פרצת אבטחה באל – על
חשש לפרצת אבטחה באחת מן מערכות אל – על התגלתה בשבוע האחרון על ידי נוסע שהזמין טיסה לקייב דרך החברה.
ללינק שנשלח אליו במייל לאישור רכישת הכרטיס שלו באל על צורף מספר זיהוי, שבאמצעותו הוא יכול לנהל את הזמנתו באתר החברה.
הנוסע גילה כי בשינוי פשוט של אותו מספר זיהוי הוא מצליח להגיע להזמנות של נוסעים אחרים ולבצע בהם שינויים. הנוסע אף הצליח להיכנס להזמנה של חבר שרכש טיסה, ושינה לו את הארוחות למנות "גלאט כושר טבעוניות".
הנוסע גילה כי אם יריץ את כל צירופי האותיות והמספרים האפשריים למזהה הייחודי הוא יוכל לשאוב את כל מאגר הנוסעים של אל – על.
הנוסע לא פרץ למאגר הנוסעים ולא ביצע אף שינוי, אלא דיווח לחברה על הפרצה שהתגלתה.
מחברת אל על נמסר בתגובה: "אל על קיבלה פנייה מלקוח של החברה, ממנה עולה חשש לליקוי אבטחת מידע. הלקוח מסר כי לא עשה ואינו מתכוון לעשות שימוש במידע אליו נחשף, וכי מטרת הפנייה היא בחינת הליקוי במטרה לתקנו. החברה התייחסה במלוא הרצינות לדיווח וביצעה בדיקות מידיות, אשר לאחריהן פנתה לדרגים הבכירים של ספק המערכת, שנרתם ותיקן את הליקוי בזמן קצר".
0 תגובות