מאגר הלקוחות של בוקס היה גלוי לחלוטין

מאגר הלקוחות של חברת בוקס היה גלוי לחלוטין לכל פרחח שרצה לקחת.

בהמשך לפרסום בכלכליסט, הנה הפוסט שלי על חולשת האבטחה שחשפה את כל מאגר הלקוחות של בוקס.

חברת בוקס היא אחת מרשמיות שמות המתחם הגדולות בישראל. מה זה שם מתחם? זו כתובת האינטרנט. אם מישהו רוצה לרכוש כתובת אתר כמו למשל achlabachla.co.il הוא חייב לקנות את זה מרשמית שם מתחם. כמו בוקס.

לבוקס יש יותר מ-200,000 לקוחות. מאגר עשיר ביותר של בעלי אתרים ומנהלי אתרים. בחודשים האחרונות אני שומע קולות מתחום בניית האתרים שמלינים על התקפות ממוקדות שנעשים על לקוחות של חברת בוקס וכן על דליפות מידע שמראות על כך שהמאגר הזה דלף לרשת. כך למשל אבי דהאן, בונה אתרים, התלונן בסוף מאי שספאמר שלח לו ולעוד 1,000 לקוחות של בוקס ספאם וחשף את המיילים שלהם לכולם. בנוסף, שמעתי תלונות נוספות מאנשים שעוסקים במסחר בשמות מתחם ונמצאים בקהילת DN.

פוסט של אבי דהאן
פוסט של אבי דהאן
פוסט של הדר גרינברג
פוסט של הדר גרינברג

יצאתי לבדוק. במחקר משותף עם מתי מנקס, יזם אינטרנט (מנכ״ל קבוצת MENKES) למי שלא מכיר ומומחה הדומיינים שמאחורי קהילת הדומיינים הגדולה בישראל) ובין היתר אחד מהלקוחות הגדולים של חברת בוקס – בסיוע המידע שהשגנו ביחד ותוך מספר דקות של בדיקה, ללא שימוש בעזרים טכניים בכלל, הבנתי איך לקבל את כל מאגר הלקוחות המלא של החברה: שמות מלאים, טלפונים, מיילים וכתובות. איך עושים את זה? ממשק לעדכון פרטי לקוחות שהיה לא מאובטח ולא מוגן כלל וניתן היה לסרוק אותו בקלות ולשלוף את כל פרטי הלקוחות. כ-200,000 מהם.

פרטי לקוח אקראי מחברת בוקס
פרטי לקוח אקראי מחברת בוקס

איך זה עובד? ממשק ישן לעדכון, אך כזה שחשוף במיילים שנשלחו ללקוחות, מאפשר עדכון פרטים ללקוחות. למרבה הצער, כל מי שרשום למערכת יכול לצפות בפרטי כל לקוח. איך? יש מספר רץ בממשק ששינוי פשוט שלו ב-URL מאפשר קבלת פרטי הלקוח שה-ID משוייך אליו.

למשל, כל לקוח יכול להכנס אל הכתובת https://domains.box.co.il/XXXX/YYYYY/20030 (פרטי הכתובת הוסוו כמובן, זה לא XXX או YYY) ופשוט לשנות את המספר מ-1 ועד 230000 ולצפות בכל הפרטים. כיוון שאין הגנה כלל על האתר, ניתן לכתוב סקריפט פשוט ששואב את כל הנתונים תוך דקות בודדות. לאור הפרסומים והתגובות של לקוחות של בוקס, כנראה שיש מי שעשה את זה ומכר את הפרטים.

מדובר בסכנה אמיתית מלבד אובדן הפרטיות. חלק מהפרטים המופיעים בממשק הלקוחות אינם גלויים בבקשות WHOIS שנעשות לדומיין וכך אפשר להוציא התקפות פישינג ממוקדות יחסית. מה שמרגיז הוא שמדובר בתקלה שכל מפתח ווב מנוסה היה מבחין בה מייד. לא מאפשרים גישה לפרטים שהם לא של הלקוח ומגינים על האתר ממתקפת ברוט פורס. כן, זה כל כך פשוט.

למרבה הצער, כנראה שאם הייתם לקוחות של בוקס, סביר להניח שהפרטים שלכם כבר ברשת. גלו אחריות וזהירות בכל מייל שנשלח בנוגע לשם המתחם שלכם.

פוסטים נוספים שכדאי לקרוא

ספריות ומודולים

להתנסות ב AutoGPT

הטרנד החם בעולם ה-GPT וה-AI – הפעלת אייג׳נטים בקלות עם Auto GPT.

מיקרו בקרים

בית חכם עם ESPHome ו Home Assistant

הסבר על הום אסיסטנט, מערכת הקוד הפתוח לבית חכם ואיך לחבר אליה מיקרובקרים.

DALL·E 2023-10-21 22.28.58 - Photo of a computer server room with red warning lights flashing, indicating a potential cyber threat. Multiple screens display graphs showing a sudde
יסודות בתכנות

מבוא לאבטחת מידע: IDOR

הסבר על התקפה אהובה ומוצלחת שבאמצעותה שואבים מידע מאתרים

גלילה לראש העמוד