אשראי, ולא טוב לו • חשיפה
תלמיד ישיבה בירושלים חשף פרצה שצפויה לטלטל את חברות האשראי במדינה: עשרות אלפי מספרים של כרטיסי אשראי שלכם מתגלגלים - ולאף אחד לא אכפת. ומה עשו כשסיפר על המידע? • כל הפרטים
- יוסי כץ, כתב בחדרי חרדים
- ד' אלול התשס"ט
- 19 תגובות
יצחק לב ארי מהיר חימה
לפני כשבועיים רעשה התקשורת העולמית בעקבות חשיפת פרשת 'עוקץ' כרטיסי האשראי הגדול בהיסטוריה האמריקנית. בראש הכנופייה עמד גבר בן 28, אלברט גונזלס, וסייעו לו שני עבריינים ממוצא רוסי ששמם לא פורסם. הכנופייה מואשמת בגניבת זהויות ופריצת מערכות המחשב הגדולה ביותר בתולדות ארה"ב, במסגרתה נגנבו 130 מיליון מספרי כרטיסי אשראי של אמריקנים ואחרים.
הסכומים שנגנבו עדיין אינם ידועים, אך כמות מספרי האשראי שזלגה לידי העוקצים, די בה כדי להכניס להיסטריה כל מחזיק כרטיס פלסטי בכיסו.
אך מי שחשב שישראל מפגרת ברשלנותה על שמירת מספרי כרטיסי האשראי של הלוקוחות - טועה טעות מרה. שוב מתברר כי בכל הקשור לרשלנות, מדינת ישראל היא עדיין אור לגויים, ויכולה להתוות את דרכם של כל מחפשי הרשלנויות באשר הם.
ובמה דברים אמורים? דני כץ, תלמיד ישיבה בבית וגן, בעל ידע רב בתכנות מחשבים, גילה בשבועות האחרונים כי ניתן בקלות לרוקן את חשבונותיהם של מאות אלפי מחזיקי כרטיסי אשראי בישראל.
אפשרות אחת עליה עלה, היא אזהרה חמורה לכל אלו המבצעים את קניותיהם ברשת באמצעות כרטיסי האשראי. לפי הגילוי שלו, מי שרוכש מוצרים ברשת באמצעות כרטיס אשראי, נחשף לאפשרות בה המספר יתגלגל לגורמים עבריניים שינצלו את חשבונו למטרותיהם האישיות.
למרות שהרכישה אמורה להיות מאובטחת לחלוטין, מאפשרת חברת כרטיסי האשראי לחנויות מהם נקנה המוצר גישה למספרי הכרטיסים, ואם לא די בכך – מעבר המספרים בין חברת האשראי לחנות המקוונת הינו פרוץ לחלוטין, ובקלות יכול להתגלגל לכל מאן דבעי. ומאן דבעי? - לא חסר.
כץ תיאר את חשיפתו בשפה מסובכת מעט: "מצאתי פרצת אבטחה (XSS) בשירות הסליקה שתאפשר לפורץ לגנוב את כל פרטי הסליקה עבור אתרים שמשתמשים בשירות ופגיעים בעצמם מ-XSS. היות והרעיון המרכזי בשירות הוא לספק פלטפורמה מאובטחת לאתרים לא מאובטחים (אפילו לא דורשים SSL), אזי כתוצאה מהפגם ניתן יהיה להחדיר קוד פוגעני לתוך הדף המאובטח כביכול ולגנוב את כל פרטי האשראי הנחוצים".
תלמיד הישיבה חשף עוד מספר דרכים, באמצעותם ניתן להניח את היד על מספרי הכרטיסים. חבר מספר: "הם השאירו אפשרות לכל אתר שעובד איתם, לקבל חזרה פרטים מסויימים בשביל לאמת שהלקוח אכן חויב. אבל הם לא טרחו לאבטח את החיבור, כדי למנוע מגורמים נוספים ומהאתרים עצמם, לקבל פרטים נוספים שהם לא אמורים לקבל, כמו מספר כרטיס אשראי ויתר הפרטים, מה שאסור להם למסור על פי חוק".
עם המידע הזה הוא פנה לחברות. מבירור שערך אתר 'בחדרי חרדים' עולה, כי חברות האשראי לא התלהבו מהמידע שהגיע לידיהם, ולא טיפלו בו כמתבקש. המזהיר - הוזהר שלא יעשה שימוש במידע, ומבחינת החברות - מספרי האשראי ימשיכו להיות מופקרים בצורה חסרת אחריות.
לאחר שהפניה לחברות לא הועילה, ולאחר שתיעד במצלמתו כיצד ניתן לפרוץ למאגרי המידע החסויים בקלות, פנה דני לאמצעי התקשורת. אתר 'בחדרי חרדים' חושף כאן את הסיפור שעוד יעורר הדים רבים בתקשורת ובחברות האשראי.
הסכומים שנגנבו עדיין אינם ידועים, אך כמות מספרי האשראי שזלגה לידי העוקצים, די בה כדי להכניס להיסטריה כל מחזיק כרטיס פלסטי בכיסו.
אך מי שחשב שישראל מפגרת ברשלנותה על שמירת מספרי כרטיסי האשראי של הלוקוחות - טועה טעות מרה. שוב מתברר כי בכל הקשור לרשלנות, מדינת ישראל היא עדיין אור לגויים, ויכולה להתוות את דרכם של כל מחפשי הרשלנויות באשר הם.
ובמה דברים אמורים? דני כץ, תלמיד ישיבה בבית וגן, בעל ידע רב בתכנות מחשבים, גילה בשבועות האחרונים כי ניתן בקלות לרוקן את חשבונותיהם של מאות אלפי מחזיקי כרטיסי אשראי בישראל.
אפשרות אחת עליה עלה, היא אזהרה חמורה לכל אלו המבצעים את קניותיהם ברשת באמצעות כרטיסי האשראי. לפי הגילוי שלו, מי שרוכש מוצרים ברשת באמצעות כרטיס אשראי, נחשף לאפשרות בה המספר יתגלגל לגורמים עבריניים שינצלו את חשבונו למטרותיהם האישיות.
למרות שהרכישה אמורה להיות מאובטחת לחלוטין, מאפשרת חברת כרטיסי האשראי לחנויות מהם נקנה המוצר גישה למספרי הכרטיסים, ואם לא די בכך – מעבר המספרים בין חברת האשראי לחנות המקוונת הינו פרוץ לחלוטין, ובקלות יכול להתגלגל לכל מאן דבעי. ומאן דבעי? - לא חסר.
כץ תיאר את חשיפתו בשפה מסובכת מעט: "מצאתי פרצת אבטחה (XSS) בשירות הסליקה שתאפשר לפורץ לגנוב את כל פרטי הסליקה עבור אתרים שמשתמשים בשירות ופגיעים בעצמם מ-XSS. היות והרעיון המרכזי בשירות הוא לספק פלטפורמה מאובטחת לאתרים לא מאובטחים (אפילו לא דורשים SSL), אזי כתוצאה מהפגם ניתן יהיה להחדיר קוד פוגעני לתוך הדף המאובטח כביכול ולגנוב את כל פרטי האשראי הנחוצים".
תלמיד הישיבה חשף עוד מספר דרכים, באמצעותם ניתן להניח את היד על מספרי הכרטיסים. חבר מספר: "הם השאירו אפשרות לכל אתר שעובד איתם, לקבל חזרה פרטים מסויימים בשביל לאמת שהלקוח אכן חויב. אבל הם לא טרחו לאבטח את החיבור, כדי למנוע מגורמים נוספים ומהאתרים עצמם, לקבל פרטים נוספים שהם לא אמורים לקבל, כמו מספר כרטיס אשראי ויתר הפרטים, מה שאסור להם למסור על פי חוק".
עם המידע הזה הוא פנה לחברות. מבירור שערך אתר 'בחדרי חרדים' עולה, כי חברות האשראי לא התלהבו מהמידע שהגיע לידיהם, ולא טיפלו בו כמתבקש. המזהיר - הוזהר שלא יעשה שימוש במידע, ומבחינת החברות - מספרי האשראי ימשיכו להיות מופקרים בצורה חסרת אחריות.
לאחר שהפניה לחברות לא הועילה, ולאחר שתיעד במצלמתו כיצד ניתן לפרוץ למאגרי המידע החסויים בקלות, פנה דני לאמצעי התקשורת. אתר 'בחדרי חרדים' חושף כאן את הסיפור שעוד יעורר הדים רבים בתקשורת ובחברות האשראי.
תגובות
{{ comment.number }}.
הגב לתגובה זו
{{ comment.date_parsed }}
{{ comment.num_likes }}
{{ comment.num_dislikes }}
{{ reply.date_parsed }}
{{ reply.num_likes }}
{{ reply.num_dislikes }}
הוספת תגובה
לכתבה זו התפרסמו 19 תגובות