מפעל כרטיסים, עסק פופולרי לכרטיסי ברכה שבסיסו בבריטניה, מאחסן חלק מנתוני הלקוחות שלו בצורה לא מאובטחת, ומאפשר לכל אחד לגשת לתמונות שלו באמצעות טריק פשוט להפליא של כתובת URL.

האתר קיבל הודעה על הבעיה ב-8 באוקטובר ולא תיקן אותה או התריע על כך ללקוחותיו במשך שבוע, כך נודע ל-Mashable.

עדכון: 15 באוקטובר, 2018, 18:11 (CEST).Card Factory אומר שבעיית האבטחה תוקנה כעת.

"האמון והפרטיות של הלקוחות שלנו הם בעלי חשיבות עליונה עבורנו. לאחר שהודענו לאחרונה על הבעיה הזו, החלנו עדכון אבטחה לאתר שלנו כדי להבטיח שזה לא יקרה שוב", אמרה החברה ל-Mashable.

איאן רו, מפתח אתרים ממילטון קיינס, סיפר ל-Mashable על הבעיה, אותה גילה כשקנה כרטיס יום הולדת לאחיו. הוא שם לב שהמיקום של התמונה שהועלתה מאוחסן בצורה לא מאובטחת, מה שמאפשר לכל אחד לגשת גם לתמונה של משתמש אחר.

נדלג על הפרטים המדויקים כיצד לנצל את הפגיעות (למען פרטיות המשתמש), אבל זה קל להפליא לביצוע וניתן לבצע אותו על ידי כל אחד ללא כל כלים מיוחדים או ידע בתכנות. אימתנו באופן עצמאי שהניצול עדיין היה קיים ביום שני בבוקר, והזמנו מומחה אחר לאמת אותו גם כן.

"כשהבנתי שאפשר (...) להציג תמונות של כל משתמש אחר, הייתי המום. עשיתי בדיקות נוספות ואישרתי שא) אפשר לקשר לתמונות מכל מקום, וב) אין הגבלות על הורדות , אתה יכול להוריד אלפים אם אתה רוצה והשרת אף פעם לא מוציא אותך החוצה", אמרה לנו Row בדואר אלקטרוני.

"סוג זה של פגיעות נקרא 'הפניה ישירה לא מאובטחת לאובייקט'. זה די נפוץ ולגמרי לא מקובל", לוקה קלדריץ', מהנדס תוכנה ומייסדסקורה קולקטיב, אמר ל-Mashable לאחר שבדק את הנושא.

Card Factory מתאר את עצמו כ"קמעונאי המתמחה המוביל בבריטניה של כרטיסי ברכה." החברה דיווחה על הכנסות של 185.3 מיליון ליש"ט (243.4 מיליון דולר) ברווחי מחצית השנה שלה ב-2018דִוּוּחַ.

פרצות אבטחה ובאגים קורים כל הזמן. אבל האופן שבו חברה מגינה על נתוני המשתמשים היא קריטית. ראינו את התגובה של Card Factory ל-Row, ולמרות שהחברה אכן הבטיחה לתקן את זה, היא לא עשתה זאת לפחות שבוע.

"הם עדיין לא הורידו את התמונות, ועדיין מוכרים מוצרים שדורשים העלאת תמונות פרטיות, בידיעה שהתמונות האלה זמינות לכולם", אמרה לנו רו.

במכתב, שסיפקה לנו רו, החברה אמרה שהם רואים במעשיו כוונות טובות. אבל אז הם ממשיכים להזהיר אותו שגישה לנתוני משתמשים בדרך זו תהיה עבירה פלילית.

במכתב הם ביקשו מרו לאשר שהוא מחק את כל הנתונים שהשיג על ידי חיפוש אחר הפגיעות, וכן הבטיחו שלא יבצע בדיקות נוספות מסוג זה. החברה גם ביקשה ממנו לא לחשוף בפומבי כל מידע על הפגיעות.

בהמדיניות הפרטיותמסמך, קארד פקטורי אומרת שהיא נוקטת באמצעי אבטחה כדי להגן על מידע המשתמש, אך אינה יכולה לשאת באחריות "לכל הפרת אבטחה אלא אם כן זה נובע מרשלנות או מחדל מכוון שלנו".

להלן הפסקה הרלוונטית:

"אנו מפעילים אמצעי אבטחה כדי להגן על המידע שלך מפני גישה של אנשים לא מורשים ומפני עיבוד לא חוקי, אובדן מקרי, הרס ונזק. אנו נטפל בכל המידע שלך בסודיות מוחלטת ונשתדל לנקוט בכל הצעדים הסבירים כדי לשמור על המידע האישי שלך. מאובטח לאחר שהועבר למערכות שלנו עם זאת, האינטרנט אינו אמצעי מאובטח ואיננו יכולים להבטיח את האבטחה של כל מידע שאתה חושף באינטרנט ועסקאות מקוונות דרך האינטרנט ולא ישא אותנו באחריות לכל הפרת אבטחה אלא אם כן זה נובע מרשלנות או מחדל מכוון".

"דיברנו גם עם משרד נציב המידע בנושא, והם אישרו שלא מדובר בפרצת מידע ולא נפגעו נתונים אישיים. אנו ממשיכים לעקוב אחר ההנחיות שלהם כדי לפתור את העניין הזה וברצוננו להתנצל בפני כל הלקוחות שנפגעו", נמסר מהחברה.

Mashable פנה אל Card Factory להערה נוספת.