פרצת אבטחה מדאיגה במיוחד התגלתה היום (שישי) באפליקציית ההשקעות "פפר אינבסט" של הבנק הדיגיטלי "פפר" מבית בנק לאומי. הפרצה החמורה עלולה לאפשר לכל אדם שהוריד את האפליקציה לקבל את שמו של משתמש ופרטיו, על ידי הזנת מספר הטלפון. מבנק לאומי נמסר: "מדובר בפיילוט, נבחן את הנושא".
לסיפורים הכי מעניינים והכי חמים – הצטרפו לפייסבוק שלנו
למעשה הפרצה אפשרה לכל אדם שהוריד את האפליקציה המיועדת להשקעות דרך "פפר", להזין מספרי טלפונים - ואם לאותם מספרים היה משוייך חשבון של לקוחות בבנק הדיגיטלי, פרטיו האישיים היו מתגלים, בהם גם שמו המלא. לא ידוע אם נעשה שימוש בפרצה שהופיעה באפליקציה, שזמינה כרגע רק למשתמשי אנדרואיד.
"חולשה בת עשורים - מדאיג שלא בחנו אותה"
מפתח התוכנה, רן בר זיק, הסביר את התקלה: "כשמשתמש מכניס הרבה מספרים לתוך המנגנון והוא בתגובה לא חוסם אותו - זה מצב שנקרא 'התקפת ברוט פורס'. המשמעות היא שבגלל שהשרת לא חוסם כשמריצים עליו המון מספרים ובאופן עקרוני ניתן לשלוח מיליוני מספרים, בדרך זו אפשר לקבל את מאגר הנתונים המלא של כל הלקוחות - שמות וטלפונים".
עוד מסביר בר זיק כי די בקלות ניתן לבנות תוכנה פשוטה - היא שולחת מספרים אקראיים או מספרים מתוך מאגרים אחרים ובונה בעזרתם מאגר של לקוחות. "עם מאגר כזה ניתן בעיקר להתקיף את הלקוחות, לשלוח להם הודעות מזויפות מטעם הבנק כדי לשכנע אותם להתחבר לאתר מזויף עם הפרטים שלהם ולהעביר לשם כסף", הסביר.
"חולשת האבטחה הזו היא בת עשורים והיא מאוד ידועה - היא מדאיגה במיוחד כי זה הדבר הראשון שמומחה אבטחה בודק כאשר הוא בוחן אפליקציה מסוימת", המשיך בר זיק. "החולשה הזו מראה שאיש אבטחה לא בחן את התהליך הזה וזה מדאיג".
מבנק לאומי נמסר בתגובה לפרסום: "מדובר בגרסת beta של אפליקצית אינבסט, השייכת לבנק הדיגיטלי פפר, שנפתחה למספר מאוד מצומצם של משתתפים פנימיים ובאנדרואיד בלבד. חשוב לציין כי בשום שלב לא ניתן לדעת פרטים מתוך חשבון הבנק של הלקוחות או כל מידע פיננסי אחר. תודה על תשומת הלב, שהרי זו המטרה העקרית של הפיילוט".