אאא

חברת אבטחת המידע הישראלית Appsec Labs, הנחשבת למובילה בתחום ועובדת עם ענקיות טכנולוגיה כמו אינטל, HP, מוטורלה, בנקים ועוד, חשפה פרצת ענק בשירות המסחר המקוון "עלי אקספרס" מבית ענקית האינטרנט הסינית עלי אקספרס. למרות שהפרצה דווחה לחברה כבר לפני כחודש, החברה טרם טיפלה בפרצה המסוכנת.

אתר עלי אקספרס, בדומה למתחרה הגדולה שלו, איביי, מאפשר לעסקים קטנים ובינוניים למכור את מוצריהם ישירות ללקוחות, כאשר כל מוכר פותח חשבון מוכר ייחודי. הפרצה שחשפה החברה הישראלית מאפשרת השתלטות מלאה על חשבונות המוכרים באתר ושאיבה של כל הנתונים על הלקוחות ועל היסטוריית הרכישות מהמוכר.

מלבד הפרת הפרטיות המשמעותית שנגרמת כתוצאה מכך שהאקרים יוכלו לבדוק את היסטוריית הרכישות של כל לקוחות המוכר, ההאקר הפוטנציאלי יוכל גם לשנות את מחירי המוצרים וכך לגנוב את המוכרים כשהוא יקבע מחירים זולים במיוחד כאוות נפשו ולאחר מכן יבצע רכישות ככל העולה על רוחו.

גם מידע פיננסי הרגיש למוכרים כמו תנועת הרוכשים ועוד נחשף לעיניו. האקר שינצל את הפרצה יוכל גם לשנות את כתובת המשלוח שביקש הלקוח לכתובת אחרת ללא הפרעה. כמו כן, הפרצה מאפשרת השתלטות מלאה ואפשרות לסגירת חשבון המוכר.

ארז מטולה, מנכ"ל חברת אבטחת המידע Appsec Labs

ארז מטולה, מנכ"ל חברת Appsec Labs, אמר בשיחה עם מדור 'דיגיטל' של "כיכר השבת" כי הפרצה נחשפה על ידי החברה כבר לפני כחודש, אלא שפניות שבוצעו להנהלת החברה לא נענו ברצינות ורק אמש הצליחו לדווח לבכיר בחברה על הפרצה המסוכנת.

מטולה מספר כי מכיוון שחברת האבטחה איננה רוצה לגרום נזק חסר תקדים למשתמשי עלי אקספרס, היא נוהגת בזהירות, ואיננה מפרסמת את פרטי הפרצה המשמעותית עד לאחר שעלי באבא תטפל בנושא, זאת למרות שהוא מעריך בזהירות כי האקרים כבר עושים שימוש בפרצה זו.

להערכתו של מטולה, לעתים פריצות המשנות את כתובת המשלוח של הלקוח הן אלו שאשמות בכך שמוצרים המוזמנים מהאתר אינם מגיעים ליעדם.

במקביל, אמש פורסם בערוץ 10 כי מומחי אבטחת מידע ישראלים מצאו פרצה חמורה נוספת באותו האתר, פרצה הנוגעת ישירות ללקוחות העושים שימוש בעלי אקספרס, ומאפשרת השתלטות מלאה על חשבון הקונה וביצוע קניות בשמו. פרצה זו תוקנה במהירות בעקבות פרסום פרטי הפרצה בעיתונות.