פרצת אבטחה חשפה מספרי אשראי של לקוחות במסעדות

ijump_728x90


פרצה במערכת המחשוב של פרסטו פתרונות תוכנה הישראלית חשפה את פרטי הלקוחות, מספרי כרטיסי אשראי והעסקאות של מאות מסעדות בישראל שעובדות עם מערכות החברה – כך גילה ההאקר נעם רותם. הדיווח מתפרסם אחרי שהפרצה כבר נחסמה, ואולם לדברי רותם עבר יותר משבוע מרגע שהפרצה זוהתה ודווחה למערך הסייבר ועד שהחברה חסמה אותה. בהערכה שמרנית, נחשפו בפרצה הזו מאות אלפי הזמנות שבוצעו ממסעדות, על כל פרטי הלקוחות שלהן.

 

קראו עוד בכלכליסט:

 

 

פרסטו מתמחה בפיתוח קופות ממוחשבות ומערכות ניהול מקוונות למסעדות ובתי קפה, ומוצרי החברה משמשים בין השאר את לקוחותיה לקבל וניהול שוטף של הזמנות. לקוחות החברה כוללים מאות מסעדות ברחבי הארץ, בהן רשתות ובתי קופה מוכרים.

 

הפרצה שזיהה רותם, ושנחשפת במקביל בפודקאסט סייברסייבר בהגשת
רותם והעיתונאי עידו קינן, לא מצריכה ציוד מיוחד או אפילו ידע בסיסי במערכת מחשוב, וניתן לגשת למידע מכל מחשב, רק באמצעות דפדפן. בכל פעם שמסעדה שעובדת עם המערכת של פרסטו מקבלת הזמנה מלקוח, היא מעלה את המידע לשרת FTP (שרת ייעודי לאחסון והעברת קבצים, שמשתמש בפרוטוקול תקשורת מוכר ונפוץ). המידע מכל המסעדות מועלה לאותו שרת, כאשר כל מה שדרוש על מנת להתחבר אליו הוא כתובת ה-FTP של השרת, ושם משתמש וסיסמה.

 

 


(ארכיון) צילום: shutterstock

 

הבעיה? כל המסעדות מתחברות למערכת עם אותו שם משתמש וסיסמה (12345678). מרגע שאלו נחשפו, במקרה הזה מכיוון שאחת מהמסעדות שסולקת תשלומים באמצעות המערכת של פרסטו קידדה את השם והסיסמה בקוד אפליקציית הסליקה שלה, ניתן לגשת בקלות לפרטי הלקוחות וההזמנות של כל המסעדות. כל מה שצריך לעשות הוא לשנות את מספר הפורט (נקודת התחברות) שבסוף כתובת שרת ה-FTP על מנת לעבור בין מאות המסעדות שבמערכת.

 

בדרך זו, ניתן להגיע לפרטי ההזמנות המלאים שבוצעו באמצעות המערכת. אלו כוללים, בין השאר, שמות מלאים של לקוחות המסעדות השונות, מועד ושעת ההזמנה, כתובת מלאה, פרטי כרטיסי אשראי, הסכום ששולם, פירוט המנות שהוזמנו והערות שונות שהושארו למסעדה או לשליח.

 


“כל מערכת שנוגעת במידע של כרטיסי אשראי חייבת לעמוד בתקן מחמיר שמטרתו להגן על המידע הרגיש של לקוחות, והדורש הקשחות תשתיתיות, בדיקות אבטחה רבעוניות, והצהרות ברורות לגבי דרכי אחסון ושידור המידע”, הסביר רותם. “במקרה של חברת ‘פרסטו’ נראה שחלק משמעותי מדרישות התקן הזה לא מולאו, מה שהוביל לדליפה שהשלכותיה עלולות להיות קשות מאוד לעשרות ומאות אלפי ישראלים. מרגע הדיווח למערך הסייבר ועד שהחברה טיפלה בפרצה עבר יותר משבוע, שזה פרק זמן לא מקובל בשום קנה מידה. העובדה שאין שום גוף במדינה שיכול להגן על המידע שלנו, האזרחים, ושחברות יכולות להרשות לעצמן להתנהל בצורה שערורייתית כזו היא תעודת עניות לכולנו”.

 

בימים האחרונים פנה “כלכליסט” לפרסטו בכמה אמצעים, אך את תגובת החברה לא ניתן היה להשיג.



קישור לכתבת המקור

Travazor

About The Author

סיפורים קשורים

Travazor