אינטרנט ישראל
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
ראשי » חדשות אינטרנט » מאגר הלקוחות של בוקס היה גלוי לחלוטין

מאגר הלקוחות של בוקס היה גלוי לחלוטין

רן בר-זיק יוני 14, 2018 4:33 pm 8 תגובות

מאגר הלקוחות של חברת בוקס היה גלוי לחלוטין לכל פרחח שרצה לקחת.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.

בהמשך לפרסום בכלכליסט, הנה הפוסט שלי על חולשת האבטחה שחשפה את כל מאגר הלקוחות של בוקס.

חברת בוקס היא אחת מרשמיות שמות המתחם הגדולות בישראל. מה זה שם מתחם? זו כתובת האינטרנט. אם מישהו רוצה לרכוש כתובת אתר כמו למשל achlabachla.co.il הוא חייב לקנות את זה מרשמית שם מתחם. כמו בוקס.

לבוקס יש יותר מ-200,000 לקוחות. מאגר עשיר ביותר של בעלי אתרים ומנהלי אתרים. בחודשים האחרונות אני שומע קולות מתחום בניית האתרים שמלינים על התקפות ממוקדות שנעשים על לקוחות של חברת בוקס וכן על דליפות מידע שמראות על כך שהמאגר הזה דלף לרשת. כך למשל אבי דהאן, בונה אתרים, התלונן בסוף מאי שספאמר שלח לו ולעוד 1,000 לקוחות של בוקס ספאם וחשף את המיילים שלהם לכולם. בנוסף, שמעתי תלונות נוספות מאנשים שעוסקים במסחר בשמות מתחם ונמצאים בקהילת DN.

פוסט של אבי דהאן
פוסט של אבי דהאן
פוסט של הדר גרינברג
פוסט של הדר גרינברג

יצאתי לבדוק. במחקר משותף עם מתי מנקס, יזם אינטרנט (מנכ״ל קבוצת MENKES) למי שלא מכיר ומומחה הדומיינים שמאחורי קהילת הדומיינים הגדולה בישראל) ובין היתר אחד מהלקוחות הגדולים של חברת בוקס – בסיוע המידע שהשגנו ביחד ותוך מספר דקות של בדיקה, ללא שימוש בעזרים טכניים בכלל, הבנתי איך לקבל את כל מאגר הלקוחות המלא של החברה: שמות מלאים, טלפונים, מיילים וכתובות. איך עושים את זה? ממשק לעדכון פרטי לקוחות שהיה לא מאובטח ולא מוגן כלל וניתן היה לסרוק אותו בקלות ולשלוף את כל פרטי הלקוחות. כ-200,000 מהם.

פרטי לקוח אקראי מחברת בוקס
פרטי לקוח אקראי מחברת בוקס

איך זה עובד? ממשק ישן לעדכון, אך כזה שחשוף במיילים שנשלחו ללקוחות, מאפשר עדכון פרטים ללקוחות. למרבה הצער, כל מי שרשום למערכת יכול לצפות בפרטי כל לקוח. איך? יש מספר רץ בממשק ששינוי פשוט שלו ב-URL מאפשר קבלת פרטי הלקוח שה-ID משוייך אליו.

למשל, כל לקוח יכול להכנס אל הכתובת https://domains.box.co.il/XXXX/YYYYY/20030 (פרטי הכתובת הוסוו כמובן, זה לא XXX או YYY) ופשוט לשנות את המספר מ-1 ועד 230000 ולצפות בכל הפרטים. כיוון שאין הגנה כלל על האתר, ניתן לכתוב סקריפט פשוט ששואב את כל הנתונים תוך דקות בודדות. לאור הפרסומים והתגובות של לקוחות של בוקס, כנראה שיש מי שעשה את זה ומכר את הפרטים.

מדובר בסכנה אמיתית מלבד אובדן הפרטיות. חלק מהפרטים המופיעים בממשק הלקוחות אינם גלויים בבקשות WHOIS שנעשות לדומיין וכך אפשר להוציא התקפות פישינג ממוקדות יחסית. מה שמרגיז הוא שמדובר בתקלה שכל מפתח ווב מנוסה היה מבחין בה מייד. לא מאפשרים גישה לפרטים שהם לא של הלקוח ומגינים על האתר ממתקפת ברוט פורס. כן, זה כל כך פשוט.

למרבה הצער, כנראה שאם הייתם לקוחות של בוקס, סביר להניח שהפרטים שלכם כבר ברשת. גלו אחריות וזהירות בכל מייל שנשלח בנוגע לשם המתחם שלכם.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.
אבטחת מידע חדשות אינטרנט

8 תגובות

  1. שלומי הגב יוני 14, 2018 בשעה 5:07 pm

    במקרה שלי אני לא מפחד מזה
    הסיבה: אני רושם דומיינים בbox רק סיומות co.il ובדומיין co.il לא ניתן להסתיר את הפרטים בכל מקרה
    מה שניתן לעשות ברוב שאר הדומיינים
    אז אם בכל מקרה היית עושה whois על הדומיינים שלי היית מקבל את הפרטים האלה בכל מקרה

  2. רוסקי פרוסקי מדרוסיה הגב יוני 14, 2018 בשעה 5:19 pm

    =כבוד לרוסיפ

  3. אחד לא ממורמר הגב יוני 14, 2018 בשעה 6:05 pm

    מוכיח מה שהיה ידוע:
    BOX זה אתר של חובבנים
    חובבנים בשירות וחובבנים באבטחה
    רציתם דומיין ב 50 שקל קיבלתם אבטחה ששווה 50 שקל

    • שלומי הגב יוני 15, 2018 בשעה 3:29 pm

      הא שכחתי שטוויטר לא נפרצו
      מה אתה מקשקש
      אני ימשיך לקנות אצלהם כי אין סיבה לשלם על אותו דומיין במקום אחר כמעט כפול

  4. אביאל הגב יוני 18, 2018 בשעה 1:39 pm

    שלום רן,
    אכן גם אני קיבלתי מייל כזה ומיידית שלחתי להם מייל בנושא… אך משום מה התקבלה תשובה לקונית שאין שום תקלה ופריצה למאגרי הנתונים שלהם.

    והנה אכן אני רואה שישנה פריצה כפי שחששתי….
    זה הזמן שכלל הלקוחות יבקשו גם אימות דו שלבי בדומה לאתר GoDaddy.

    הסיבה שאנשים בוחרים בהם היא אכן בגלל מחיר חידוש דומיין זול.

  5. אבי הגב יוני 24, 2018 בשעה 11:16 pm

    וואו איזה טירוף, תקופה שאני לא מצליח לגשת לממשק הניהול של הדומיין שלי וכשפניתי אליהם בצאט אמרו שבדיוק עושים שידרוג קושחה. לא יאומן, איך אפשר לשקר ככה ללקוח שלך? עדיף שיודו זה פגיעה נוספת באמון. מזל שנתקלתי במאמר זה ממש במקרה, על כן תודה גדולה!

  6. אבי הגב יוני 25, 2018 בשעה 11:09 am

    בהמשך לתגובתי מאתמול, אני חוזר אליכם עם עדכון, ראו איך חברת box משקרת במצח נחושה ללקוחתיה (אני ביניהם), זוהי תגובה של שירות הלקוחות שלהם בצ'אט:

    שם הנציג: ברוך
    תאריך: 24.6.18

    "לקוח יקר
    בשל שדרוג והקשחת מערך האבטחה של מערכת הדומיינים בחברה, נראה שישנם כתובות שלא מקבלות גישה לניהול הדומיין.
    במקרה זה, ניתן לפנות אל צוות התמיכה על מנת לבצע עדכוני רשומות במייל [email protected] מהמייל המופיע בכרטיס הלקוח.
    אם יש לך כתובת IP קבועה אנא השב להודעה זו עם הכתובת ואנו נאפשר לך גישה בהקדם.

    אנו מתנצלים על חוסר הנוחות הזמני."

    לא להאמין, אני מאחל להם "תביעה" מהנה על ידי הלקוחות ה"חזקים" יותר. השקר וההסתרה מאוד מקוממים כיוון שלקוחותיהם גם היו בסיכון וגם לא יכולים לשנות רשומות בדומיין שלהם.

    תודה שוב לרן בר זיק שסייע לי באופן אישי על ידי פרסום המאמר לעיל וחשיפת הנושא. תבורך.

  7. yy הגב אוגוסט 13, 2018 בשעה 10:46 am

    בבקשה גם תסביר כיצד לתקן כאלה דברים

השארת תגובה

ביטול

ללמוד ג'אווהסקריפט בעברית

ללמוד לתכנת ג'אווהסקריפט בעברית שגייס יותר משלוש מאות אלף שקל ולמעלה מ-2000 תומכים - בואו ללמוד עכשיו איך לתכנת.

רשימת הנושאים
  • מדריכים
    • ריאקט
    • טייפסקריפט
    • ECMAScript 6
    • ES20XX
    • Node.js
    • Express
    • רספברי פיי
    • Babel
    • docker
    • MongoDB
    • Git
    • לימוד MySQL
    • SASS
    • jQuery
    • CSS3
    • HTML 5
    • SVN
    • LESS
  • פיתוח אינטרנט
    • פתרונות ומאמרים על פיתוח אינטרנט
    • jQuery Scripts
    • jQuery למתקדמים
    • יסודות בתכנות
    • נגישות אינטרנט
  • חדשות אינטרנט
  • מידע כללי על אינטרנט
    • רשת האינטרנט
    • בניית אתרי אינטרנט
  • rss logo

    לכל המאמרים

    לכל המאמרים שפורסמו באינטרנט ישראל משנת 2008 ועד עכשיו.
  • rss logo

    RSS Feed

    משתמשים בקורא RSS? אם כן, עקבו אחרי אינטרנט ישראל באמצעות פיד ה-RSS!
    מה זה RSS?
  • Twitter logo

    עקבו אחרי בטוויטר

    בחשבון הטוויטר שלי אני מפרסם עדכונים מהירים על חדשות בתחום התכנות והיזמות, התרעות על מצבי חירום ורכילות בוערת על תחום הווב.
    מה זה טוויטר?
  • facebook like image

    ערוץ הטלגרם של אינטרנט ישראל

    בערוץ הטלגרם של אינטרנט ישראל אני מפרסם את הפוסטים של באתר וכן עדכונים טכנולוגיים נוספים.
    מה זה טלגרם?
  • github logo

    הפרויקטים שלי בגיטהאב

    הפרויקטים שאני כותב ושוחררו לציבור ברישיון קוד פתוח נמצאים ברובם בגיטהאב.
חיפוש

כל הזכויות שמורות לרן בר-זיק ולאינטרנט ישראל | מדיניות הפרטיות של אתר אינטרנט ישראל | אתר אינטרנט ישראל נגיש לפי תקן WCAG 2.0 AA | הצהרת הנגישות של האתר | אבטחת מידע ודיווח על בעיית אבטחת מידע

גלילה לראש העמוד