פירצת אבטחה התגלתה באתר פרסי

פירצת אבטחה שנתגלתה באתר המסחר פרסי אפשרה למשתמש מרוחק לפרסם נתונים בדף ספציפי באתר. על פי הערכת מומחה אבטחה, סוג כזה של פרצה עלול לאפשר, לכאורה, למשתמשים זדוניים לגשת למסד הנתונים בו מאוחסנים פרטי משתמשים, וליהנות מגישה לממשק ניהול המוצרים של האתר.

הפירצה סייעה לכל גולש להזין נתונים בשורת הכתובת של הדפדפן, ולהציגם באתר עצמו, בצורה מקוונת. קיים חשש כי הנתונים הללו הוזנו אל בסיס הנתונים של האתר, ואם כך, מתעורר חשש כי גורמים זדוניים יגשו למסד הנתונים וייצפו בנתונים המאוחסנים בו.

אופיר ליבשטיין, מנהל הפעילות באתר פרסי, מבטל את החשש הזה בשיחה עם ynet. "מדובר פה ב'דף טיפש' שמקבל טקסט ומציג אותו. זה סתם דף HTML, שלא קשור לבסיס הנתונים", הוא טוען. למרות דבריו, הדף המדובר הוא מסוג ASP ולא HTML פשוט, המסוגל (ואף מיועד) לתקשר עם בסיס הנתונים, ומציג מידע דינמי לגולש.

"האיש הטכני שלנו אמר לי כי אינו רואה שום פירצה. בכל מקרה, הדף לא מתעדכן מול בסיס הנתונים. זה יכול לקרות בכל אתר", התעקש ליבשטיין.

"פיתוח ראשוני בעייתי"

ארנסט קציר, ראש אגף פיתוח עסקי ומכירות בחברת האבטחה קומסק, מסביר, כי אבטחת המידע במערכות אינטרנט נחלקת לשתי רמות, ברמה התחתונה - התשתית, וברמה העליונה - היישום. "לרוב, אבטחת התשתית מטופלת כנדרש, מכיוון שמדובר בבעיות מוכרות וותיקות, אך כאשר מדובר ברמת היישום, אם לא כותבים את היישום נכון, נוצרות בעיות אבטחה".

היישום, אותה מערכת עליה מתבסס אתר כולו, כוללת גם הרשאות גישה לכל נתוני המערכת, בהם בסיסי נתונים עם מידע לגבי מוצרים, מחירים ופרטי אשראי של לקוחות למשל. "המערכת שנכתבה במיוחד עבור אתר בעצם מהווה את השוני בין אתר לאתר", הסביר קציר.

על פי הערכת קציר, סוג כזה של פרצה עלול לאפשר למשתמשים זדוניים לגשת למסד הנתונים בו מאוחסנים פרטי משתמשים, וליהנות מגישה לממשק ניהול המוצרים של האתר. על פי התרחיש הקיצוני, אם יוזנו אל הדפדפן שאילתות SQL מתאימות, ניתן יהיה, למשל, לקרוא לטבלה בה מאוחסני פרטי האשראי של הגולשים.

לדבריו, ברוב המקרים, כאשר מתגלה פירצת אבטחה, אין מדובר בבעיה נקודתית, אלא בכשל שמקורו עוד בשלב הפיתוח, שנובע מאי שימת דגש ראוי על נושא אבטחת המידע. "ברגע שיש בעיית אבטחה ביישום, המשמעות שלה היא פירצה במערכת ואפשרות גישה לבסיס הנתונים".

הפירצה תוקנה בעקבות פניית ynet.