בפעם השניה בחודשיים - בן 15 חשף פרצת אבטחה שסיכנה מאות אלפי ישראלים: פרצת אבטחה שהתגלתה בחשבוניות הדיגיטליות של אתר הקניות הפופולרי Terminal X, מאפשרת להגיע לשמות, לכתובות, לספרות אחרונות של כרטיס אשראי ולפרטי ההזמנות של מאות אלפי לקוחות האתר. את הפירצה גילה אלכסנדר סטרלניקוב, נער בן 15 תושב חדרה, שהזמין לעצמו חולצות לבית הספר מהאתר.
לעדכונים נוספים ושליחת הסיפורים שלכם - היכנסו לעמוד הפייסבוק של החדשות
סטרלניקוב גילה את הפרצה ביום רביעי ופנה לשירות הלקוחות של החברה. נציג החברה חזר אליו ביום חמישי, הודה לו, ביקש לקבל את כל הפרטים ואף אישר: "נכון, אם משחקים עם זה, אני מסכים שאם אתה משחק עם זה צריך הרבה מזל, אבל נכון אפשר להגיע". למרות שיחה זו, בבדיקת N12 אתמול (חמישי) בערב נמצא כי ניתן להגיע לחשבוניות של לקוחות אחרים.
רק לאחר פנייתנו לקבלת תגובה הבוקר, נראה כי בחברת Terminal X חסמו את הגישה לחשבוניות הדיגיטליות. באמצעות הפירצה, ברגע שעולים עליה כמובן, כל אחד שיש לו קישור לחשבונית דיגיטלית אחת של אתר יכול להגיע באופן די פשוט לחשבוניות של לקוחות אחרים.
למעשה, מה שסטרלניקוב גילה, זה כי החשבוניות הדיגטליות של הלקוחות מאוכסנות בענן וכי הקישור לחשבונית הדיגטלית מורכב בין היתר ממספר החשבונית, מהתאריך ומהשעה בה הונפקה. אם משנים את המספר הסידורי של החשבונית ובמקביל את השעה בה הונפקה – מגיעים לחשבונית אחרת עם פרטיו המלאים של לקוח אחר.
"פתחתי את החשבונית ופתאום שמתי לב שהקישור מורכב ממספר חשבונית ומועד ההדפסה", מספר סטרלניקוב שהחל כיתה י' בכיתת מצטיינים. "שיחקתי עם זה קצת והבנתי שאפשר להגיע לחשבוניות של לקוחות אחרים, אז הודעתי מיד לשירות הלקוחות. זה לא נעים לגלות שכל אחד יכול לראות את פרטי ההזמנה שלך ושל כל לקוח אחר. מסתבר שיש חברות גדולות בארץ שלא שומרות על פרטיות הלקוחות שלהן ולא משקיעות מספיק באבטחת מידע".
זוהי לא הפעם הראשונה שסטרלניקוב מאתר פרצת אבטחה בחשבוניות הדיגיטליות של חברה גדולה במשק הישראלי. הפעם הקודמת הייתה בסוף חודש יולי, אז בעת שעזר לאמו בניהול חשבונות העסק שלה, גילה להפתעתו פרצת אבטחה חמורה בחשבוניות של שטראוס מים. בשטראוס מים חסמו אז את הגישה לחשבוניות הדיגיטליות בעקבות פניית N12.
מאתר Terminal X נמסר: "אנו מודים ללקוח ולאתר N12 על העברת המידע. מדובר בליקוי טכני שהתגלה אתמול ושנחסם על ידינו. חשוב להדגיש שלא נחשפו פרטי אשראי או תעודת זהות של אף לקוח. שבת שלום״