פרצה ב'אינטרנט רימון': פרטי המשתמשים חשופים • חשיפה
פרצה במערכת התמיכה של 'רימון' איפשרה לצפות בפרטי המשתמשים • איזה אתרים ביקשו לפתוח, מה התשובה שקיבלו, ואיזה אתרים 'בעייתיים' פתחו למשתמשי ה-V.I.P • ויש וידאו
- שמואל דרילמן, בחדרי חרדים
- ט"ז שבט התשע"א
- 37 תגובות
פרצה חמורה נחשפה במערכת התמיכה של אינטרנט רימון, המאפשרת לכל גולש לצפות בפרטי כלל המשתמשים, ואף לצפות בתכתובת בינם לבין החברה.
חברת אינטרנט רימון היא החברה הגדולה בארץ, המספקת שירותי אינטרנט מסוננים. החברה מתהדרת בכ-30 אלף מנויים, במסלולים שונים, ובחטיבת אתרוג המיועדת לציבור החרדי.
הפרצה איפשרה לכל משתמש רגיל בחברת רימון לגלוש לכתובת מערכת התמיכה ולהתחבר למערכת הפנימית, כאיש תמיכה בעל הרשאות ניהול. כך, לדוגמא, יכול היה כל אחד לראות איזה אתרים ביקשתם לפתוח בעבר, ומה התשובה שקיבלתם, ואפילו לראות את רשימת משתמשי ה-V.I.P שמקבלים פתיחה של אתרים "בעיתיים", ומדוע.
כמו-כן ניתן היה לצפות בהיסטוריית האישורים לכל אתר, ולכל קבוצה (כמו גור, למשל). לחילופין הייתם יכולים לענות למשתמשים בהודעות מפרי עטכם, ואף לשנות את ההודעות הקבועות והמשעממות, וכן, כמו שחשבתם, התגובות באמת נבחרות מתוך מאגר מוכן של כעשרים הודעות קיימות.
חוסר האבטחה היסודי, המאפשר פרצה כה פשוטה וכה קלה, מציפה את השאלה האם אכן ביכולת אינטרנט רימון לשמור על המידע המסווג שלנו, ועתה כאשר הם מסננים גם את תעבורת ה-SSL, הכוללת את פרטי הכניסה לחשבונות בנק ומערכות תשלום מאובטחות, האם יש סיבה אמיתית לדאגה.
הפרצה החמורה נחשפה על-ידי מומחה המחשבים דניאל כץ, שחשף בעבר פרצה חמורה במערכת הסליקה של paycard אחת מחברות הסליקה הגדולות ברשת מבית בנק לאומי.
בעקבות פניית בחדרי חרדים, מיהרו באינטרנט רימון לחסום את הפרצה במהירות הראויה להערכה, ועתה מתבצעת בדיקה כפולה של בדיקת כתובת IP, בנוסף לבדיקת הרשאות המשתמש.
גם בתגובה שהעבירו לנו, התעלמו אינטרנט רימון מכך שמדובר במערכת פנימית לעובדים בלבד, ואילו לקוחות רגילים אמורים להיות מורשים לצפות בפניותיהם בלבד, באתר הרישמי בלבד.
תגובת אינטרנט רימון:
דף הפניות לשירות לקוחות של אינטרנט רימון פתוח לשאר הלקוחות.
חברת אינטרנט רימון ביצעה בתקופה האחרונה פעולות תחזוקה למערכת ניהול פניות הלקוחות שלה ובעקבות כך לקוחות רימון יכלו לראות את הפניות לשירות הלקוחות, לא רק של עצמם אלא גם של שאר לקוחות החברה.
מערכת זו היא מערכת נפרדת לחלוטין ואינה קשורה ואינה משפיעה על מערכת ניהול הלקוחות ועל מערכת ניהול התוכן (סינון).
רשימת משתמשי ה-V.I.P מקבלים פתיחה של אתרים על פי רשימה אישית, כל עוד הדבר עומד בקריטריונים הסיווגים המינימליים של רימון.
עם זאת, חשוב לציין שאין אפשרות לראות או לשנות סיווג, מסלול או כל פרט אישי של הלקוח.
תגובות
{{ comment.number }}.
הגב לתגובה זו
{{ comment.date_parsed }}
{{ comment.num_likes }}
{{ comment.num_dislikes }}
{{ reply.date_parsed }}
{{ reply.num_likes }}
{{ reply.num_dislikes }}
הוספת תגובה
לכתבה זו התפרסמו 37 תגובות