תיירות
הזמנתם טיסה ומלון לאחרונה? העוקץ החדש באתר החופשות הפופולרי
חוקרי סייבר בחברת סולט סקיוריטי גילו פרצת אבטחה חמורה באתר הזמנת חופשות מהגדולים בעולם שסיכנה מזמיני טיסות, רכבים שכורים ומלונות וחשפה אותם לאפשרות של גניבת זהות, שימוש בחשבונם להזמנת חופשות נוספות, ביטול הזמנות קיימות ופגיעה בפרטיותם
![](https://img.ice.co.il/giflib/news/rsPhoto/sz_417/rsz_615_346_23ice19092023.jpg)
הזמנתם לאחרונה חופשה בחו"ל? ייתכן ונפלתם קרבן להונאה. חוקרי סייבר בחברת סולט סקיוריטי (Salt Security) גילו פרצת אבטחה באתר הזמנת חופשות מהגדולים בעולם שסיכנה מזמיני טיסות, רכבים שכורים ומלונות וחשפה אותם לאפשרות של גניבת זהות, שימוש בחשבונם להזמנת חופשות נוספות, ביטול הזמנות קיימות ופגיעה בפרטיותם.
החשיפה נעשתה על ידי חוקרי Salt Labs, זרוע המחקר של החברה והיא נגעה למשתמשים שביצעו הזמנת טיסה בחברת תעופה מהגדולות בעולם. בתום תהליך ההזמנה, הוצע ללקוחות כמו במקרים רבים אחרים, לבצע הזמנה משלימה של רכב שכור או מלון בעיר היעד שלהם. מי שהתעניינו באפשרות זו ולחצו על הקישור הועברו מבלי ידיעתם לספקית חיצונית של שירותים אלו, אף היא חברה מהמובילות בעולם בתחום זה.
המעבר בין החברות, שנעשה באמצעות חיבור API היה נקודת החולשה שאיפשרה לחוקרי סולט סקיוריטי למשוך פרטים של משתמשים. חולשת האבטחה דווחה לשתי החברות, כמו גם לחברות נוספות שפועלות בתחום, והיא תוקנה.
עמית אלבירט, חוקר אבטחה ב-Salt Labs: "קישורי API שיוצרים חיבורים בין חברות שונות הם כיום אחת מנקודות החולשה הגדולות בעולם הדיגיטלי. משתמשים שחושבים שהם פועלים מול ספק מסוים מועברים באופן שאינו שקוף להם לצד שלישי, ואם התהליך אינו מאובטח כראוי הוא מסכן את המשתמשים".
עוד הוסיף: "השלמת גניבת הזהות נעשית באמצעות משלוח הודעה מזויפת למשתמשים, ולכן ההמלצה שלנו לצרכנים היא להקפיד על כללי בטיחות הרשת הבסיסיים, ובראשם לא ללחוץ על קישורים שמתקבלים בהודעות מייל או מסרונים. בכל מקרה של חשד קל מומלץ להיכנס באופן אקטיבי לאתר החברה או לאפליקציה ולבדוק שם האם יש צורך בפעולה מצדם".
הפלטפורמה של סולט סקיוריטי, המבוססת על למידת מכונה וניתוח ביג דאטה, מאפשרת לחברות להגן על חיבורי API עם צדדים שלישיים וזאת באמצעות ניתוח התנהלות החיבורים והתעבורה בהם וזיהוי נקודות חולשה ותוקפים פוטנציאלים. למרות היקף המידע שעובר דרך חיבורי API ורגישותם הגבוהה, ארגונים עובדים עם ממשקים הניתנים ברובם לפריצה.
עוד ב-
לכן תוקפים הפנו את התמקדותם לממשקים אלו, המאפשרים גישה לנתונים ושירותים קריטיים. הפלטפורמה של סולט, המוגנת בפטנט, עוזרת לארגונים לזהות חולשות אבטחה ב-APIs כבר בתהליך הפיתוח, מאתרת באופן אוטומטי את כל ממשקי ה-APIs בארגון, מזהה תקיפות בזמן אמת וחוסמת תוקפים לפני שנגרם נזק.
הכתבות החמות
תגובות לכתבה(1):
תגובתך התקבלה ותפורסם בכפוף למדיניות המערכת.
תודה.
לתגובה חדשה
תודה.
לתגובה חדשה
תגובתך לא נשלחה בשל בעיית תקשורת, אנא נסה שנית.
חזור לתגובה
חזור לתגובה
-
1.חקי הון ושלטון בכוונה לא הקימו חברת ערבות כי רצו שתעקצו (ל"ת)חקי חיון 01/2025/30הגב לתגובה זו0 0סגור