חוקר מצא חולשת אבטחה ברשת ריבר (המוכרת מיצים) המאפשרת לקבל מידע על הלקוחות בAPI. החברה תגמלה אותו בכוס מיץ חינם
ישראל כהן עובד למחייתו כמתכנת. במקביל לעבודתו, הוא חוקר וצד באופן פרטי חולשות אבטחה שונות. כשהוא מאתר כזו, הוא פונה ומעדכן את החברות, ולעיתים גם מתוגמל על זה.
לפני מספר חודשים הוא קיבל שובר מתנה מחברה שגילה אצלה חולשת אבטחה, והחליט לנצל אותו ברשת המיצים הפופולרית rebar (ריבאר). "בין הזמן שהזמנתי את המשקה, ועד שקיבלתי אותו", הוא מספר בראיון לגיקטיים, "מצאתי גם אצלם חולשה".
כהן מספר שבפרק הזמן הזה, ומתוך סקרנות מקצועית, הוא הפעיל Sniffer, כלי שמאזין ומנתח תעבורת רשת בזמן אמת, ומאפשר לראות אילו חבילות נתונים עוברות ברשת, מי שולח למי ומה, אילו פרוטוקולים בשימוש, ולעתים גם את התוכן עצמו אם אינו מוצפן.
כהן אומר שאחרי שהוא הזדהה באפליקציה של rebar, הוא זיהה שלמרות שהוא כבר מחובר אליה, הוא יכול לשלוח בקשות אחרות ל-API, שלאו דווקא קשורות אליו. "זה ישר הפריע לי בעין", הוא מספר. ברגע שהוא הזין את מספר הטלפון שלו, ה-API החזיר גם פרטים אישיים שלו, לרבות הכתובת הפרטית שלו שמוגדרות בחשבון. "היה צריך שכל המידע יילקח ישירות מהחשבון שלי", מסביר כהן.
אז הוא פשוט הזין מספר טלפון אחר והחל לקבל כתובות ופרטים של משתמשים אחרים.
אחרי שגילה את החולשה, כהן ניסה לפנות ל-rebar, אבל הכתובת היחידה שאיפשרה לו ליצור קשר עם החברה הייתה דרך שירות הלקוחות של החברה. שם, אחרי שנציגי השירות הבטיחו כי הנושא מועבר לטיפול, הוא ביקש לדעת האם יקבל תשורה בעבור האסגרה, שעשויה לחסוך לחברות דליפות מידע על לקוחות. ובכן, אחרי שהנציגים בדקו, הם חזרו עם התשורה: "משקה ללא עלות".
כהן לא היה מרוצה מההצעה המרעננת, אבל הנציגים לא שינו את דעתם. לאחר פניית גיקטיים לחברה, שהתבצעה מספר שבועות לאחר הפניה המקורית של כהן, החולשה טופלה לדבריו.
תגובת הרשת: לא הייתה כל חשיפה או דליפה של פרטים כגון שם הלקוחות, פרטי אשראי או פרטים אישיים אחרים. אנו ממשיכים לוודא שכלל המידע במערכת מאובטח במלואו וכי זכות הלקוחות לפרטיות מוגנת ונשמרת.
בדיוק בגלל זה..
וקוראים לו
אברהם לוי
או ישראל כהן
בדרך כלל זו המצאה...
פושע יושב ומתעלק על האתר שלהם וצריך לשלם לו?
כוס מיץ זה די והותר