בנק לאומי
צילום: פלאש 90

פרצת אבטחה באפליקציית "פפר אינבסט" של בנק לאומי

הפרצה מאפשרת לתוקפים לדוג את שמות ומספרי הטלפון של המשתמשים
שירה הדס נקר
31 במאי 2019
14:49

פרצת אבטחה באפליקציית "פפר אינבסט" של בנק לאומי: הפרצה מאפשרת לתוקפים לדוג את שמות ומספרי הטלפון של המשתמשים באמצעות הזנת המספר המזהה של המשתמש. ולמעשה מאפשרת פיתוח תורנות המזינות את המספר באופן אוטומטי וכך יוצרות מאגר של המשתמשים ומספרי הטלפון. על פי נתוני גוגל פליי את האפליקציה הורידו פחות מאלף ישראלים. דבר הפרצה פורסם לראשונה בחדשות 12.

חוקר האבטחה רן בר זיק מסביר על הפרצה ואומר: "החולשה ב'פפר' הורכבה מכמה חלקים. החולשה הראשונה היא שנדרש רק מספר טלפון כדי לקבל את השם של הלקוח והעובדה שהוא לקוח של פפר. כלומר אם הייתי מכניס מספר טלפון לממשק שלהם - הייתי צריך להקליד טלפון בלבד כדי לקבל אישור אם הוא לקוח ובמידה והוא היה לקוח - הייתי מקבל גם את שמו".

חוקר האבטחה המשיך: "החולשה השניה היא שהשרת לא הגביל את הבקשות. כלומר הייתי יכול להזין כמה מספרי טלפון שאני רוצה בלי הגבלה ובלי חסימה. תוקף יכול בקלות לכתוב סקריפט קצר ששולח המוני מספרי טלפון אל הממשק החשוף של פפר ולקבל בחזרה את כל הטלפונים של הלקוחות של פפר יחד עם השמות שלהם. מכאן הדרך לשיגור התקפת ספאם מדויקת היא קצרה. חולשה כזו אומרת שכל תוקף היה יכול לקבל את כל המאגר של כל לקוחות פפר או לפחות חלק גדול ממנו - כשהמאגר הזה כולל מספרי טלפון ושמות.

בר זיק סיכם: "העצה שלי ללקוחות פפר היא להזהר מאוד בכל מה שנוגע לסמסים שהם מקבלים מ'פפר'. כיוון שגורמים מתחזים לפפר יכולים לשלוח להם סמסים שישכנעו אותם להקליד את הפרטים שלהם באתרים מתחזים או לעשות להם נזק באופן אחר.

מבנק לאומי נמסר בתגובה: "מדובר בגרסת beta של אפליקצית אינבסט, השייכת לבנק הדיגיטלי פפר, שנפתחה למספר מאוד מצומצם של משתתפים פנימיים ובאנדרואיד בלבד. חשוב לציין כי בשום שלב לא ניתן לדעת פרטים מתוך חשבון הבנק של הלקוחות או כל מידע פיננסי אחר. תודה על תשומת הלב, שהרי זו המטרה העקרית של הפיילוט".