נחשפה פרצת אבטחה חמורה במערכת כרטיסי המסעדות סיבוס

פרצת אבטחה במערכת המקוונת של מפעילת כרטיס המסעדות סיבוס (Cibus) חשפה פרטים מלאים על מאות אלפי לקוחות, בהם ככל הנראה גם מספר גדול של עובדי ממשלה - כך מגלה האקר והאקטיביסט, נעם רותם.

"יש שם שורה של כשלים שנעים בין חוסר תשומת לב בנקודות הגישה לאתר, לאי-שימוש נכון ולאי-סגירה של חולשות", אמר רותם ל"כלכליסט". הפריצות שזוהו תוקנו טרם פרסום הכתבה, ולדברי החברה המידע לא דלף.

לצד תןביס, סיבוס הוא אחד משני כרטיסי המסעדות הפופולריים בישראל, ונמצא בשימוש על ידי אלפי בתי עסק שמשתמשים בו כדי לסבסד ארוחות לעובדיהם. בנוסף, סיבוס גם זכה במכרז לאספקת כרטיס הסעדות לעובדי מדינה ומספקת להם ארוחות מסובסדות. ב-2012 מכרה קבוצת המשביר את פעילות סיבוס לסודקסו הצרפתית, בעסקה בשווי 90 מיליון שקל, ומאז פועלת החברה תחת השם סיבוס-סודקסו.

"הפריצה הגיעה מחוסר תשומת לב מצדם באחת מנקודות הגישה, שאפשרה הזרקה של פקודות שאפשרו השתלטות מלאה על המערכת", הסביר רותם. "זיהיתי נקודה חלשה, מצאתי את עצמי במערכות שלהם, ושם בגלל רשלנות או חוסר תשומת לב זיהיתי שההרשאות של המשתמש שדרכו נכנסתי הן של מנהל המערכת, "והם שכחו לסגור הרשאות אבטחה בסיסיות מה שאפשר לפתוח גישה למערכת ההפעלה שלהם".

כשנכנס למערכת זיהה רותם 14 מאגרי מידע, שכללו מאות אלפי רשומות של לקוחות, עם שם, כתובת, טלפונים, ובחלק מהמקרים תעודות זהות – כל מה שמופיע בפרופיל המשתמש. כן היתה במאגרים היסטוריית הזמנות מלאה של הלקוחות, כולל כתובות, מנות שהוזמנו ומחירן ותנאי תשלום של החברות. עוד נמצאו מאגרים פנימיים של מערך הפרסום של החברה, ורשומות כל החברות שעובדים אתה ופרטים עליהן.

רותם איתר גם טבלאות ובהן מידע על כרטיסי אשראי כמו תוקף ושם בעל הכרטיס, אך לדבריו לא מצא את מספר הכרטיס עצמו, אשר לא נשמר על ידי סיבוס. "להבנתי הם עובדים עם חברה חיצונית שמטפלת בסליקה ולכן לא שומרים את מספרי הכרטיסים, כמו שנדרש בתקן PCI DSS", הוסיף.

לדברי רותם, התגובה של החברה לדיווח שהעביר לה על הפרצה היתה מהירה ורצינית: "פרצות תמיד יהיו, ואין מערכת שחסינה מפניהן. המבחן האמיתי של גוף בו התגלתה פרצה כזו היא הדרך בה הוא מטפל בה והדרך בה הוא לומד ממנה כדי שלא תקרה שוב, וכאן סודקסו הפגינו מקצועיות ואחריות מרגע הגילוי, משהו שנדיר מאוד למצוא אצל חברות ישראליות”.

מסיבוס-סודקסו נמסר בתגובה: "עם הדיווח אתמול בדבר אפשרות החדירה בוצעה חסימה ופרצת האבטחה טופלה באופן מהיר ומיידי. חשוב להדגיש כי לא נחשפו פרטי עובדים לגורם חיצוני וכי לא נחשפו פרטי כרטיסי אשראי. פרטי כרטיס האשראי מאוחסנים על ידי חברה מתמחה על פי תקן מחמיר של PCI-DSS. המערכות שברשותנו הינן מהמתקדמות והמאובטחות ביותר, נמשיך לעקוב ולטפל באופן המקצועי ביותר כפי שאנו עושים כל העת”.