ב-Online
 
 
 
 
 
 
 
 
פרצה באתר המשחקים של שטראוס אפשרה שינוי פרטי משתמשים 

פרצה באתר המשחקים של שטראוס אפשרה שינוי פרטי משתמשים

 
 
אורן הוברמן

חשיפה ראשונה: פרצה באתר המשחק שמציע "לסדר לכם את החיים", אפשרה לכל אחד להיכנס לתוך חשבונות של משתמשים שלא הגדירו שאלה לזכירת סיסמה, לשנות את פרטיהם ו"לגנוב" את הנקודות בהן זכו. לאחר שנודע לשטראוס ממערכת נענע על הפרצה היא נחסמה, אך בחברה מכחישים שהפרצה היתה קיימת מלכתחילה

 
 
 
 
 
 
 
 
 
האתר של שטראוס. אין לכם סיסמה? לא נורא
 האתר של שטראוס. אין לכם סיסמה? לא נורא   
פרסום ראשון: במשך קרוב לחודש, מאז עלה לרשת משחק האינטנט המשותף לחברת שטראוס ול-msn ישראל, יכול היה כל גולש לחדור לחשבונותיהם של משתתפים אחרים ולעשות בהם כרצונו, בכלל זה לשחק במקומם, לגזול את הנקודות שצברו ואולי גם את הפרסים שנזקפו לזכותם.

מקורה של התקלה בפרצה מדהימה בפשטותה. מתברר שכדי להיכנס לחשבונו של משתמש קיים, כל מה שנדרש היה להקיש שם משתמש מקרי, וסיסמה כלשהי. מיד אחרי כן הודיעה המערכת כי הסיסמא שגויה ומציעה אפשרות: "שכחתם את הסיסמה? לחצו כאן". לחיצה על כפתור זה מפעילה שיטה פופולארית לזיהוי משתמשים באמצעות שאלה ותשובה שהגדירו מראש בשלב ההרשמה. באם בחרו הנרשמים שלא להזין שאלת זיהוי לשדה זה, הספיקה לחיצה אחת על לחצן "אישור", כדי להיכנס לחשבונו של המשתמש המקורי.
 
שלב א`. הכנסת שם משתמש עם סיסמה שגויה
 שלב א`. הכנסת שם משתמש עם סיסמה שגויה   

מכאן היתה פתוחה הדרך בפני "הפולש" כשהאפשרויות הן כמעט בלתי מוגבלות: באם למשתמש המקורי יש עשרות משחקים הרשומים על שמו, או מאות נקודות, ניתן היה להשתמש בהם ללא בעיה, ואף לראות את פרטיו המלאים החל משמו המלא וכלה בכתובתו, מספר הטלפון שלו ופרטים אישיים נוספים.

באם המשתמש המקורי צבר נקודות רבות, או שהיה מועמד לזכייה בפרס כלשהו, אפשרה באופן תיאורטי הפרצה לשנות את פרטיו האישיים ולהכניס במקומם את פרטיו של "הפולש" כך שהוא יוכל לקבל את הפרס או לפחות למנוע אותו מהזוכה האמיתי.


 
שלב ב`. אם אין שאלה לזכירת סיסמה - ניתן היה להקיש `אישור`
 שלב ב`. אם אין שאלה לזכירת סיסמה - ניתן היה להקיש `אישור`   
חשוב לציין כי הפרצה אפשרה חדירה רק לחשבונותיהם של משתמשים שבחרו שלא להשתמש באפשרות "שאלה ותשובה" בשלב ההרשמה, אך בדיקה מגלה כי כאלה יש עשרות ואולי גם מאות. באתרים אחרים אשר נעזרים גם הם בשיטת "השאלה והתשובה", כאשר לא מוגדרת שאלה ותשובה בשעת ההרשמה - האופציה מתבטלת, דבר המונע כל אפשרות לניצול דומה של הפרצה.

האתר של MSN ישראל וחברת שטראוס הוא אתר משחקים מושקע ומתוקשר ביותר. בעת מסיבת העיתונאים שבה הכריזו נציגי החברות על הפעלת האתר, הוכרז כי אחת הסיבות להקמתו, מעבר לשיקולים המסחריים - היא להביא את האינטרנט והמחשב לכל בית ובצורה הפשוטה והידידותית ביותר. עתה, פחות מחודש לאחר שהחל לפעול וצבר לעצמו כנראה גם אוהדים רבים, מתברר שלא פחות ממה שיכולה אולי חברת שטראוס לסדר את הגולשים בחיים, כפי שהיא מבטיחה בפרסומת, יכולים היו גולשים ממולחים לסדר את שטראוס.

ראוי לציין כי לא מדובר בכשל האבטחה הראשון של אתר המשחקים. לפני כחודש לערך, נחשפה ב"דה מרקר" שגיאת תכנות באתר שאפשרה לגולשים "לרמות" את המערכת ועל ידי אפליקציה פשוטה להשיג מדי יום את מירב הנקודות האפשרי. לאחר שנחשפה הפרצה ירד האתר למספר ימים "לצורך שיפוצים", והבאג תוקן.

 
 
בחברת שטראוס הופתעו לשמוע על הפרצה החדשה. פיני קמרי סמנכ"ל מערכות מידע בחברה, אמר בתחילה שאינו יודע על כך דבר. לאחר שנוכח בעצמו בקיומה של הפרצה ביקש לבדוק את העניין. בשיחה מאוחרת יותר טען כי השם לדוגמא שהועבר אליו שייך לעובדת החברה וכי המדובר בניסוי פנימי. יחד עם זאת הוא ביקש וקיבל רשימה נוספת של שמות משתמשים אשר חשבונותיהם התגלו כפרוצים והבטיח לבדוק את הנושא.

 
השתתף בהכנת הכתבה: ניר תובל
 השתתף בהכנת הכתבה: ניר תובל   
זמן קצר אחרי כן חזר אלינו קמרי, וטען הפעם כי בדק את השמות שנמסרו לו אך אף אחד מהם אינו פרוץ. בדיקה נוספת של מערכת נענע גילתה כי באורח פלא נוספה לכל בעלי החשבונות שהיו פרוצים שאלת הזיהוי - "מהו שם הכלב" .

קמרי, סמנכ"ל מערכות המידע של "שטראוס", ביקש להבהיר על כל פנים כי גם אם אכן הייתה פרצה לא ניתן היה "לגנוב" באמצעותה פרסים של משתמשים, משום שלצורך קבלת הפרס יש להציג במשרדי החברה גם את כרטיס ההשתתפות ועליו המספר הסידורי. עוד הדגיש כי לא ייתכן שהיתה אפשרות ששמות זוכים יכולים היו להימחק באמצעות הפרצה, וטען שאילו הדבר היה כך היה בוודאי היה מקבל תלונות רבות, אך הוא לא קיבל תלונות בנושא. קמרי הבטיח כי בדיקת הנושא תימשך.

 
 
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
 

כל הזכויות שמורות 2011 © נענע 10 בע"מ
 
 
 
 
כל הזכויות שמורות © Nana10 בע"מ
Video powered by