מה שאנחנו רוכשים אמור להיות ענייננו הפרטי, וקבלות הרכישה - לעינינו בלבד. אלא שחוקר אבטחת מידע הצליח במניפולציה קלה, ובאמצעות דפדפן בלבד להשיג גישה לעשרות אלפי קבלות שהופקו במערכת הסליקה קארדקום.
קארדקום היא אחת מחברות הסליקה הגדולות בישראל, לצד שחקניות כמו טרנזילה, iCredit, ואחרות (שאינן קשורות לאייטם הזה). באתר שלה נכתב שהיא "מערכת הסליקה המובילה בישראל" והחברה אף מתגאה באבטחת מידע בתקן PCI DSS, הנחשב מחמיר.
חברות שרוכשות את פתרון הסליקה של קארדקום מקבלות גם אפשרות להפיק קבלות עסקה אונליין, כך שלקוח יכול לגשת אליהן באמצעות לינק. אלא שליאור בן דוד, יזם וחוקר אבטחת מידע, חקר את הלינק הזה וגילה בו חולשה.
ליאור בן דוד: "קארדקום עשו שימוש בקומבינציות שונות של ארבע אותיות באנגלית, קטנות וגדולות. יצרתי מילון עם כל האופציות האפשריות של הפרמטר, זה יוצא בערך 7.3 מיליון אפשרויות, ואז שיניתי את הפרמטר בסוף ה-URL והורדתי את החשבוניות"
מדובר בקישור גנרי, שבסופו מזהה נפרד ואישי של כל מסמך. מסתבר שהמזהה קל לניחוש: אמנם אין מדובר במספר נומרי רץ, אבל זה לא רחוק מזה. "הם עשו שימוש בקומבינציות שונות של ארבע אותיות באנגלית, קטנות וגדולות", מסביר בן דוד. "יצרתי מילון עם כל האופציות האפשריות של הפרמטר, זה יוצא בערך 7.3 מיליון אפשרויות, ואז שיניתי את הפרמטר בסוף ה-URL (כתובת האינטרנט, א"ז) והורדתי את החשבוניות".
בן דוד אף הוסיף סרטון שמראה באיזו קלות הוא הוריד עשרות מסמכים למחשב שלו ואפשר לראות שם לקוחות של השירות כמו Cakenet כפר יונה, חברת תן-פרי, העמותה לחינוך מוזיקלי קריית אונו וכן הלאה. חלק מהעסקאות גדולות. בן דוד טוען שחלק מהמידע נוגע גם לחיסיון רפואי, למשל, תשלום עבור טיפול פסיכולוגי.
על פי החוקר המסמכים כוללים מספר זהות, אימייל, טלפון, כתובת, ארבע ספרות אחרונות של כרטיס אשראי, וכמובן פירוט הרכישה. מידע כזה יכול לשמש לפישינג, הונאה ואף סחיטה. "החולשה דווחה לבעלים והמנכ"ל יניב עבו, שטען במייל שהיא תוקנה", מסר בן דוד.
בן דוד מציע להבא להשתמש בסיומת חזקה יותר: "התיקון שצריך לעשות הוא לפחות לייצר ערך חד חד ערכי מגובב באלגוריתם עדכני שלא יאפשר פיענוח לאחור לכל מסמך כזה. אני בעד בכל זאת להוסיף חלק הזדהותי כלשהו מצד מי שניגש למסמך, טלפון למשל, כך שגם אם טעית במימוש יש לך לפחות עוד שכבה אחת של הגנה שתדרוש מהתוקף לדעת מידע מראש על כלל הלקוחות".
מקארדקום נמסר בתגובה: "ראשית, נדגיש כי לאחר בדיקות מקיפות ורחבות שבוצעו, לא זוהתה אף זליגה של נתונים ומידע מהמערכת – לא בנוגע לפרטי חשבוניות, לא נתונים אישיים וכמובן לא פרטי כרטיסי אשראי וסיסמאות. חברת קארדקום משקיעה רבות בנושא אבטחת מידע ומבצעת באופן קבוע בדיקות אבטחה שונות. ב-23.9.22, דווחה אפשרות לתקיפת סייבר פוטנציאלית שהייתה קשורה לפרטי חשבוניות בלבד. צוות מקצועי טיפל בתקלה וכאמור שלל אופציה של זליגת נתונים - החולשה הנ"ל לא נוצלה בפועל ולא דלף מידע לצדדים שלישיים, מעבר לגורם המדווח. חברת קארדקום ממשיכה להשקיע בשירות מקצועי ומסור עבור לקוחותיה, לרבות פיתוח מוצרי אבטחת מידע וכלים מתקדמים ומגוונים אחרים".