פירצת אבטחה במנגנון התרומות באתר של נתניהו
תרמתם לאחרונה באמצעות האתר של נתניהו? יש סיבה לדאוג. באתר הוצב טופס לתרומות והתפקדות לליכוד, אך לא אובטח באמצעות הצפנת SSL הסטנדרטית. בעקבות פניית ynet הטופס נחסם זמנית
אדר שלו
פורסם: 02.08.07, 13:36
האתר הישן של יו"ר הליכוד בנימין נתניהו הוחלף לאחרונה באתר חדש, בו הוצב גם טופס מקוון שמאפשר הכנסת פרטים אישיים והתפקדות לליכוד, או מתן תרומה אונליין, בסכום של עד 1,000 שקלים באמצעות מספר כרטיס אשראי.
בדיקת ynet שבוצעה בעקבות פניה שהתקבלה באימייל האדום גילתה כי באתר
לא יושמו הגנות בסיסיות מפני גניבת פרטי האשראי האלה. הסיבה: מנגנון התשלום לא אובטח באמצעות מערכת ההצפנה SSL.
SSL (או בשמו העדכני יותר של הגירסה הנוכחית לפרוטוקול, TLS) היא טכנולוגיית הצפנת נתונים שמשמשת כסטנדרט אבטחה ברשת מזה שנים.
הפרוטוקול מבצע שלושה תפקידים עיקריים: מאמת שהשרת שאליו אתה מחובר הוא אכן השרת הנכון, יוצר ערוץ תקשורת מאובטח, על-ידי הצפנת כל המידע המועבר בין הדפדפן לבין השרת, ומוודא שהמידע שנשלח ממחשבך האישי יגיע אל השרת ללא שיבושים.
האתר הרשמי של נתניהו, לפני (יום ד'). שליחת פרטי אשראי ללא אבטחה
כל אתר רציני, קטן כגדול, מאובטח באמצעות SSL, על מנת למנוע דליפת הנתונים המוכנסים אליו לגורמים זרים. ניתן לבדוק בקלות אם האתר אליו נכנסים מאובטח או לא - בשורת המצב, שבחלק התחתון של הדפדפן, אמור להופיע סמל של מנעול קטן.
שימוש בטופס הכולל פרטי אשראי באתר שאינו מוצפן ב-SSL מאפשרת להאקרים לצותת לתעבורת המידע. אבל החשש האמיתי של מי ששלח טופס כזה הוא שאי אפשר לדעת לאן נשלחים הפרטים. על פי התרחיש הפחות פסימי, פרטים אלה מתקבלים בתיבת דואר אלקטרוני במשרד שהמחשב בו נגיש לכלל העובדים, ואפשר בקלות להגות תסריטים מסוכנים יותר.
מטה נתניהו טוען: הטופס לא אמיתי
האתר החדש עוצב עבור מטה נתניהו על ידי חברה לבניית אתרים בשם Pionet, שלא השיבה לפנייתנו. סני סנילביץ מהמטה של נתניהו מסר בשיחה עם ynet כי האתר יאובטח באמצעות SSL בימים הקרובים, ובינתיים הטופס נחסם לשליחת תרומות. סנילביץ הכחיש כי הטופס היה פעיל וטען כי ב"תמונה ויזואלית" וכי פרטים שמולאו לא הגיעו ליעדם כלל. זאת, למרות בדיקת ynet שהעלתה כי הטופס כלל שדות פעילים.
סנילביץ מסר: "באתר יש אפשרויות לתרום לתנועת הליכוד אונליין וכן להתפקד לתנועת הליכוד אונליין בקלות ובצורה בטוחה. אפשרות זו תהיה פתוחה לגולשים בתוך מספר ימים, והיא תהיה מאובטחת בצורה מלאה. באתר שעלה לרשת האפשרות לשליחת הטופס לא הייתה פעילה אף על פי שהופיעה תיבה ויזואלית להכנסת פרטי כרטיס אשראי. בעקבות פניית ynet הורדנו זמנית אפשרות זו עד להפעלתה בצורה מאובטחת ומלאה".
הטופס החסום, אחרי (יום ה')
הדיווח הראשוני הגיע באמצעות האימייל האדום