זהירות מחנויות ישראליות ברשת

הרצת קודאחרי 5 שנים הלכה לי מכונת תספורת די טובה ויקרה שרכשתי, והגיע הזמן לרכוש אחת חדשה. אז הלכתי לזאפ למצוא דגמים ולחקור עליהם קצת, וגם הלכתי לחנויות אשר מוכרות את המכונות אשר נראו לי, ועשיתי מה שאני עושה תמיד במקומות כאלו: בודק האם המידע שאתן להם יהיה בטוח. זה מאוד פשוט, אני לא תוקף את החנויות האלו, רק שם תווים "מיוחדים" אשר מי שלא עשה עבודה טובה ישבר בעת קבלת המידע שהוא רוצה להציג לי (לא יגרם לו שום נזק אבל) בעוד מי שעשה עבודה טובה לא ירגיש בהם.

כאשר אני מדבר על "תווים מיוחדים" הכוונה היא תווים הנגישים מהמקלדת, אבל מאפשרים לי להתערב במידע המגיע אלי ממסד נתונים, אשר עובד בשפת תכנות בשם SQL הבנויה לקבל הוראות מה לעשות. למשל בתמונה למעלה שמתי פסיק (אשר אינו אומר כלום במקרה הזה לשפה), והאתר מייד נשבר ומציג הודעת שגיאה.

סוג התקפה כזה מוכר בעולם אבטחת המידע כבעיית אבטחה מסוג "הזרקת קוד". כאשר "קוד" מדבר על "קוד מקור" – הצורה שבה אומרים למחשב לעשות דברים. במקרה הזה תת הבעיה נקראת "הזרקת SQL" היות ומזריקים בעצם קוד SQL. הבעיה היא מאוד חמורה היות וכל בעל ידע, או אחד שמוצא כלים אוטומטיים ברשת, יכול להשיג המון מידע באמצעות הבעיה הזו. אני יכול לדעת אילו טבלאות יש במסד הנתונים, אילו שדות יש בכל טבלה, ואפילו לקבל את המידע עצמו הקיים בטבלה. וכאמור, יש הרבה כלים אוטומטיים שעושים את זה בשבילי, כך שאני אפילו לא צריך להתאמץ בשביל זה.

ואם להוסיף חטא על פשע, אז השרתים עליהם החנויות רצות מכילים תוכנות ישנות מאוד אשר לא עברו שדרוג. אם אתם תוהים מה הבעיה כאן, אז לא לעדכן ולשדרג מערכות, ובעיקר לא להתקין תיקוני באגים אומר שאתם פגיעים לבעיות אבטחה וניצול שמאפשר לי אפילו להשתלט על השרת ולשים שם מה שאני רוצה. למעשה אם המערכות שאתם עובדים איתם גם בבית עובדות תמיד על העדכונים האחרונים, סביר להניח שכמות בעיות האבטחה שאתם מסתכנים בהם קטן מאוד (כמובן שזה מעט מורכב יותר).

בעת החיפושים שלי אחר חנות, היו גם חכמולוגים שרושמים שיש להם אבטחה גבוהה בגלל שיש להם תעודות הצפנה. אבל מה יעזור לי אם החנות מחזיקה תעודת הצפנה תקפה (ורובן לא עושות את זה, אלא מרכזות את המידע שלך במקום לא מאובטח ואז שולחות אותו לאתר אחר שהוא המאובטח) אם אני יכול להשיג את המידע הזה אחרי שעברתי הצפנה ?!

מישהו אמר לי כי מה שאני עושה מקביל לניסיון לשדוד מקום, בשביל לראות האם הוא שומר על הכסף שלי. אבל זה ממש לא אותו הדבר! זה יותר כמו ללכת למקום ולבקש מהמוכר את פרטי כרטיס אשראי של לקוח אחר כי סתם בא לי לדעת. הרי לא הגיוני שמוכר יתן לי את המידע הזה נכון ? אז למה כאשר מדובר באתר, אין את ההבטחה הבסיסית ביותר שהמידע שלי יהיה מאובטח ולא יהיה נגיש לכל "דורש" ?

מצטער, אבל כל עוד רמת בניית האתרים בישראל תשאר נמוכה על סף פלילית – אני לא מוכן לסכן את המידע שלי ולשים אותו בחנויות ווירטואליות.

18 מחשבות על “זהירות מחנויות ישראליות ברשת

  1. אפי

    אם אתה מדבר על מידע של כרטיסי אשראי אז הנוהל לפי מה שאני מכיר זה שהפריטי כרטיס אשראי מועברים ישירות לחברת הסליקה ולא עוברים דרך אתר הקניות עצמו . (אם אני לא טועה זה לא חוקי להחזיק מסד נתונים של מידע כזה ללא אישור שרק לחברות הסליקה יש )

    האם החורי אבטחה שזיהת היו באתרי הסליקה?

    1. ik_5 מאת

      לא התעמקתי. אני לא מנסה לנצל בעיות אף פעם, אלא רואה אם יש בעיות. ראיתי שיש SQL Injection ו XSS ועצרתי שם ועזבתי את המקום.

  2. אילן שביט

    הי עידו
    בדואר מוכרים כרטיס אשראי (ויזה) שטעון מראש בכסף (ניתן לטעון אותו בכל סכום בין 200 ל- 1000 ש"ח). הכרטיס מיועד לקניות ברשת (גם בחו"ל) ואין שום פרט עליך (כולל שם) או על חשבון הבנק שלך (עלות ההנפקה שלו היא 20 ש"ח – חד פעמית).
    אני חושב שהדבר יכול להיות פתרון מצויין לקניות ברשת (אני בכל אופן משתמש בו ומרוצה מאוד).
    http://www.israelpost.co.il/postshirut.nsf/misparid/163?OpenDocument

    1. ik_5 מאת

      הם עדיין שומרים עלייך מידע כמו כתובת משלוח, שם וטלפון, כל זה לא ישתנה עם כרטיס החיוב של הדואר.
      אני פחות מפחד מלהשאיר כרטיס אשראי, כי אם גנבו אותו יש מה לעשות (בניגוד לכרטיס החיוב למשל).

      1. אילן שביט

        שם כתובת וטלפון ניתן לברר בקלות על כל אזרח מדינת ישראל (במדריך 144 למשל) ואין פה סכנה מיוחדת.
        לגבי גנבה: אני לא הולך איתו בשוטף ולכן הוא לא יכול ללכת לאיבוד (ובכל מקרה הוא טעון בסכום קטן שממש לא מדיר שינה מעיני גם אם בכל זאת "יעקצו" אותי).
        הסכנה בשימוש בכרטיס אשראי רגיל הוא בביצוע הונאה בהיקף גדול. אמנם יש ביטוח אבל עדיף לא להגיע לזה…

    1. גיא דפני (עוץליגוץלי)

      רם, יש תקנים מסודרים. הבעיה היא שמי שבודק אותם עובד לפי checklist לא מעודכן, ולא מבין מספיק כדי לדעת מה לבדוק גם אם לא רשום.

  3. a

    זה שלא תקין לשמור פרטי אשראי לא מונע מאנשים לעשות זאת –
    בפעם הבאה שאתם מעבירים כרטיס אשראי בחנות הסתקלו על החשבונית – רוב המדפסות מדפיסות את כל המספר של האשראי (למרות זה לא אמור להיות תקין).

    הרבה האתרים מחזיקים מידע מאפיין לאחר ביצוע רכישה (של האשראי) (תתפלאו אבל גם את ה cvv) , בישראל עדיין לא מכובל להחזיק pci-compliance

    כרטיס האשראי (בשקלים) של דואר ישראל לא מכובד בכל החנויות.
    כרטיס האשראי הנטען visa elctronic של דואר ישראלי הוא כרטיס מזוהה (מכובד בכל מקום).

  4. Shoshannah Forbes

    שירותים כמו פייפאל או מספר כ"א חד פעמי מאפשרים לתת מעט יותר בטחון במקומות שבהם אין הרבה מראש (אתרים סינים זולים…)

    וכמו שאחרים ציינו, גם בחנויות פיזיות האבטחה היא לא תמיד מי יודע מה… (ולך תדע אם אתה קונה בחנות פיזית שיש לה גם אתר האם המאגר עם פרטי הלקוחות משותף גם לאתר).

    1. ik_5 מאת

      זה אכן סיכון מסויים, אבל כאשר אני בחנות פיזית אני לא מחוייב לתת הרבה פרטים אישיים על עצמי כדוגמת מגורים וכו' … אם אני משלם במזומן אני גם יכול להגיד שקוראים לי בשם שונה מאשר השם האימיתי שלי, משהו שאני לא יכול לעשות כאשר אני קונה ברשת, כי זה צריך להגיע אלי הביתה (או כל מקום אחר). תמיד אפשר לשכור תיבת דואר או משהו כזה, אבל זה עדיין דורש ת.ז. בפעם האחרונה שבדקתי …

    2. Guy Rutenberg

      שמתי לב שיותר ויותר אתרים בארץ מקבלים paypal, ומאז אני מרגיש הרבה יותר נוח לקנות. זאפ אפילו הגדילו ועשו ומציינים באתר שלהם אילו חנויות מקבלות פייפאל.

      1. ik_5 מאת

        "גיא ? שלום מדבר ___ מ ___ קיבלנו ממך את ההזמנה דרך paypal, אבל יש לנו מספר שאלות שלא ברורות לנו ממה שכתוב בחשבונית מספר ____, אתה יכול בבקשה לעבור איתנו על זה שנוכל לשלוח לך את המוצר ?"

        זו דרך אחת שאפשר להשתמש במידע באתר עצמו בשביל לפגוע בך גם אם אין לי את פרטי כרטיס האשראי שלך. ולצערי כולנו פגיעים בצורה כזו או אחרות ל social engineering שאפשר להשיג דרך מקורות שונים. קח בחשבון שכנראה ההזמנה שלך גם אם כרטיס האשראי לא רשום במסד נתונים קיים במסד נתוים ולכן לא הגנת על כלום.

        1. צפריר כהן

          Paypal לא מיועד להתגונן נגד זה. הוא יכול אולי לעזור כאן, אבל זו אינה מטרתו העיקרית. אם אתה קונה עם כרטיס אשראי, כל מי שקיבל את המספר יכול לקנות בשמך ללא הגבלה. אם אתה קונה עם Paypal, רק אנשי Paypal יכולים לקנות על שמך ללא הגבלה.

          וכן. מדהים שמשהו פגום כל כך כמו מערכת כרטיסי האשראי עדיין בשימוש.

  5. פינגבק: בלוגיק – נבחרי השבוע מהבלוגספירה הישראלית [25-11-11] | Newsgeek

  6. פינגבק: עוד פוסט חסר תועלת בנושא הפריצות | לראות שונה

  7. פינגבק: "מתקפת הסייבר" – או איך שוב פעם כושלת העיתונות הישראלית | לראות שונה

כתיבת תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s