$
סייבר

פרצות אבטחה חמורות נחשפו בפלטפורמת המפגשים של MeetUp

הפרצות איפשרו לתוקפים "להשתלט" על ארגונים המשתמשים בשירות ולנהל מפגשי אונליין ומפגשים פיזיים תוך גניבת תשלומים שבוצעו דרך אתר PayPal

רפאל קאהאן 16:4403.08.20
חוקרי סייבר ישראלים חשפו היום (ב') סדרה של חולשות אבטחה בפלטפורמת Meetup.com, שמשמשת עשרות מיליוני משתמשים ברחבי העולם למפגשים מקצועיים בעיקר בתעשיית הסטארט-אפים. הפרצות איפשרו לתוקפים "להשתלט" על ארגון וניהול על ארגון וניהול מיטאפים (מפגשי אונליין ובעולם האמיתי), לגנוב תשלומים שנעשו באתר דרך פייפאל לחשבונות שלהם מבלי שהמשתמשים ישימו לב, ועוד.

 

ל-Meetup.com יש 49 מיליון משתמשים רשומים בעולם ולמעלה מ-230 אלף מארגנים מקימים בה בממוצע כ-15 אלף אירועים ביום כך לפי נתוני טקראנץ'. חוקרי Checkmarx מצאו מספר חולשות חמורות באתר, שמאפשרות לתוקף בין היתר: להפוך למארגן משותף של המיטאפ ולהשתלט עליו. כך הוא מקבל גישה למיילים של כל המשתתפים גם כשמדובר בקבוצה פרטית. בנוסף הוא יכול לארגן מפגשים נוספים, לשנות פרטים, כמו מועד, מיקום, או לבטל אותם.
שירות המפגשים של MeetUp שירות המפגשים של MeetUp

 

אך מה שיותר מדאיג היא האפשרות לגנוב כספי תשלומים. חלק מהמפגשים מתבצעים בתשלום שמועבר לרוב דרך פייפאל. החולשות איפשרו להאקר לשנות את כתובת חשבון פייפאל המקורית לכתובת שלו, וכך לנתב אליו את כל המימון מהמשתתפים מבלי שהם שמו לב.

 

החוקרים מצאו שהפעולות הללו התאפשרו בגלל חולשות מסוג XSS ו-CSRF. בחולשה הראשונה שמכונה גם Cross-Site Scripting "מוזרקים" קודים זדוניים לאתרי אינטרנט. האקרים עושים שימוש ב-XSS כדי לשלוח קוד זדוני למשתמש, מבלי שיידע על כך תוך שהוא חושב שזה הגיע ממקור מהימן. כך התוקף יכול לגשת לכל קבצי העוגיות (קוקיז), ההתחברות או כל מידע רגיש אחר שנשמר בדפדפן ומשמש לפעילות באתר זה. סקריפטים אלה יכולים אפילו לכתוב מחדש את תוכן עמוד האתר אליו גולשים.

 

החולשה השנייה, מאלצת את המשתמשים לבצע פעולות לא רצויות באפליקציית רשת שבה הם מאומתים באותו זמן. בעזרת הנדסה חברתית (כגון שליחת קישור במייל או בצ'ט), האקר יכול להערים על המשתמשים באפליקציית הרשת לבצע פעולות לפי בחירתו. אם הקורבן הוא משתמש רגיל, מתקפת CSRF מוצלחת יכולה להכריח אותו לבצע העברת כספים, שינוי כתובת המייל וכו'. אם הקורבן הוא בעל הרשאות מנהל (אדמין), מתקפה כזו עלולה לסכן את אפליקציית הרשת כולה.

 

ארז ילון, צ'קמרקס ארז ילון, צ'קמרקס צילום: צ'קמרקס

 

החוקרים גילו גם פרצת אבטחה בממשק באתר, דרכה ניתן לקבל את רשימת כתובות הדואר האלקטרוני של כל משתתפי המפגשים בקבוצות השונות. החברה אסגרה את הממצאים למנהלי האתר ופרצות האבטחה תוקנו.

 

לדברי ארז ילון, ראש צוות המחקר בצ'קמרקס, "בזמן שחברות וארגונים מסתמכים יותר ויותר על תקשורת וכנסים וירטואליים כדי להישאר מחוברים לעובדים, לקוחות ושותפים, בפלטפורמות האלה עוברות כמויות מידע גדולות מאי פעם, כך שחולשת האבטחה שנחשפה עלולה הייתה לסכן מידע רגיש, הרשאות וכספים".

בטל שלח
    לכל התגובות
    x