ב-Online
 
 
 
 
 
 
 
 
פירצת האבטחה של "מיתוס" 
 
 תקלה מופלאה. מיתוס   
 
עידו קינן

אימיילים שנשלחו מהגולשים – הופצו לכל רשימת התפוצה; מערכת הניהול של הרשימה היתה פתוחה ולא מוגנת בסיסמה; מנכ"לית מיתוס: מדובר בתקלה, ופרטי האשראי לא נחשפו

 
 
 
 
 
 
 
 
 
תקלה ברשימת הדיוור של החנות המקוונת "מיתוס" גרמה להעברת אימיילים, שנשלחו מהמנויים למיתוס, אל כלל חברי הרשימה. בהמשך לפרשה גילה אחד המנויים, נדב אשכול, כי מערכת ניהול הרשימה נגישה דרך הרשת ואינה מוגנת סיסמה, כך שניתן לשלוף ממנה את ארכיון הרשימה – כולל האימיילים שנשלחו בטעות לכל הרשימה.

ביום ה' דיווח ynet על התקלה הראשונה, זו שגרמה להעברת האימיילים ששלחו המנויים למיתוס אל כלל הרשימה. מדובר ככל הנראה בהגדרה לא נכונה של רשימת התפוצה: במקום להגדירה כרשימה סגורה, בה רק מנהל הרשימה יכול להעביר אימיילים אל חבריה, היא הוגדרה כרשימה פתוחה, בה כל חבר יכול לשלוח הודעות לכולם.
 
אחד האימיילים שנשלחו לכלל הרשימה
 אחד האימיילים שנשלחו לכלל הרשימה   
מנויי הרשימה, שלא ידעו זאת, שלחו את האימיילים שלהם ב-reply, מתוך מחשבה שאלו יגיעו אל מנהל הרשימה, והופתעו לגלות שהם נשלחו לכולם. בחלק מהמקרים, הגדירו המנויים הודעה אוטומטית על היעדרות מהמשרד, וזו נשלחה אוטומטית לרשימה עם קבלת העדכון ממיתוס. הודעות אלה חושפות לעתים פרטים אישיים כמו סיבת היעדרות ופרטי התקשרות (וכמובן את כתובת האימייל של השולח).

תקלה דומה קרתה באפריל 2002 ברשימת תפוצה של האתר הכלכלי דה מרקר. וירוס klez שנשלח אל כתובת הרשימה הופץ, בגלל הגדרתה כרשימה פתוחה, לכלל החברים. זיו (שם בדוי), אחד המנויים, זיהה את מקור הבעיה ושיגר אימייל לרשימה, תחת הכותרת "Wake up The Marker", בו הזהיר: "עמיתיי המנויים, אם אתם מקבלים אימייל זה, פרוש הדבר שנוהגי האבטחה והפרטיות של דה מרקר הם עלובים. מאוד עלובים". מדה מרקר נמסר אז כי הפירצה נחסמה מיד עם גילויה.
 
 
ונחזור למיתוס: בתגובה לפרסום של ynet, מסר היום יו"ר מיתוס, אשר קניפל: "מיתוס החליפה שרת למשלוח דואר ללקוחותיה ועקב כך נגרמה תקלה קלה [...] לא הייתה כל בעיה של אבטחה כי מדובר בשרת ששולח מיילים פרסומיים ואין לו קשר לשרתים מאובטחים שלנו. אנו מניחים כי מספר מתחרים 'קפצו' על ההזדמנות ומנסים לשתול תגובות לא רלוונטיות לכתבה זו".

גם אם לא היתה בעיית אבטחה, התקלה גרמה לחשיפת פרטים אישיים של הגולשים. אבל דווקא כן היתה בעיית אבטחה, כפי שגילה כבר ביום שישי נדב אשכול (וובמאסטר וכותב מזדמן בחיים ברשת). לדבריו, ניהול הרשימה הועבר בתחילת ינואר (כלומר יום ה') לחברה חדשה, והיא זו שאחראית על הגדרת הרשימה כפתוחה. עוד גילה אשכול שבכניסה לממשק האינטרנטי לניהול הרשימה לא הוגדרה סיסמה, כך שניתן להיכנס אליה, לקרוא את כל הודעות הרשימה (כולל הודעות טיוטה שהוכנו ולא נשלחו, וההודעות שנשלחו לרשימה על ידי המנויים) ולשלוף את כתובות האימייל של למעלה מ-20 אלף המנויים שלה. בעיית אבטחה או לא?

כפי שאשכול ציין באתרו, "כל ספאמר או מתחרה של מיתוס היה שמח לשים את ידו על רשימה מפולחת כזו הכוללת מנויי של חנות ספרים". למזלם של אנשי מיתוס, הפירצה בממשק האינטרנטי לא איפשרה לשלוח הודעות לחברי הרשימה.

אשכול שלח (ו') אימייל לשירות הלקוחות, בו הוא מתריע על פירצות האבטחה ברשימת הדיוור. הבוקר, יומיים אחרי פנייתו, קיבל אשכול את התשובה הבאה: "לצערנו, עקב החלפת שרתים קרתה תקלה במערכת שליחת הדוא"לים. התקלה טופלה ותוקנה. אנו מתנצלים על אי הנוחות והטירדה שנגרמו בשל כך. אין מדובר בבעיית אבטחה". בניגוד לדבריה, ארכיון הרשימה נסגר סופית רק ב-13:00.
 
 

מנכ"לית מיתוס: מספרי כרטיסי האשראי לא נחשפו

"בסופו של דבר, קרתה תקלה", מסרה מנכ"לית מיתוס, רותי בן-דור, בתגובה לדברים. "אנחנו מאוד מתנצלים – כבר ביום שישי כתבנו מכתבי התנצלות והסבר, ושלחנו למי שפנה אלינו. כמובן שזה יותר לא יקרה".

בן-דור ביקשה להרגיע את לקוחות מיתוס: "חשוב להדגיש שלא נחשפו פרטי אשראי, לא טלפונים ולא כתובות. הפרטים האלה נמצאים בשרת נפרד ומאובטח".

בנוגע למערכת הניהול של הרשימה, שלא היתה מוגנת סיסמה, אמרה בן-דור: "רוב האנשים לא נכנסו לשם. רק מי שמומחה ומבין נכנס לשם והתעסק. יש לנו למעלה מ-200 אלף מנויים על הרשימה, והעלינו לאתר החדש רק חלק מצומצם מהם, כך שגם מי שנכנס לא ראה יותר מדי כתובות, שחלק מהן גם לא פעילות. כשנכנסו לעמודים האלה וראינו את זה – זה מיד נחסם".


* גילוי נאות: חברת נטוויז'ן, מפעילת פורטל נענע, מחזיקה גם באתר המכירות בוקנט, המתחרה במיתוס
 
 
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
 

כל הזכויות שמורות 2011 © נענע 10 בע"מ
 
 
 
 
כל הזכויות שמורות © Nana10 בע"מ
Video powered by