פירצת אבטחת מידע ב-HOT: נחשפו חשבוניות ופרטי לקוחות

>> פירצת אבטחת מידע ב-hot, שחשפה פרטים אישיים של לקוחות, התגלתה אתמול ותוקנה על ידי החברה. הפירצה חשפה מידע פרטי מחשבונות של לקוחות בפני משתמשים שונים, וחשפה פרטים אישיים על חיובי טלפון, כבלים וחיבור לאינטרנט. בנוסף נחשפו מספרי טלפון של לקוחות hot ומספרים שהם התקשרו אליהם.

זוהר סטולר, סטארט-אפיסט ופעיל קוד פתוח בעמותת המקור, הוא שנתקל בפירצה במקרה. סטולר פנה ל-hot כדי לחדש סיסמה, משום ששם המשתמש שלו לא התקבל בעת הכניסה לאתר. שם המשתמש היה הח.פ, כלומר מספר החברה לפי רשם החברות, שמשמש כשם משתמש עבור הלקוחות העסקיים של hot.



לאחר המתנה ארוכה ושיחות עם שלוש נציגות שירות, נאמר לסטולר כי בשל מעבר למערכת חדשה לא ניתן להזין את הח.פ - ועל כן עליו להזין שם משתמש גנרי, 555555555. הוא חידש את הסיסמה באמצעות המספר ונכנס לאתר של hot, למערכת "החשבונית שלי".



אלא שסטולר גילה שלא רק החשבונית שלו מופיעה במערכת. בצד ימין של המסך הופיעה תיבת בחירה ובה רשימה של עשרות חשבוניות, תחת הכותרת "צפייה בחשבון". סטולר בחר חשבונית באופן אקראי, וגילה כי היא מובילה לפרטים אישיים של לקוח. כשבדק חשבוניות נוספות גילה שהן שייכות ללקוחות אחרים, פרטיים ועסקיים.



בידי themarker עשרות צילומי מסך של חשבוניות אלה, שנחשפו בעקבות פירצה באבטחת המידע. הפירצה גדלה כאשר נציגי שירות הלקוחות נתנו לכל לקוח שניסה להיכנס לחשבון את אותו ח.פ גנרי, ולקוח שנכנס כך לחשבון יכול היה לצפות בפרטיהם של הלקוחות שהזינו מספר דומה.



לדברי גיא מזרחי, יועץ בתחום אבטחת מידע, "זה מרגיז וחסר אחריות, אבל זו לא פירצת אבטחת מידע בהיקף גדול". ארז מטולה, מנכ"ל חברת appsec ומומחה בפיתוח קוד מאובטח, אמר כי "יכול להיות שמישהו פשוט לא הפעיל שיקול דעת בהקצאת מספר ההרשאה ללקוחות - ונתן לכולם אותו מספר גישה זמני. חוסר שיקול דעת כזה יכול בקלות לגרום לנזק חמור במערכות דומות, אם נחשפים למשל נתונים פיננסיים או רפואיים".



לדבריו, "הפתרון הוא הגדרת נוהל ברור שיפרט מה לעשות במצב שבו לקוחות אינם יכולים להיכנס לחשבון. הנוהל צריך לחייב שכל משתמש יקבל חשבון ייעודי עם אמצעי גישה ייחודי, המבטיח שהוא יוכל לצפות רק בנתונים שלו".



מ-hot נמסר: "בעקבות הפנייה נבדק המקרה והחברה פעלה לתיקונו. אנו רואים חשיבות רבה בטיפול מעמיק בנושא ועורכים בדיקה מקיפה".