 |
/images/archive/gallery/228/923.jpg
עיבוד מחשב  |
|
|
| ליקויי אבטחה באתר 013 ברק |
|
| טופס החלפת הסיסמה החזיק תעודת SSL שתוקפה פג באוגוסט, ואיפשר כניסה לעותק לא מאובטח של הטופס. 013 ברק: ה-SSL היה פעיל, תקלה מנעה עדכון התאריך |
|
|
|
|
|
|
|
|
|
|
החלפת סיסמת ההתחברות שלכם לאינטרנט מפעם בפעם היא מעשה נבון, במיוחד בעולם האינטרנטי הפרוץ בו היא עלולה להגיע לגורם עוין בדרכים-לא-דרכים. אלא שהטופס שאיפשר זאת ב-013 ברק סבל מליקויי אבטחה, שיכול היה לאפשר להאקרים בעלי כוונות זדון להשיג את סיסמת חשבונו של המשתמש. הליקויים תוקנו בעקבות פניית NRG.
בעמוד שירות הלקוחות הפרטיים באתר של ברק יש הפניה ל"החלפת סיסמת התחברות לאינטרנט". הקלקה עליו מובילה לטופס "שינוי סיסמאות", שם נכתב: "אנו ממליצים לשנות את הסיסמא לעתים קרובות מטעמי אבטחת מידע. כמו כן מומלץ כי הסיסמא החדשה שתבחר/י תהיה קשה לניחוש".
מבדיקת NRG עולה שניתן היה להיכנס לעותק לא מאובטח של הטופס – זאת על ידי שינוי הפרוטוקול בשורת הכתובת מ-https (פרוטוקול העברת נתונים מוצפנים) ל-http (פרוטוקול העברת נתונים לא מוצפנים). כך, האקר יכול היה לשלוח אימייל לגולשים תוך שהוא מתחזה ל-013, להפנות אותם לעותק הלא-מאובטח של הטופס ולבקש מהם לשנות את הסיסמה. הפרטים שהיו מוזנים שם היו מועברים ל-013 כשהם אינם מוצפנים, וההאקר יכול היה להתיישב על התקשורת בין הלקוחות לבין החברה ולשאוב את המידע הסודי.
בנוסף גילה NimdA, מנהל פורום אינטרנט בפס רחב ורשתות ב-Coolsite, כי ב-14 באוגוסט פג תוקפו של רישיון ה-SSL של הטופס. בימים האחרונים דיווח NimdA בסקופמייל כי ארבעה חודשים מאוחר יותר, הרישיון טרם חודש.
פרוטוקול ה-SSL הוא מעין תעודת זהות דיגיטלית של אתר, המאשרת לגולשים שהיא אכן שייכת לגוף אליו היא מתיימרת להשתייך. בנוסף, הוא מצפין את המידע שמועבר ממחשב הגולש על גבי רשת האינטרנט אל מחשבי החברה. תעודה שפג תוקפה משמעותה שהגולש לא יכול לדעת שהגיע לגוף האמור. במקרה שמנגנון ה-SSL כולו לא פעיל, הרי שהמידע שבטופס עובר באינטרנט לא-מוצפן, וקל יותר לגנוב אותו ולהשתמש בו לרעה.
מברק 013 נמסר בתגובה: "אתר שינוי הסיסמה של 013 ברק מוגן במנגנון אבטחת מידע מסוג SSL. לפני מועד חידוש הרשיון נרכשה תעודה חדשה מחברת Verisign אך באג במנגנון הפיקוח על עדכון הדף גרם לכך שהתעודה לא עודכנה במועד. חשוב לציין, כי עדכון התעודה לא מבטל את מנגנון ההצפנה. בהתאם לכך, שינוי הסיסמאות שהתבצע ע"י הלקוחות דרך האתר, המשיך להתבצע ע"י מנגנון הצפנה של 128 סיביות ותוך שמירה על סודיותם. נכון להיום, דף שינוי הסיסמה עודכן בתעודה החדשה".
החברה לא התייחסה בתגובתה לליקוי האבטחה השני, אולם חסמה את הכניסה לטופס בפורמט הלא-מאובטח לאחר פניית NRG בנושא.
|
|
 |
|
 |
|
|
|
| |
| |
|
|
| |
|
|
|
