שמות מלאים, מספרי חשבונות בנק וכרטיסים, חיובים ויתרות במסגרת האשראי: בעקבות תקלה חמורה באפליקציה של חברת כרטיסי האשראי Max, משתמשים נחשפו הערב (יום ג') לפרטים אישיים ורגישים של משתמשים אחרים. לטענת החברה, התקלה תוקנה תוך זמן קצר.
עוד כתבות שיעניינו אתכם:
אחד המשתמשים שנחשפו לפרטים של לקוחות אחרים סיפר כי בכל פעם שפתח את האפליקציה נחשף למידע של אדם אחר.
מחברת Max נמסר בתגובה: "לצערנו מדובר בבאג טכני שקשור לעדכון גרסה של האפליקציה. הבאג הופיע אצל לקוחות בודדים לזמן קצר בלבד ותוקן באופן מיידי".
לדברי אלכס שטיינברג, מנהל מוצרים בחברת אבטחת המידע ESET, "מדובר בתקלה שעלולה לגרום לנזק לפרטיותם של אנשים ולמידע הפיננסי שלהם. ראוי כי חברות יעשו הכל כדי להגן על המידע של לקוחותיהם ואנו מקווים שמידע רגיש לא עבר לידיים הלא נכונות. באופן כללי אם משתמשים רואים בשירות מסוים מידע שלא שייך להם חשוב שידווחו לחברה האחראית, ככל שחברה מודעת מהר יותר לליקוי, היא יכולה לטפל בו בהקדם".
נדב אביטל, ראש קבוצת המחקר בחברת הסייבר אימפרבה, מסר כי "ככל הנראה מדובר בחולשה שהתגלתה ב-API, ממשק תכנות יישומים של האפליקציה, והיא אפשרה גישה לקבלת מידע אישי על המשתמשים ללא הרשאה. מדובר באחת מהבעיות הכי נפוצות בעולמות אלו ומבדיקה שנערכה במהלך השנה האחרונה עולה כי ישנו גידול של 300% בהתקפות על ממשקי API. כמו כן, ישנו גם גידול משמעותי בשימוש בממשקים אלו ותעבורת הרשת של APIs מהווה 40% מכלל תעבורת הרשת האפליקטיבית, המסמנת גידול של 100% לעומת שנת 2021. עקב כך, כל חברה שמתבססת על ממשקי API ומפתחת אפליקציית מובייל, עליה לספק דרך טובה לנטר, לעקוב ולהגן על נתונים רגישים".
אנדריי יארמנקו, סמנכ"ל טכנולוגיות בחברת HUB Security, אמר כי "לפי התיאור של המקרה, זוהי תקלה חמורה של חשיפת מידע אישי רגיש וסודי, כאשר היישום עצמו חושף מידע ללא מאמץ כלשהו של המשתמש. תקלה מסוג זה אפשר היה למנוע בקלות על ידי ביצוע בדיקות מקיפות אוטומטיות בתהליכי פיתוח תוכנה של היישום". לדבריו, "הסיכוי לבאגים מסוג זה רק עולה כל שנה עקב עלייה במורכבות התוכנה והמערכות שחברות משתמשות בהן. אותם לקוחות שהמידע שלהם נחשף לזרים ביישומון המתואר צריכים לבטל את כרטיס האשראי באופן מיידי ולהנפיק חדש".