(עדכון: כיוון שלאחר פנייתנו הפרצה תוקנה, עודכנו פסקאות הפוסט ועתה נעשה שימוש בזמן-עבר).
זהירות, מדובר בתחקיר בנוסח עדות העידוק.
אתר iDive, שמספק לצוללנים פוליסות ביטוח, לא שם לב לקיומה של פרצת אבטחה שמאפשרת לשלוף פרטי לקוחות – כתובת אימייל, כתובת פיזית, מספר טלפון וטלפון סלולרי. כמו כן יכלו הסקרנים להציץ לפוליסת הביטוח שנרכשה, לבדוק אילו הרחבות, אם בכלל, היא כוללת, ומשם לדלג הלאה לעמודים של בעלי ביטוחים אחרים.
באתר ישנה הפניה בולטת לבדיקת תוקף תעודת צלילה ושחזורה במידת הצורך – כל מה שצריך לעשות לשם כך הוא להזין את מספר תעודת הזהות של הגולש (בהנחה שרכש את הפוליסה דרך האתר). מרגע שהוזן מספר תעודת זהות המוכר למערכת, מציג האתר את שמו של הגולש, מספר תעודת הזהות שלו, תוקף פוליסות ביטוח שנרכשו בעבר ופוליסה עדכנית (אם קיימת), וכן את המחיר ששולם עבורן. החלק הזה אינו בעייתי לכשעצמו – מדובר בשירות חיוני לצוללנים בחו"ל, במידה שאלו אינם בטוחים שהפוליסה שלהם בתוקף, ומשיחות עם מספר בעלי ביטוחים באתר, עולה שהם מעדיפים את פשטות התפעול וזמינות המידע, ואין הם רוצים שעמוד זה יוגן על ידי סיסמה (בפרט אם מדובר בסופי שבוע בהם התמיכה הטכנית אינה זמינה ואז לא יוכלו לקבל שירות, במידה שיזדקקו לו). יש לציין שאפשרות זו קיימת גם באתרים אחרים.
עם זאת, התבררה בעיית אבטחה בקישורים הנלווים למידע הבסיסי. פוליסה בתוקף מציגה את הקישור "תקף", שהוביל לעמוד הביטוח של הגולש – איזו פוליסה רכש, אילו הרחבות היא כוללת וכו'. העמודות ובהן ביטוחי העבר כללו כולן קישור "לחידוש הפוליסה", גם אם זו חודשה כבר. הקישור הוביל לעמוד אישי ובו טופס שכלל את פרטיו של הגולש – שם, מספר תעודת הזהות, תאריך לידה, טלפון, כתובת, דרגת צלילה וכו' (שדה כרטיס האשראי נותר ריק והיה צורך למלאו בכל פעם מחדש). לא נעים, מעצבן מאד, אבל אלא אם כן אתם חרדים במיוחד לפרטיותכם – עוד אפשר היה לחיות עם זה.
בעית אבטחה מהותית יותר נגעה לאופן שבו ניתן היה לדלג מכרטיס אישי אחד למשנהו. המערכת סיפקה מספרי ID משלה לכל מבוטח, אלא ששורת ה-URL דרכה ניתן היה להגיע לטופס ובו הפרטים האישיים כללה, ככתובת חיצונית שניתן היה לשנות, את מספר ה-ID. כלומר, המשמעות היא שגולש סקרן יכול היה לשנות את המספרים בשורת הכתובת ובכך להגיע לעמודים אישיים של מבוטחים נוספים. אמנם לא היתה דרך למצוא גולש ספציפי, אך האקר סבלני יכול היה לעבור באופן שיטתי על כל הפוליסות הקיימות וליצור לעצמו מאגר נתונים הכולל את פרטי המבוטחים באתר.
כמו כן, בעלי אתרים מתחרים שרצו לדעת כמה מבוטחים יש לבעלי iDive יכלו לרכוש פוליסה, ומרגע שהמערכת סיפקה להם URL אישי משלהם, הם יכולים היו לשחק עם מספר ה-ID ולגלות כמה גולשים מנויים באתר, או כאמור, להעתיק את פרטי המבוטחים וליצור איתם קשר במטרה להציע להם ביטוח מתחרה.
דוד פילוסוף, עורך מגזין "ים", שפורטל הצלילה iDive שייך לו, מסר בתגובה: "לא היינו מודעים לבעיה זו עד כה, אך נפעל לתקנה ולהסיר את הקישורים האישיים במהירות האפשרית".
עדכון (17:30): בתוך פחות מיום מרגע שעורך האתר יודע בדבר הפרצה, היא תוקנה. עתה, הקישור "לחידוש הפוליסה" מוביל לעמוד טופס ריק, שיש למלא מחדש את כל פרטיו. כמו כן, מספר ה-ID הוסר משורת ה-URL בטופס.
בבלוג זה
בכל הבלוגים
כינוי: