חולשת אבטחה במערכות המידע של חברת אוטו-דיפו חשפה כ-600 אלף חשבוניות עם פרטיהם של לקוחות החברה. חוקרי חברת אבטחת הסייבר Security Joes ביחד עם חוקר האבטחה ליאור בן דויד מצאו, כי הפרצה במערכת ההגנה של האתר, אפשרה לקבל פרטים של מאות אלפי אזרחים כולל מספר טלפון וכתובת מגורים. בעקבות הממצאים תוקנה החולשה.
לדברי עידו נאור, מנכ"ל Security Joes, החולשה דווחה להנהלת אוטו-דיפו ולמערך הסייבר. ממערך הסייבר אישרו את הפרטים ואמרו כי אוטו-דיפו נדרשה לטפל באירוע חשיפת פרטי לקוחות. ככל הידוע, הפירצה לא הגיעה לידיעתם של פושעי סייבר ולא שימשה לפגיעה בפרטיות הלקוחות.
מחברת אייס, הבעלים של אוטו-דיפו, נמסר בתגובה: "לאחר קבלת הדיווח הועברה הודעה לרשות להגנת הפרטיות והנושא תוקן , והופקו הלקחים הנדרשים. כפי שצויין בכתבה לא נחשפו פרטים אשר בכוחם לגרום נזק ללקוחות".
פושעי סייבר שנחשפים לפרצה מסוג זה, קוצרים את כל המידע מתוך האתר ומוכרים את המאגר בסכומים גבוהים. המידע עלול לשמש למטרות מכירות והונאה אבל גם להתחזות בשמם של הלקוחות שנחשפו בפורומים פוליטיים וברשתות החברתיות.
על פי ממצאי החוקרים, הפרצה במערכת ההגנה של האתר אפשרה לחשוף כ-5,000 הזמנות ביום דרך אתר החברה במהלך אירועי הקניות האחרונים. בין הפרטים שהיו זמינים לכל: שם מלא של הלקוח, מספר תעודת הזהות שלו, תעודת הזהות, כתובת המגורים, כתובת המייל ומספרי הטלפון הנייד והנייח.
למרבה המזל הנתונים לא מכילים מספרי כרטיסי אשראי מלאים, אלא ארבע ספרות אחרונות בלבד, כך שלא ניתן היה לבצע הונאות בקניות ובתשלומים על חברות הלקוחות וחברות האשראי.
מהדו"ח שהגישה חברת אבטחת הסייבר עולה כי התקיפה מתבצעת בדרך פשוטה ביותר. בשלב הראשון נכנס התוקף לאתר ומבקש לצפות בקבלה על תשלום ששילם. בזמן שליחת הבקשה לשרת כל מה שהתוקף נדרש לעשות זה לכתוב את מספר הקבלה. מתברר כי החשבוניות זמינות לגישה בסדר מספרי עולה. מצב כזה מכונה בשפה המקצועית "IDOR" – גישה לכלל אתר על בסיס גישה לפריט מידע אחד אליו ובלי שנדרש אמצעי אימות נוסף.
כדי להפוך את החדירה הנקודתית הזו לאירוע רחב, הפורצים בונים סקריפט בשפת פייתון, שמשמש תוכנת פרוקסי (Burp Suite) אשר שולחת בקשה לקבלה נוספת כל עשירית שנייה, וכך מצליחה לקצור את כל הנתונים בתוך כשעתיים. חוקרי הסייבר הצליחו כאמור לשלוף בדרך זו כ-600 אלף חשבוניות, שמכילות פרטים של כמה מאות אלפי לקוחות. המידע כולו דווח והועבר לחברה ולמערך הסייבר.
רשת אוטו-דיפו, מקבוצת אייס, עוסקת באספקת ציוד למכוניות. יש לה 22 סניפים בישראל, ובתקופה האחרונה אתר המכירות שלה פעיל במיוחד. על פי תקנון האתר, הלקוח חייב למסור מידע אישי כתנאי לקבלת חלק משירותי האתר, כמו למשל רכישת מוצר. פרטי המשתמשים נאגרים במאגרי המידע, שבבעלות חברת האם אייס קפיטל קמעונאות (2016) בע"מ.
בתקנון האתר נאמר שהחברה עושה ככל שביכולתה להגן על סודיות הנתונים, "זאת תוך נקיטת אמצעי זהירות מקובלים ושימוש בטכנולוגיות אבטחה מתקדמות... אולם היא אינה יכולה למנוע שיבושים באתר באופן מוחלט". עוד נאמר כי החברה מפעילה אמצעי אבטחה טכנולוגיים וארגוניים מתקדמים "כנגד גישה על ידי אנשים בלתי מוסמכים או מורשים... בין היתר, כדי להגן על האתר ועל תוכנו מפני חדירות, פריצות או האזנות בלתי מורשות". החברה מצהירה כי היא אינה מתחייבת שנתוני הלקוח יהיו "חסינים באופן מוחלט מפני גישה ו/או חדירה בלתי מורשית למאגרי המידע של החברה" במקרים שאינם בשליטתה, ולכן היא לא תישא באחריות לנזקים שנגרמו "לרבות בשל פגיעה בפרטיות".
פורסם לראשונה: 14:56, 29.11.20
