פירצה באתר ויזה Cal חשפה פרטי משתמשים



כשל האבטחה איפשר לכל גולש לצפות בפרטי חשבון של משתמשים שתוקף ססימתם פגה. תגובת כאל: "מקרה נקודתי"
אהוד קינן



פירצה באתר של Cal חשפה פרטים של גולשים שסיסמתם פגה.



מחזיקי כרטיסי אשראי של חברת האשראי Cal יכולים להיכנס לאתר על מנת לקבל פרטים על חיובים שביצעו באמצעות שם משתמש וסיסמה שהם מקבלים מהחברה. מדי מספר שבועות הסיסמה פגה לצורכי אבטחת מידע, ומחזיק הכרטיס נדרש להזין סיסמה חדשה

כאשר הוא מנסה להיכנס לאתר.



הגולש ד' (שמו המלא שמור במערכת), המנוי על אתר Cal, דיווח כי הצליח במקרה להיכנס היום לחשבון שאינו שלו. זאת, לאחר שהקליד שם דומה לשמו יחד עם הסיסמה שלו. בשלב זה, הוא עדיין סבר שהוא נמצא בחשבון שלו, וקיבל הודעה שעליו לעדכן את הסיסמה שפגה.



הוא הכניס את הסיסמה האישית שלו, ובחר סיסמה חדשה, וקיבל גישה לחשבון. כשראה שכל החיובים שהתבצעו לא היו באזור מגוריו, הוא נכנס לעמוד הפרטים האישיים וגילה שהוא לא נמצא בחשבון שלו, יצא ממנו ודיווח על כך לשירות הלקוחות.



יש לציין, כי ד' הצליח לצפות בכל החיובים שעשה בעל החשבון על הכרטיס. כמו כן, המערכת איפשרה לו להחליף את סיסמתו לשירות, את שאלת הזיהוי למקרה של אובדן סיסמה, ואת פרטי ההתקשרות עימו. הזנת פרטים אלה הייתה עשויה למנוע מבעל המנוי האמיתי את שחזור הסיסמה ולחסום את כניסתו לשירות.

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.ynet.co.il/PicServer2/20122005/760099/calbug1_m.jpg]
עמוד של לקוח באתר Cal. פרטי הלקוח טושטשו

תגובת החברה



מחברת Cal נמסר בתגובה: "אתר Cal Online מאובטח לפי הסטנדרטים המחמירים ביותר של אבטחת המידע ועומד בכל הסטנדרטים הרלוונטיים. המקרה שתואר לעיל הינו בעל אופי נקודתי שקרה בנסיבות ייחודיות וכתוצאה מצירוף מקרים נדיר. חברת Cal טיפלה בפניית הלקוח באופן מיידי כך שהמקרה המתואר לא יוכל לחזור, גם בנסיבות החריגות ביותר.



הדיווח הראשוני התקבל באמצעות האימייל האדום

YNET

www.meirtv.co.il