אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
קראו עוד סגור

מדריך כלכליסט

הפרצה בעליבאבא ועלי אקספרס: כל מה שאתם צריכים לדעת

פרצת אבטחה חדשה מאיימת על משתמשי האתרים עליבאבא ועלי אקספרס. ואולם, לדברי מנכ"ל החברה הישראלית שגילתה אותה, צריך להיות האקר מומחה בשביל להשתמש בה, כך שבינתיים הסכנה מצומצמת יחסית

08.12.2014, 12:18 | רפאל קאהאן

חוקרים מחברת Appsec Labs הישראלית דיווחו על פרצת אבטחה חדשה באתרי הקניות הפופולריים, דרכה ניתן לקבל גישה לפרופילים של המשתמשים. ואולם, לדברי ארז מטולה, מנכ"ל החברה הישראלית שמצאה את הפרצה, רק האקרים מומחים יוכלו לנצל אותה ולפגוע בגולשים. הפרצה נחשפה בדיווח של "לילה כלכלי" בערוץ 10.

לעמוד כלכליסט-טק לחצו כאן

קראו עוד בכלכליסט

"מצאנו את הפרצה כבר לפני חודש ודיווחנו עליה מיד לעליבאבא", הסביר מטולה ל"כלכליסט". "הפרצה מאפשרת למישהו להיכנס למערכת האתרים עליבאבא ועלי אקספרס ולשנות את פרטי הפרופיל וכך להשתמש בפרטים של מישהו אחר ללא ידיעתו".

מהי הסכנה למשתמשי האתר?

"בפועל יכול להיווצר מצב בו מישהו נכנס לפרופיל המשתמש ומבצע קניות בשמו", הסביר מטולה. (לשם כך, צריך שכרטיס האשראי יהיה מוזן במערכת - ר"ק). מטולה מסביר שהבעיה קיימת גם בצד של המוכרים, "מי שנכנס למערכת יכול גם להיכנס למערכת הניהול של החנות המקוונת".

הפרצה מאיימת על משתמשי עליבאבא ועלי אקספרס הפרצה מאיימת על משתמשי עליבאבא ועלי אקספרס הפרצה מאיימת על משתמשי עליבאבא ועלי אקספרס

מה בפועל יכול פורץ לבצע?

"הוא יכול למשל לבצע רכישות בשמו של משתמש אחר, או יותר חמור יותר - לשנות פרטי מכירה של מוצרים מצד המוכרים. למשל, אם אני רוצה לרכוש מוצר שעולה 100 דולר, אני נכנס למערכת הניהול של החנות ומשנה את מחיר המוצר ל-1 דולר ללא ידיעת המוכר". 

מאין נובעת הפרצה?

"הפרצה מתבססת על בעיה ידועה ומוכרת בתחום אבטחת אפליקציות ואתרים. היא אינה כה נדירה ולמעשה אנחנו נתקלים בה חדשות לבקרים באתרים שבחלקם הם גדולים ומוכרים, בין אם מדובר באתרי מסחר אלקטרוני או אפילו באתרים של בנקים".

צריך להיות מומחה אבטחה על מנת להשתמש בפרצה בעליבאבא, צילום: שאטרסטוק צריך להיות מומחה אבטחה על מנת להשתמש בפרצה בעליבאבא | צילום: שאטרסטוק צריך להיות מומחה אבטחה על מנת להשתמש בפרצה בעליבאבא, צילום: שאטרסטוק

האם יש סכנה שכל דכפין יוכל עכשיו להיכנס לפרופיל שלי ולהזמין בשמי?

"לא. למעשה כדי לנצל את הפרצה צריך רקע טכני בתחום אבטחת המידע וכן נדרש רקע בתחום אבטחת האפליקציות ברמה מקצועית", מרגיע מטולה.

מה הפתרון?

"פנינו לעליבאבא כבר לפני חודש מרגע שגילינו את הבעיה, אולם עד כה זכינו להתעלמות מוחלטת. אני לא יודע אם זה בגלל הבדלי שפה או שפשוט הם לא הבינו את חומרת הבעיה. בכל מקרה היום כבר יצרנו קשר עם נציג של החברה מהונג קונג ואנחנו מקווים שהעניין יקודם". 

   

עלי אקספרס הוא אתר קניות פופולרי במיוחד ומהווה ראש גשר לפעילות עליבאבא במערב. הפרצה שהתגלתה היא סוגיה חריגה מאוד, משום שעליבאבא מקפידה על אבטחת עלי אקספרס ועל אמינות המוכרים בו, בין היתר במטרה לחמוק מהתדמית הבעייתית של חברות סיניות בעיני משתמשים באירופה ובארה"ב. 

תגיות

5 תגובות לכתיבת תגובה לכתיבת תגובה

5.
כמו שאמרו לפני, רוב האנשים צריכים להזין מחדש לפני כל רכישה את האשראי שלהם. אבל
יש את הALIPAY או איך שלא קוראים לשירות תשלומים שעליבאבא מנסה לדחוף. אולי זה מסוכן... בנוסף, זה מזכיר לי שבNEXT יכולים לשמור את הפרטים של האשראי (אלא אם אתם דורשים שלא) אל תתנו לאף אתר לשמור את הפרטים של הכרטיסים שלכם. נכון, תאלצו להקליד אותם שוב ושוב ושוב, אני יודע, זה קשה. אבל ככה צריך.
בובי  |  01.06.15