פרצת אבטחה חשפה מספרי אשראי של לקוחות במסעדות
הפרצה במערכת המחשוב של פרסטו הישראלית, שנחסמה בינתיים, לא הצריכה ציוד מיוחד או אפילו ידע בסיסי במערכת מחשוב, וניתן היה לגשת למידע מכל מחשב, רק באמצעות דפדפן. פרסטו: "אין לנו שום קשר למקרה"
פרצה בשרת קבצים של פרסטו פתרונות תוכנה הישראלית חשפה את פרטי הלקוחות, מספרי כרטיסי אשראי והעסקאות של מאות מסעדות בישראל שעובדות עם מערכות החברה – כך גילה ההאקר נעם רותם. הדיווח מתפרסם אחרי שהפרצה כבר נחסמה, ואולם לדברי רותם עבר יותר משבוע מרגע שהפרצה זוהתה ודווחה למערך הסייבר ועד שהחברה חסמה אותה. בהערכה שמרנית, נחשפו בפרצה הזו מאות אלפי הזמנות שבוצעו ממסעדות, על כל פרטי הלקוחות שלהן.
- פרצה באתרי היכרויות למטרות מין חשפה מידע אישי של 600 אלף ישראלים
- חוקרים ישראלים גילו פרצות חמורות בשירות הענן Azure של מיקרוסופט
- פרצות אבטחה חמורות נחשפו בפלטפורמת המפגשים של MeetUp
פרסטו מתמחה בפיתוח קופות ממוחשבות ומערכות ניהול מקוונות למסעדות ובתי קפה, ומוצרי החברה משמשים בין השאר את לקוחותיה לקבל וניהול שוטף של הזמנות. לקוחות החברה כוללים מאות מסעדות ברחבי הארץ, בהן רשתות ובתי קופה מוכרים.
הפרצה שזיהה רותם, ושנחשפת במקביל בפודקאסט סייברסייבר בהגשת רותם והעיתונאי עידו קינן, לא מצריכה ציוד מיוחד או אפילו ידע בסיסי במערכת מחשוב, וניתן לגשת למידע מכל מחשב, רק באמצעות דפדפן. בכל פעם שמסעדה שעובדת עם המערכת של פרסטו מקבלת הזמנה מלקוח, היא מעלה את המידע לשרת FTP (שרת ייעודי לאחסון והעברת קבצים, שמשתמש בפרוטוקול תקשורת מוכר ונפוץ). המידע מכל המסעדות מועלה לאותו שרת, כאשר כל מה שדרוש על מנת להתחבר אליו הוא כתובת ה-FTP של השרת, ושם משתמש וסיסמה.
הבעיה? כל המסעדות מתחברות למערכת עם אותו שם משתמש וסיסמה (12345678). מרגע שאלו נחשפו, במקרה הזה מכיוון שאחת מהמסעדות שסולקת תשלומים באמצעות המערכת של פרסטו קידדה את השם והסיסמה בקוד אפליקציית הסליקה שלה, ניתן לגשת בקלות לפרטי הלקוחות וההזמנות של כל המסעדות. כל מה שצריך לעשות הוא לשנות את מספר הפורט (נקודת התחברות) שבסוף כתובת שרת ה-FTP על מנת לעבור בין מאות המסעדות שבמערכת.
בדרך זו, ניתן להגיע לפרטי ההזמנות המלאים שבוצעו באמצעות המערכת. אלו כוללים, בין השאר, שמות מלאים של לקוחות המסעדות השונות, מועד ושעת ההזמנה, כתובת מלאה, פרטי כרטיסי אשראי, הסכום ששולם, פירוט המנות שהוזמנו והערות שונות שהושארו למסעדה או לשליח.
"כל מערכת שנוגעת במידע של כרטיסי אשראי חייבת לעמוד בתקן מחמיר שמטרתו להגן על המידע הרגיש של לקוחות, והדורש הקשחות תשתיתיות, בדיקות אבטחה רבעוניות, והצהרות ברורות לגבי דרכי אחסון ושידור המידע", הסביר רותם. "במקרה של חברת 'פרסטו' נראה שחלק משמעותי מדרישות התקן הזה לא מולאו, מה שהוביל לדליפה שהשלכותיה עלולות להיות קשות מאוד לעשרות ומאות אלפי ישראלים. מרגע הדיווח למערך הסייבר ועד שהחברה טיפלה בפרצה עבר יותר משבוע, שזה פרק זמן לא מקובל בשום קנה מידה. העובדה שאין שום גוף במדינה שיכול להגן על המידע שלנו, האזרחים, ושחברות יכולות להרשות לעצמן להתנהל בצורה שערורייתית כזו היא תעודת עניות לכולנו".
מפרסטו נמסר בתגובה: "אנחנו, כמו שאר חברות הקופות, מספקים סליקה לפי תקן EMV. הסליקה מתבצעת בקופה באתר הלקוח בפינפד מאובטח ופרטי האשראי לא נמצאים ברשותנו. אנו לא מחזיקים ברשותנו שרת המאחסן נתונים של לקוחותינו ונתונים אלו לא נשלחו דרכנו בשום צורה ואופן. בכל חברות הקופות בשוק ההסעדה, המסעדן מקבל הזמנות מאתרי משלוחים שונים דרך ממשק ההזמנות שלהם והמידע מגיע דרך אתר ההזמנות שלהם באינטרנט ללא קשר לחברות הקופה. צר לנו שבמקרה הנ"ל חברת המשלוחים של הלקוח לא התנהלה לפי התקן. הפרטים אינם נוצרו דרכנו ולא נשלחו באמצעותנו לאתר הלקוח. לנו אין שום קשר למקרה".