 |
/images/archive/gallery/292/881.jpg פירצת אבטחה בוואלה
עיבוד מחשב  |
|
|
|
|
| איפשרה קניות על חשבון לקוחות וואלה שופס והשתלטות על תיבות וואלה מייל. הפירצה נחסמה הערב בעקבות הפרסום |
|
|
|
|
|
|
|
|
|
|
פירצת אבטחה חמורה
התגלתה היום בדואר וואלה, המשרת 1.3 מיליון גולשים בארץ. הפירצה איפשרה לגנוב חשבונות של משתמשים, המשמשים גם לשירותים נוספים בפורטל, ביניהם יומן, פורומים, מזוודת קבצים. הפירצה איפשרה גם לבצע קניות בוואלה שופס על חשבון המשתמש, במידה וזה ביצע שם רכישות בעבר והזין את פרטי כרטיס האשראי שלו.
עדכון: מוואלה נמסר הערב (ד') כי הפירצה נחסמה.
הגולש א"ל דיווח על הפירצה בסקופמייל. הכניסה לחשבון דרך הפירצה איפשרה לפורץ לקרוא את כל האימיילים אותם קיבל בעל התיבה. הפורץ יכול היה גם לשלוח אימיילים מהחשבון, בשמו של בעל החשבון, וללא ידיעתו. כמו כן, יכול היה הפורץ לשנות את סיסמת הכניסה לחשבון, ובכך לחסום את הכניסה בפני בעל החשבון.
בעזרת הפירצה, הצלחנו לגנוב את חשבון הוואלה מייל של משתמש שהסכים להשתתף בניסוי, ולשנות את הסיסמה שלו. פרטי חשבון של משתמש אחר איפשרו לנו להיכנס למכירות בוואלה שופס, כשפרטיו המלאים של המשתמש חשופים לפנינו, כולל ארבע הספרות האחרונות של כרטיס האשראי שלו. המספר המלא היה שמור באתר, כך שיכולנו להשתתף במכירה, כשהחיוב היה מגיע לכרטיס האשראי של המשתמש. מכיוון שבחלק מהמכירות ניתן לבצע איסוף עצמי, יכולנו לעשות מסע קניות על חשבונו של המשתמש מבלי לחשוף את כתובתנו למשלוח המוצרים.
|
|
 |
|
 |
|
|
 |
|
תיבת האימייל של וואלה
|
|
|
 |
|
 |
|
הפירצה הסתתרה בלינק
|
|
|
 |
|
|
|
גניבת החשבונות התאפשרה דרך פירצה בדואר, אשר ניתן היה לנצל באמצעות לינק מיוחד שהכיל סקריפט. לחיצה של הקורבן על הלינק העבירה לפורץ את קובץ ה-cookie של הקורבן, וזה שימש את הפורץ להזהות מול השרת של דואר וואלה, מה שהכניס אותו לחשבון האימייל של הקורבן.
הפורץ אמנם לא קיבל את הסיסמה של החשבון הפרוץ, אולם הוא יכול היה להיכנס לפרטי החשבון ולהגדיר שם סיסמה משלו. זאת כי בוואלה מייל, בניגוד לתיבות רבות אחרות, ניתן להגדיר סיסמה חדשה בלי להזין קודם כל את הסיסמה הישנה, אמצעי בטחון נוסף למניעת גניבת התיבה.
|
|
|
|
|
|
|
|
|
|
|
וואלה: הפירצה נחסמה
|
|
|
|
|
|
|
מוואלה נמסר אחר הצהריים בתגובה: "בכל רגע נתון ברשת האינטרנט, נעשים נסיונות לפריצה, חדירה ושיבושים. אנחנו בודקים את הפניה, ואם אכן קיימת פירצה אנחנו נסתום אותה. כל דבר נבדק לגופו". בשעות הערב נמסר מוואלה כי הפירצה נחסמה, ובדיקה שביצענו אישרה זאת.
בדצמבר 2003 ניצלו האקרים וירוס תולעת להשתלטות על חשבונות של משתמשי דואר וואלה. ההאקרים גם הציפו פורומים עם שמות המשתמש הגנובים, ופרסמו הודעות לפיהן אבטחת המידע בוואלה גרועה.
באפריל אשתקד הכריזה וואלה על שגדול התיבות שלה לנפח של גיגהבייט, בעקבות הודעת ההשקה של ג'ימייל מבית גוגל. שבוע לאחר ההשקה הרשמית, הודיעה החברה שהיא תשווק את התיבה בקרב גולשים דוברי אנגלית מחוץ לישראל.
| | | | | |
|
|
| |
|
|
| |
|
|
|
