקויים מיד - עניין לא טריוויאלי כלל, במיוחד כשמדובר בחורי אבטחה שאינם חושפים מידע אלא מזיקים בראש ובראשונה לחברה עצמה.

במערך הסייבר הלאומי התייחסו לדיווח ומסרו:  
"במסגרת התוכנית של המערך לדיווח אחראי על חולשות אבטחה בארגונים, התקבל דיווח אודות חולשה באתר שטופל מול החברה ונסגר במהירות וביעילות".

שאלתי את חברת טיקצ׳אק מה ארע. החברה מסרה לי כי:

״לא ניתן היה להזמין כרטיסים מעבר לכמות המוגדרת. ההגבלה בצד בלקוח בכוונה היתה גדולה ב5% יותר מההגבלה בצד השרת, על מנת להימנע מהזמנות שנופלות בעקבות התממשקויות למערכות שונות ומספר הזמנות גדול במקביל. בכל מהלך הרכישה לא היתה חריגה מעבר לכמות שהוגדרה. הלקוח עודכן מראש על אופן ההגבלות, הן הקרות והן הקשיחות.

"לגבי נושא ההזמנות ללא תשלום. בעקבות ההתממשקויות למערכות השונות המותאמות לציבור החרדי, רוככה בדיקת התשלום בצד השרת באופן מבוקר. כך שמתקבל אישור עבור הזמנות אלו, אך נשלחות עבורם התראות למרכז הבקרה של החברה. בסה"כ זוהו 2 מקרים של הזמנות מסוג זה, אשר בוטלו בכל מקרה עם קבלת ההתראות. בעקבות פניית מרכז הסייבר - הקשחנו את בדיקת צד השרת עבור המחיר באופן מוחלט.

״הריכוך בוצע באופן כללי והשפיע על כלל המערכת. כלל ההזמנות שבוצעו בדרך זאת אושרו על המסך, ואף הונפק עבורם ברקוד, אך נותרו ע"י מערכת הבקרה שלנו ובוטלו בסמיכות להזמנה. הזמנות אלו, ככל שהיו באירוע מירון או באירוע אחר, לא כובדו ולא יכובדו בכניסה לאירוע.״

למרות תגובת טיקצ׳אק, המפתח שמצא את הפרצה לא בדק את תיקוף הכרטיסים, אך ביצע שלוש הזמנות. מטבע הדברים, אין דרך לאמת את הפרצה הזו מבלי לעבור על החוק - וזו אולי המגבלה הקשה ביותר שיש על חוקרים ופעילים בתחום: לא תמיד אפשר להוכיח. לפחות אנו יכולים לציין את טיקצ׳אק לטובה על תגובה מהירה ומקצועית.



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות

כתבות שאולי פספסתם

*#
בואו לגלות את עמוד הכתבה החדש שלנו