פרצת אבטחה חמורה התגלתה באפליקציית "פפר אינבסט" של בנק לאומי

פרצת אבטחה חמורה התגלתה באפליקציית "פפר אינבסט" של בנק לאומי: פרצה זו מאפשרת להאקרים לדלות שמות משתמשים ואת מספרי הטלפון שלהם מהאפליקציה על ידי הזנת מספר מזהה של המשתמש. לפי גוגל פליי, את האפליקציה הורידו פחות מאלף אנשים.

חוקר האבטחה רן בר זיק סיפר על הפרצה ואומר: "החולשה ב'פפר' הורכבה מכמה חלקים. החולשה הראשונה היא שנדרש רק מספר טלפון כדי לקבל את השם של הלקוח והעובדה שהוא לקוח של פפר. כלומר אם הייתי מכניס מספר טלפון לממשק שלהם – הייתי צריך להקליד טלפון בלבד כדי לקבל אישור אם הוא לקוח ובמידה והוא היה לקוח – הייתי מקבל גם את שמו".

חוקר האבטחה המשיך: "החולשה השניה היא שהשרת לא הגביל את הבקשות. כלומר הייתי יכול להזין כמה מספרי טלפון שאני רוצה בלי הגבלה ובלי חסימה. תוקף יכול בקלות לכתוב סקריפט קצר ששולח המוני מספרי טלפון אל הממשק החשוף של פפר ולקבל בחזרה את כל הטלפונים של הלקוחות של פפר יחד עם השמות שלהם. מכאן הדרך לשיגור התקפת ספאם מדויקת היא קצרה. חולשה כזו אומרת שכל תוקף היה יכול לקבל את כל המאגר של כל לקוחות פפר או לפחות חלק גדול ממנו – כשהמאגר הזה כולל מספרי טלפון ושמות."

מבנק לאומי נמסר בתגובה: "מדובר בגרסת beta של אפליקצית אינבסט, השייכת לבנק הדיגיטלי פפר, שנפתחה למספר מאוד מצומצם של משתתפים פנימיים ובאנדרואיד בלבד. חשוב לציין כי בשום שלב לא ניתן לדעת פרטים מתוך חשבון הבנק של הלקוחות או כל מידע פיננסי אחר. תודה על תשומת הלב, שהרי זו המטרה העקרית של הפיילוט".

איך עליי לפעול אם עשיתי שימוש באפליקציה?

צוות בלוק מציע לכם לנקוט בזהירות רבה עם סמסים המתקבלים מ'פפר'. גורמים המתחזים לאפליקציה של הבנק עלולים לשלוח לכם סמסים ולנסות לשכנע אותם להקליד את הפרטים שלכם על ידי שימוש בפישינג.

למידע נוסף ראו מקור:

https://www.kan.org.il/item/?itemid=52943