אפליקציית אייפון לפורום סקופים  |  אפליקציית אנדרואיד לפורום סקופים  |  אפליקציית WindowsPhone לפורום סקופים

גירסת הדפסה        
   
קבוצות דיון סקופים נושא #480436 מנהל    סגן המנהל    מפקח   עיתונאי מקוון    צל"ש  
אשכול מספר 480436      
פומבה
חבר מתאריך 4.9.11
105 הודעות
יום חמישי א' בתמוז תשע''ח    19:24   14.06.18   
כרטיס אישי עבור לצ'אט  

מאגר הלקוחות של בוקס היה גלוי לחלוטין  

 
   בהמשך לפרסום בכלכליסט, הנה הפוסט שלי על חולשת האבטחה שחשפה את כל מאגר הלקוחות של בוקס.

חברת בוקס היא אחת מרשמיות שמות המתחם הגדולות בישראל. מה זה שם מתחם? זו כתובת האינטרנט. אם מישהו רוצה לרכוש כתובת אתר כמו למשל achlabachla.co.il הוא חייב לקנות את זה מרשמית שם מתחם. כמו בוקס.

לבוקס יש יותר מ-200,000 לקוחות. מאגר עשיר ביותר של בעלי אתרים ומנהלי אתרים. בחודשים האחרונות אני שומע קולות מתחום בניית האתרים שמלינים על התקפות ממוקדות שנעשים על לקוחות של חברת בוקס וכן על דליפות מידע שמראות על כך שהמאגר הזה דלף לרשת. כך למשל אבי דהאן, בונה אתרים, התלונן בסוף מאי שספאמר שלח לו ולעוד 1,000 לקוחות של בוקס ספאם וחשף את המיילים שלהם לכולם. בנוסף, שמעתי תלונות נוספות מאנשים שעוסקים במסחר בשמות מתחם ונמצאים בקהילת DN.
פוסט של אבי דהאן

פוסט של אבי דהאן
פוסט של הדר גרינברג

פוסט של הדר גרינברג

יצאתי לבדוק. במחקר משותף עם מתי מנקס, יזם אינטרנט (מנכ״ל קבוצת MENKES) למי שלא מכיר ומומחה הדומיינים שמאחורי קהילת הדומיינים הגדולה בישראל) ובין היתר אחד מהלקוחות הגדולים של חברת בוקס – בסיוע המידע שהשגנו ביחד ותוך מספר דקות של בדיקה, ללא שימוש בעזרים טכניים בכלל, הבנתי איך לקבל את כל מאגר הלקוחות המלא של החברה: שמות מלאים, טלפונים, מיילים וכתובות. איך עושים את זה? ממשק לעדכון פרטי לקוחות שהיה לא מאובטח ולא מוגן כלל וניתן היה לסרוק אותו בקלות ולשלוף את כל פרטי הלקוחות. כ-200,000 מהם.
פרטי לקוח אקראי מחברת בוקס

פרטי לקוח אקראי מחברת בוקס

איך זה עובד? ממשק ישן לעדכון, אך כזה שחשוף במיילים שנשלחו ללקוחות, מאפשר עדכון פרטים ללקוחות. למרבה הצער, כל מי שרשום למערכת יכול לצפות בפרטי כל לקוח. איך? יש מספר רץ בממשק ששינוי פשוט שלו ב-URL מאפשר קבלת פרטי הלקוח שה-ID משוייך אליו.

למשל, כל לקוח יכול להכנס אל הכתובת https://domains.box.co.ilX/YYYYY/20030 (פרטי הכתובת הוסוו כמובן, זה לא XXX או YYY) ופשוט לשנות את המספר מ-1 ועד 230000 ולצפות בכל הפרטים. כיוון שאין הגנה כלל על האתר, ניתן לכתוב סקריפט פשוט ששואב את כל הנתונים תוך דקות בודדות. לאור הפרסומים והתגובות של לקוחות של בוקס, כנראה שיש מי שעשה את זה ומכר את הפרטים.

מדובר בסכנה אמיתית מלבד אובדן הפרטיות. חלק מהפרטים המופיעים בממשק הלקוחות אינם גלויים בבקשות WHOIS שנעשות לדומיין וכך אפשר להוציא התקפות פישינג ממוקדות יחסית. מה שמרגיז הוא שמדובר בתקלה שכל מפתח ווב מנוסה היה מבחין בה מייד. לא מאפשרים גישה לפרטים שהם לא של הלקוח ומגינים על האתר ממתקפת ברוט פורס. כן, זה כל כך פשוט.

למרבה הצער, כנראה שאם הייתם לקוחות של בוקס, סביר להניח שהפרטים שלכם כבר ברשת. גלו אחריות וזהירות בכל מייל שנשלח בנוגע לשם המתחם שלכם.

מקור - https://goo.gl/qxEs4x



              תגובה עם ציטוט   | תגובה מהירה         (ניהול: למבזק)        
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד


  האשכול     מחבר     תאריך כתיבה     מספר  
  omg AvniY 14.06.18 19:41 1
     זה מה שמדהים אותי כל פעם מחדש, חאפרים שמקבלים הרבה כסף על החובבנות שלהם קרמבו 14.06.18 20:24 3
         ראה ערך ביטוח לאומי 600 מיליון שקל שהלכו לפח AvniY 14.06.18 22:04 9
  יש לי אצלם שרתים וכו אני דיי המום מייקל דה סנטה 14.06.18 20:12 2
     אתה מרוצה, חוץ כמובן מהפריצה הזו? הרב 14.06.18 20:35 5
     השרתים זה דבר נפרד. אגב איך השירות שלהם? gandalf 14.06.18 21:42 6
     וואלה? גרי 14.06.18 21:45 7
  אחרי ה gdpr פרצה כזאת צריכה להיעלם דוידוב 14.06.18 20:31 4
  זה חייב להיות לא נכון כי יש בארץ רק 249,000 דומיינים Oppenheimer 14.06.18 21:46 8

   
   
AvniY לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 18.7.14
2518 הודעות, 24 מדרגים, 43 נקודות.  ראה משוב
יום חמישי א' בתמוז תשע''ח    19:41   14.06.18   
כרטיס אישי עבור לצ'אט  
  1. omg  
בתגובה להודעה מספר 0
 
   מעניין אותי כמה כסף קיבלה החברה שפיתחה להם את המערכת

על כזו פירצה הייתי משבית את כל החברה עד שמחליפים למערכת אחרת, זה מחדל מארץ המחדלים


ISLAMOPHANT (2): (n) The elephant in the room that everyone is trying to pretend isn't there.


            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
קרמבו
חבר מתאריך 6.6.12
1027 הודעות
יום חמישי א' בתמוז תשע''ח    20:24   14.06.18   
כרטיס אישי עבור לצ'אט  
  3. זה מה שמדהים אותי כל פעם מחדש, חאפרים שמקבלים הרבה כסף על החובבנות שלהם  
בתגובה להודעה מספר 1
 
  



            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
AvniY לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 18.7.14
2518 הודעות, 24 מדרגים, 43 נקודות.  ראה משוב
יום חמישי א' בתמוז תשע''ח    22:04   14.06.18   
כרטיס אישי עבור לצ'אט  
  9. ראה ערך ביטוח לאומי 600 מיליון שקל שהלכו לפח  
בתגובה להודעה מספר 3
 
   מישהו גזר פה קופון של החיים ואף אחד לא אומר כלום.


ISLAMOPHANT (2): (n) The elephant in the room that everyone is trying to pretend isn't there.


            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
מייקל דה סנטה לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 24.12.14
15512 הודעות, 128 מדרגים, 256 נקודות.  ראה משוב
יום חמישי א' בתמוז תשע''ח    20:12   14.06.18   
כרטיס אישי עבור לצ'אט  
  2. יש לי אצלם שרתים וכו אני דיי המום  
בתגובה להודעה מספר 0
 
  


(תגובותיי מייצגות את דעתי האישית בלבד)


            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
הרב לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 9.3.14
4644 הודעות, 40 מדרגים, 73 נקודות.  ראה משוב
יום חמישי א' בתמוז תשע''ח    20:35   14.06.18   
כרטיס אישי עבור לצ'אט  
  5. אתה מרוצה, חוץ כמובן מהפריצה הזו?  
בתגובה להודעה מספר 2
 
  



            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
gandalf לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 4.7.08
31151 הודעות, 153 מדרגים, 292 נקודות.  ראה משוב
יום חמישי א' בתמוז תשע''ח    21:42   14.06.18   
כרטיס אישי עבור לצ'אט  
  6. השרתים זה דבר נפרד. אגב איך השירות שלהם?  
בתגובה להודעה מספר 2
 
חשבתי לעבור לג'לסטיק



            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
גרי לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 10.1.18
1579 הודעות, 20 מדרגים, 40 נקודות.  ראה משוב
יום חמישי א' בתמוז תשע''ח    21:45   14.06.18   
כרטיס אישי עבור לצ'אט  
  7. וואלה?  
בתגובה להודעה מספר 2
 
   של מה אם יותר לי לשאול



            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
דוידוב
חבר מתאריך 26.6.16
540 הודעות
יום חמישי א' בתמוז תשע''ח    20:31   14.06.18   
כרטיס אישי עבור לצ'אט  
  4. אחרי ה gdpr פרצה כזאת צריכה להיעלם  
בתגובה להודעה מספר 0
 
   הם העבירו את ה id של כל יוזר ב get וחשבו שזה לא סודי אז למה לי להסתיר


עֵת לְהַשְׁלִיךְ אֲבָנִים, וְעֵת כְּנוֹס אֲבָנִים


            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
Oppenheimer
חבר מתאריך 19.1.15
42 הודעות
יום חמישי א' בתמוז תשע''ח    21:46   14.06.18   
כרטיס אישי עבור לצ'אט  
  8. זה חייב להיות לא נכון כי יש בארץ רק 249,000 דומיינים  
בתגובה להודעה מספר 0
 
   מה בוקס מחזיקה כמעט את כל הדומיינים בארץ?

וגם מה חמור בזה שפרטי Whois דלפו? זה מידע פומבי לידיעתי



            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

  

תגובה מהירה  למכתב מספר: 
 
      

__________________________________________________________________________
למנהלים:  נעל | נעל אשכול עם סיבה | מחק | העבר לפורום אחר | מזג לאשכול אחר | מחק תגובות | גיבוי אשכול | עגן אשכול
   
   


© כל הזכויות שמורות ל-רוטר.נט בע"מ rotter.net
חדשות