פרצות אבטחה חמורות נחשפו בפלטפורמת המפגשים של MeetUp
הפרצות איפשרו לתוקפים "להשתלט" על ארגונים המשתמשים בשירות ולנהל מפגשי אונליין ומפגשים פיזיים תוך גניבת תשלומים שבוצעו דרך אתר PayPal
- פרצת אבטחה חמורה באפליקציית ההיכרויות OkCupid
- פרצה בשורת אפליקציות VPN חשפה פרטים רגישים של מעל 20 מיליון משתמשים - בהם ישראלים
- התרחיש הגרוע ביותר של פריצת האקרים לטוויטר: יצירת כאוס באמצעות התחזות והונאה
ל-Meetup.com יש 49 מיליון משתמשים רשומים בעולם ולמעלה מ-230 אלף מארגנים מקימים בה בממוצע כ-15 אלף אירועים ביום כך לפי נתוני טקראנץ'. חוקרי Checkmarx מצאו מספר חולשות חמורות באתר, שמאפשרות לתוקף בין היתר: להפוך למארגן משותף של המיטאפ ולהשתלט עליו. כך הוא מקבל גישה למיילים של כל המשתתפים גם כשמדובר בקבוצה פרטית. בנוסף הוא יכול לארגן מפגשים נוספים, לשנות פרטים, כמו מועד, מיקום, או לבטל אותם.
אך מה שיותר מדאיג היא האפשרות לגנוב כספי תשלומים. חלק מהמפגשים מתבצעים בתשלום שמועבר לרוב דרך פייפאל. החולשות איפשרו להאקר לשנות את כתובת חשבון פייפאל המקורית לכתובת שלו, וכך לנתב אליו את כל המימון מהמשתתפים מבלי שהם שמו לב.
החוקרים מצאו שהפעולות הללו התאפשרו בגלל חולשות מסוג XSS ו-CSRF. בחולשה הראשונה שמכונה גם Cross-Site Scripting "מוזרקים" קודים זדוניים לאתרי אינטרנט. האקרים עושים שימוש ב-XSS כדי לשלוח קוד זדוני למשתמש, מבלי שיידע על כך תוך שהוא חושב שזה הגיע ממקור מהימן. כך התוקף יכול לגשת לכל קבצי העוגיות (קוקיז), ההתחברות או כל מידע רגיש אחר שנשמר בדפדפן ומשמש לפעילות באתר זה. סקריפטים אלה יכולים אפילו לכתוב מחדש את תוכן עמוד האתר אליו גולשים.
החולשה השנייה, מאלצת את המשתמשים לבצע פעולות לא רצויות באפליקציית רשת שבה הם מאומתים באותו זמן. בעזרת הנדסה חברתית (כגון שליחת קישור במייל או בצ'ט), האקר יכול להערים על המשתמשים באפליקציית הרשת לבצע פעולות לפי בחירתו. אם הקורבן הוא משתמש רגיל, מתקפת CSRF מוצלחת יכולה להכריח אותו לבצע העברת כספים, שינוי כתובת המייל וכו'. אם הקורבן הוא בעל הרשאות מנהל (אדמין), מתקפה כזו עלולה לסכן את אפליקציית הרשת כולה.
החוקרים גילו גם פרצת אבטחה בממשק באתר, דרכה ניתן לקבל את רשימת כתובות הדואר האלקטרוני של כל משתתפי המפגשים בקבוצות השונות. החברה אסגרה את הממצאים למנהלי האתר ופרצות האבטחה תוקנו.
לדברי ארז ילון, ראש צוות המחקר בצ'קמרקס, "בזמן שחברות וארגונים מסתמכים יותר ויותר על תקשורת וכנסים וירטואליים כדי להישאר מחוברים לעובדים, לקוחות ושותפים, בפלטפורמות האלה עוברות כמויות מידע גדולות מאי פעם, כך שחולשת האבטחה שנחשפה עלולה הייתה לסכן מידע רגיש, הרשאות וכספים".