פירצת אבטחה חמורה בשירות הדואר של "וואלה!"
בסוף אוקטובר עליתי על פירצת אבטחה חמורה בשירות הדואר של וואלה!. שועשעתי קלות מהאלגנטיות שבה ותכננתי להודיע להם על כך, אבל יומיים לאחר מכן טסתי לאמסטרדם ושכחתי מזה. לפני שבועיים נזכרתי, בדקתי שהיא עדיין רלוונטית, ופניתי אליהם. לצערי לא שמרתי את הנוסח המקורי, אבל זה היה משהו בסגנון: "שלום, מצאתי פירצת אבטחה חמורה בשירות הדואר שלכם, אנא חיזרו אליי בהקדם האפשרי". מיד לאחר השליחה התקבלה בתיבת הדוא"ל שלי הודעה הבאה:
שלום רב,
אנו מודים לך על פנייתך למערכת התמיכה הטכנית של וואלה!.
פנייתך התקבלה ותענה בתוך פרק זמן מקסימלי של 3 ימי עבודה.
על-מנת שיסתייע בידינו לספק את השירות הטוב ביותר עבורך, ולטפל בבעיה המדווחת במהירות וביעילות, יש לוודא כי פרטי הבעיה בה נתקלת מובאים במלואם.
בברכה,
צוות תמיכה טכנית וואלה!
זה היה בחמישה בדצמבר. מאז חלפו תשעה ימי עבודה ועדיין לא קיבלתי תשובה. ביום ראשון (14/12, שישה ימי עבודה לאחר שליחת ההודעה המקורית) פניתי אליהם שוב בנוסח דומה. הפעם לא קיבלתי הודעת תשובה אוטומטית. היום שלחתי שוב וגם הפעם לא קיבלתי תשובה אוטומטית.
אני מתעד את מהלך האירועים כאן כדי לנסות ולהשיג את תשומת הלב של וואלה! ולעדכן בהתפתחויות נוספות. מדובר בפירצה חמורה שמאפשרת לתוקף גישה ברמה גבוהה מאוד לחשבונות של משתמשי וואלה!. אני משאיר את הנושא מעורפל כמה שיותר כדי שגורמים זדוניים לא יעלו על הפירצה גם כן וישתמשו בה לרעה, אבל תאמינו לי - היא אלגנטית ומסוכנת.
כאמור, אעדכן כאן בהתפתחויות נוספות.
עדכון 18/12: יום למחרת פירסום ההודעה קיבלתי תשובה מהתמיכה הטכנית של וואלה! והעברתי אליהם את פרטי הפירצה.
Powered by FireStats
מישהו בכלל משתמש בשירות הזה? או בוואלה בכלל?
נשמע מסוכן ומגניב באותה מידה.
חזי - אתה בטח יודע מה פרופיל המשתמש הממוצע שלהם, ולכן הפירצה הזו אפילו עוד יותר מסוכנת.
בן - אם וכאשר הפירצה תיסגר, אשמח להראות לך כמה היא מגניבה.
אין להם טלפון או משהו?
לא משהו שאני הצלחתי למצוא
אתה יכול לפרט מעט יותר על אופי הפרצה ומה היא מאפשרת?
באמצעותה יכול הפורץ לשלוח מייל לחשבון וואלה כלשהו ולהריץ סקריפטים תחת הדומיין של וואלה בדפדפן של הצד המקבל (XSS), בלי שהוא יצטרך ללחוץ על לינק כלשהו בהודעה.
הצד המותקף צריך רק לפתוח את ההודעה (ובוואלה צריך לפתוח אותה גם אם רק רוצים למחוק) והפירצה תופעל.
אתה בטח יודע מה אפשר לעשות עם הקוקיז של גולש שמחובר לחשבון בוואלה, אז רק אציין שבנוסף לכך אפשר להיעזר בכשל אבטחה אחר כדי להשיג את סיסמת המשתמש בקלות מפחידה.
אם זה נכון - שיגיבו ויתקנו.
אם זה לא נכון - שלפחות לא יתעלמו ויגיבו לך עם הסבר.
ההתעלמות מאד מעצבנת.
אני לא מקבל מכתבים מאף אחד
זה כבר הרבה זמן