פרצות אבטחה חמורות נחשפו בפלטפורמת המפגשים של MeetUp
הפרצות איפשרו לתוקפים "להשתלט" על ארגונים המשתמשים בשירות ולנהל מפגשי אונליין ומפגשים פיזיים תוך גניבת תשלומים שבוצעו דרך אתר PayPal
קראו עוד בכלכליסט
החוקרים מצאו שהפעולות הללו התאפשרו בגלל חולשות מסוג XSS ו-CSRF. בחולשה הראשונה שמכונה גם Cross-Site Scripting "מוזרקים" קודים זדוניים לאתרי אינטרנט. האקרים עושים שימוש ב-XSS כדי לשלוח קוד זדוני למשתמש, מבלי שיידע על כך תוך שהוא חושב שזה הגיע ממקור מהימן. כך התוקף יכול לגשת לכל קבצי העוגיות (קוקיז), ההתחברות או כל מידע רגיש אחר שנשמר בדפדפן ומשמש לפעילות באתר זה. סקריפטים אלה יכולים אפילו לכתוב מחדש את תוכן עמוד האתר אליו גולשים.
החולשה השנייה, מאלצת את המשתמשים לבצע פעולות לא רצויות באפליקציית רשת שבה הם מאומתים באותו זמן. בעזרת הנדסה חברתית (כגון שליחת קישור במייל או בצ'ט), האקר יכול להערים על המשתמשים באפליקציית הרשת לבצע פעולות לפי בחירתו. אם הקורבן הוא משתמש רגיל, מתקפת CSRF מוצלחת יכולה להכריח אותו לבצע העברת כספים, שינוי כתובת המייל וכו'. אם הקורבן הוא בעל הרשאות מנהל (אדמין), מתקפה כזו עלולה לסכן את אפליקציית הרשת כולה.
החוקרים גילו גם פרצת אבטחה בממשק באתר, דרכה ניתן לקבל את רשימת כתובות הדואר האלקטרוני של כל משתתפי המפגשים בקבוצות השונות. החברה אסגרה את הממצאים למנהלי האתר ופרצות האבטחה תוקנו.
לדברי ארז ילון, ראש צוות המחקר בצ'קמרקס, "בזמן שחברות וארגונים מסתמכים יותר ויותר על תקשורת וכנסים וירטואליים כדי להישאר מחוברים לעובדים, לקוחות ושותפים, בפלטפורמות האלה עוברות כמויות מידע גדולות מאי פעם, כך שחולשת האבטחה שנחשפה עלולה הייתה לסכן מידע רגיש, הרשאות וכספים".
תגובה אחת לכתיבת תגובה