אבטחת מידע? אל תצחיקו את EventGo ומדינת ישראל

הסיפור הזה מתגלגל כבר כמה ימים – משתמש בקבוצה העוסקת באבטחת מידע בפייסבוק חשף פירצה חמורה במערכת ניהול האתר ורכישת הכרטיסים ב"בארבי" וב"שבלול". אתרים אלה מבוססים על מערכת בשם EventGo, שככל הנראה נמצאת בשימוש נפוץ בקרב מועדונים. זו לא הפעם הראשונה שבה מתגלה פרצת אבטחה באתר ה"בארבי", וכיאה וכיאות לאנשים טובים, התריעו משתמשי הקבוצה בפני המועדון וחברת EventGo על קיומה של הפירצה הבעייתית.

הפירצה איפשרה כניסה חופשית למערכת ניהול ההופעות של המועדון, הוספת הופעות, שינוי מחיר הכרטיס וכו'. חמור מכך, כל מי שנכנס למערכת היה יכול לשלוף נתונים של עשרות אלפי אנשים שהזמינו כרטיסים במערכת. המידע כלל שמות, מספרי תעודת זהות, טלפון וכתובות אימייל. מומחי אבטחת המידע טענו שעם קצת מאמץ אפשר היה להגיע גם למספרי כרטיסי האשראי. וכל זה בלי שום צורך בידע מקדים – הקליקו על הלינק ותדעו בדיוק מי קנה כרטיסים להופעה של פורטיס.

חשיפת הפרטים והתקלה החמורה במערכת, שאיפשרה את הגישה החופשית הזו, הן חמורות בפני עצמן. אבל הבעיה הגדולה פה היא התגובה המתגוננת והמופרכת של EventGo. במקום להודות למי שחשף את הפירצה (ולא ניצל אותה לצרכיו האישיים), לתקן אותה במהירות ולהמשיך הלאה, החברה בחרה בשלל טקטיקות נלוזות, כמו איום על חושפי הפירצה בתביעות, הפלת האשמה על המועדונים ושימוש במושגים שאין ביניהם ובין המציאות דבר. למשל, החברה טענה שה"פורצים" השתמשו ב-DDoS כדי להגיע למאגרי המידע, בעוד שכל מה שהיה צריך לעשות זה לחפש בגוגל ולהקליק על לינק גלוי לכל, שאפילו לא היה מוגן בסיסמא בסיסית.

בשלב זה אפשר לשאול – איך אפשר לבוא לטענות לחברה כמו EventGo, כאשר מדינת ישראל בכבודה ובעצמה מאפשרת לנתונים שלנו לדלוף ולהגיע לידיים של חברות מסחריות, שעושות בו שימוש מציק, פולשני ובלתי חוקי בעליל? אבל הי, המאגר הביומטרי לא ידלוף לעולם! מה פתאום?!

בלית ברירה, ומכיוון שהפרטיות שלנו חשופה למתקפה מתמדת, מוטלת עלינו החובה להגן עליה בכל אמצעי העומד לרשותינו. מודעות ותשומת לב אולי לא יעזרו נגד מדינת ישראל בשלב זה, אבל זה בהחלט יעזור בפעם הבאה שאתם חושבים לקנות כרטיסים להופעה.

תגובה אחת ל-אבטחת מידע? אל תצחיקו את EventGo ומדינת ישראל

  1. שלומי בורוביץ

    אולי DDOS זה באמת מה שהם צריכים… זה גם יגן על המשתמשים התמימים מלחשוף את פרטיהם בפני המחדל הזה

כתיבת תגובה

האימייל לא יוצג באתר.

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>