ניתוח פריצה ל"אטרף" / Cyberserve

אין לי מוגש ירוק איך פרצו ל-Cyberserve, אולם מה שאני כן יודע – זה שהחברה קיבלה אזהרה ובקשה לטפל במערכות שלה ממערך הסייבר, וכמובן ש-Cyberserve ו/או מפעילי אתרים כלל לא ביצעו טיפולי אבטחה באתרים ו/או בתשתית. כתוצאה מכך – הכל דלף לרשת…

אבל כשבודקים את רוב מה שדלף, מתבררת שוב העובדה שהתוכן עצמו לא ממש שווה משהו. בלוג של "כאן", או אתר תלונות הציבור של "קווים" – כך ידע כל הכולם ואחותו שיהושיעו זרחוביץ הודיע לקווים כי האוטובוס שוב איחר! אויבי ישראל מתמוגגים מהמידע!

ואז מגיע התות בעוגת הקצפת – ה-DB של אתר הדייטים של הקהילה הלהט"בית "אטרף" – "נפרץ" והם גנבו את המידע, ובשביל להכניס אנשים ללחץ, הם שחררו דוגמית של 1000 רשומות בקובץ CSV.

מכיוון שהקבוצה הפורצת מחוברת לטלגרם (תחת הכינוי Black Shadow כמובן, לא צריך להיות גאון כדי לראות אם זו הקבוצה הנכונה, פשוט רואים כמה מנויים יש להם), והקבוצה נותנת להורדה את קבצי הדוגמית, הורדתי את הקובץ בכדי לבדוק האם כדברי העיתונות – עוד דקה כל הומו/לסבית שבארון צריכים לארוז את החתול או הכלב, לשכור עורך דין או לחפש חלון מהיכן לקפוץ ולאמר "ביי" לעולם….

אז בדקתי את הטבלה לעומק, לאורכה ולרוחבה, והגעתי למספר תובנות מעניינות שאני מעוניין לשתף עמכם:

  1. אני חושב שיש מקום למספר משתמשים בקהילה לפגוש עורכי דין ולהרים תביעה נגד אתר אטרף. לפחות לפי הטבלה, אין אפילו "המלחה" של הסיסמאות, כך שלו האתר היה עולה ברגעים אלו, היה לנו מופיע "שישו ושמחו". האתר יצטרך לכל הפחות לאפס את כל סיסמאות המשתמשים ולשלוח אימייל עם בקשת קביעת סיסמא חדשה, ואולי, אולי לדאוג לכך שהסיסמאות "יומלחו".
  2. כל מי שחושש שמיד כל עם ישראל ואחותו ידעו שהוא הומו או ההיא לסבית – יכול להירגע. הטבלה לא ממש מכילה פרטים ישירות מתעודת זהות. יש שורות של "שם כינוי", "שם חבר", ו"שם משתמש", ובהסתכלות על השמות, רבים בחרו לעצמם "שמות" שיותר מתאימים לסרטי פורנו ("אק חתיך"!, "morfios" – שמישהו ילמד את הבחור קצת אנגלית או משהו), כך שאם לא מכירים אותך, הסיכוי ש"תוצא מהארון" בכח – די קטן, אם כי יש מצב שאחרים שכן מכירים אותך – ידעו עליך, הואיל והטבלה מכילה מספרי טלפון וכתובות אימייל.
  3. פרטים קריטיים כמו מספר תעודת זהות, מספר כרטיס אשראי (כולל CVV ותוקף) אינם נמצאים בטבלה כך שאם קניתם דרך אטרף כרטיסים להופעות/אירועים – פרטיכם לא יופיעו בטבלה שפורסמה.
  4. אלו שנכנסו לפאניקה, שמא היוודע לבין/בת הזוג שהוא הומו/היא לסבית ולפיכך הקשר הולך להיות בטל מהר חיש קל ברבנות – התשובה לכך היא "לא". ברבנות עדיין יש מחשבה שכל משיכה מינית שאינה כמו של "סטרייט" ניתנת לכיבוי בשניות ספורות, ולכן הם לא יאשרו גירושים, אלא אם לבן/בת הזוג יש הוכחות על קיום מערכת יחסים מחוץ למערכת היחסים הרשמית.
  5. אני רוצה לציין כאן את מה שציינתי בבלוג זה בעבר הרחוק – אם את/ה מעוניינ/ת לצ'וטט עם מישהו/י, בין אם זה לצורך העברת זמן או לצורך חיפוש קשר כלשהו – אל תתן פרטי אמת, תרים כתובת אימייל פיקטיבית, ובקיצור – אל תעביר שום פרט אמיתי. המצב בארץ ימשיך להיות גרוע מבחינת אבטחת מידע, ואת זה אני יכול להבטיח.

לסיכום: מ-1 עד 10, הייתי נותן ציון של 4 לפריצה זו. לא רק שהם פרצו למשהו שהוא כמעט "דלת פתוחה", הם גנבו נתונים של אתרים שמופנים כלפי ציבור ללא מידע סודי. המידע של אטרף היה אמור להיות מוצפן (אם מישהו לא היה עצלן שם) ואני חושב שכדאי לתבוע את החברה על כך ועל הנזק הנפשי שהם גורמים למשתמשיהם, אבל חוץ מזה .. לא רואה עם הפריצה הזו חדשות מרעישות.

9 תגובות בנושא “ניתוח פריצה ל"אטרף" / Cyberserve”

  1. רק אני מזכיר שחשיפת ת.ז. אומר חשיפה של פחות או יותר כל הפרטים: שם, גיל, מצב משפחתי, מקום מגורים ובחלק מהמקרים מספר טלפון – כיוון שמרשם האוכלוסין דלף לרשת כבר מזמן. אז אם מספרי הזהות חשופים זה חמור ביותר. כי יש קהילות בהן לצאת מהארון עלולה להיות סכנת חיים ממש

    1. היו כבר מספיק פריצות (אלקטור וכו') שכבר ממזמן חשפו לא רק את תעודת הזהות של תושבים, אלא גם שמות מלאים, מספרי טלפון ופרטים נוספים. באטרף לא היו תעודות זהות, כך שהפריצה לאטרף בקטע הזה לא משנה כלום.

  2. לפי רוב הסימנים – הפריצה לא הייתה קשורה לאתרים עצמם. ככל הנראה פרצו לרשת המשרדית (ע״י הנדסה חברתית או בדרך אחרת) ומשם דרך סיסמאות שמורות או מפתחות SSL לא מוצפנים – הגיעו לנתונים. לא יודע מה הולך שם – הם אפילו לא הצליחו להרים איזשהו דף סטטי עם הסברים. 

    1. אני בספק אם הם היו כאלו מתוחכמים להנדסה חברתית. אני לא בטוח אבל אני חושש שמדובר פה בעוד מקרה שאף אחד לא ממש עדכן שרתים כבר שנים בטלאי אבטחה ולכן לדעתי היתה להם עבודה קלה מאוד לחדור פנימה מבחוץ.

  3. היי חץ ביז,הניתוח שרשמתה הוא מקצועי מאוד אבל אתה צריך להבין שאתרים מסוג אטרף הם נחשבים לאתרים מהדור הישן, זאת אומרת על מנת לעדכן אתר מדור ישן יש צורך בהקמת אתר חדש שיתמוך בכול העדכונים האחרונים, כמובן זה מצריך תקציבי השקעה גדולים החל מאפיון ועד לעבודת צוות הפיתוח. אני יכול לומר לך כשהמטה סייבר פונה לחברה כולשהי הוא ציין כמה נקודות חולשה לרוב בסיסיות שמצרוכות בסה"כ ביצוע מס' עדכונים ובזה מסתיים ההתקשרות. אני לא מאמין לרגע אחד שהפריצה לשרתי החברת האחסון היית עד כדי כך "פשוטה". ברצוני לציין שאני לא מיצג אותם אין לי קשר אליהם, אבל יש לי מספיק ניסיון בהתמודדות מול קבוצות אקרים האלה מתוקף העובדתי היום יומית.הערה – חברת נטוויז'ן היא לא כזו צדיקה כמו שמנסים לצייר אותה בעניין הזה. 

    1. היי רון,
      תתפלא, אבל שהאמת היא שזה לא ממש כך. אפשר כמובן לשדרג ולהחליף את הכל לגירסה חדשה עם SQL חדש ועם קוד חדש
      אבל אני סייעתי בעבר במקרים רבים לאבטח גם אתרים שלא שדרגו את שפת התכנות או פלטפורמת התכנות למשהו חדש לגמרי, אלא לגירסה הכי מאובטחת שיש, וכמובן שיש את כל עניין הקוד לעדכן ויש לא מעט כלים שיכולים למצוא חולשות בקוד ולהתריע בנידון וכמובן אפשר ומומלץ לבצע אודיטינג.
      פה, במקרה דנן, ולפחות לפי מה שהבנתי מהמידע שהופיע בציבור, השתמשו בחולשות אבטחה ידועות. לו המתכנתים היו עושים את הדבר הבסיסי ביותר וממליחים סיסמאות או מצפינים שדות שונים (המעבדים של אינטל יודעים לבצע decoding סופר מהיר) – אז כל הפריצה הזו כלל לא היתה נחשבת, ולפורצים היה ג'יבריש.
      לגבי נטויז'ן וכו' – לא חושב שהזכרתי אותם בפוסט ולא התייחסתי אליהם.

  4. היי חץ ביז, דווקא אני לא מתפלא מכך שרשמת שניתן לשדרג את מסד הנתונים לגרסאה חדשה ועדכנית וגם קוד הרבה חברות בימים אלה עושים את זה כפועל יוצא ממתקפות הסייבר המופעלות אלינו בתקופה האחרונה.אתה החן לא התייחסת לנושא נטויז'ין ומערך הסייבר, אני התייחסתי לזה ולפי דעתי זה אחד הנקודות שיש להתייחס אליהם בצורה יותר רצינית ואני בטוח שיש להרבה חברות מה לומר בנושא זה.   

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.