נחשפו פרצות אבטחה חמורות באתר Meetup.com
מאת:
מערכת Telecom News, 3.8.20, 16:31
פלטפורמת Meetup.com משמשת עשרות מיליוני משתמשים ברחבי העולם למפגשים מקצועיים גם בישראל. מהן החולשות החמורות שנחשפו?
חברת צ'קמרקס (
Checkmarx) חשפה היום חולשות אבטחה בפלטפורמת
Meetup.com, שמשמשת עשרות מיליוני משתמשים ברחבי העולם למפגשים מקצועיים.
פרצות האבטחה מאפשרות לתוקפים "להשתלט" על ניהול של ארגון וניהול מיטאפים (מפגשי אונליין ואוף-ליין), להפנות תשלומים, שנעשו באתר דרך
PayPal,לחשבונות שלהם מבלי שהמשתמשים ישימו לב, ועוד.
Meetup.com משרת 49 מיליון חברים רשומים מסביב לעולם וכ-230,000 מארגנים יוצרים בממוצע 15,000 אירועים באופן אישי ביום, חלקם בישראל. (הנתונים לפי
TechCrunch).
החוקרים של החברה מצאו מספר חולשות חמורות באתר, שמאפשרות לתוקף, בין היתר:
להפוך למארגן-שותף
co-organizer של המיטאפ ולהשתלט עליו. באופן כזה הוא מקבל גישה למיילים של כל המשתתפים גם כשמדובר בקבוצה פרטית, יכול לארגן מפגשים, לשנות את הפרטים, כמו מועד, מיקום, ואף לבטל אותם.
לגנוב כספים. כיוון שבחלק מהמפגשים גובים תשלום באמצעות
PayPal, החולשות מאפשרות לתוקף לשנות את כתובת חשבון ה-
PayPal המקורית לכתובת שלו, וכך לנתב אליו את כל המימון מהמשתתפים מבלי שהם שמו לב.
הפעולות הללו התאפשרו הודות לחולשות נפוצות מסוג
XSS ו-
CSRF, שמצאו החוקרים.
במתקפת
XSS (Cross-Site Scripting) "מוזרקים" קודים זדוניים לאתרים מהימנים. התקפות
XSS מתרחשות כאשר תוקף משתמש ביישום אינטרנט כדי לשלוח קוד זדוני, בד"כ בצורה של סקריפט בצד הדפדפן, למשתמש קצה אחר.
תוקף יכול להשתמש ב-
XSS כדי לשלוח סקריפט זדוני למשתמש התמים, מבלי שיידע על כך, תוך שהוא חושב, שזה הגיע ממקור מהימן. כך, הסקריפט הזדוני יכול לגשת לכל קובצי
Cookie, session tokens או מידע רגיש אחר הנשמר ע"י הדפדפן ומשמש לפעילות באתר זה. סקריפטים אלה יכולים אפילו לכתוב מחדש את תוכן עמוד ה-
HTML.
מתקפת
CSRF (Cross-Site Request Forgery) מאלצת את משתמשי הקצה לבצע פעולות לא רצויות באפליקציית רשת, שבה הם מאומתים באותו זמן. בעזרת הנדסה חברתית (כגון שליחת קישור באימייל או בצ'ט), תוקף יכול להערים על המשתמשים באפליקציית הרשת לבצע פעולות לפי בחירתו.
אם הקורבן הוא משתמש רגיל, מתקפת
CSRF מוצלחת יכולה להכריח את המשתמש לבצע דרישות משתנות כמו העברת כספים, שינוי כתובת הדוא"ל שלו וכו'. אם הקורבן הוא חשבון מנהל (אדמין), מתקפה כזו עלולה לסכן את אפליקציית הרשת כולה.
החוקרים גילו גם פרצת אבטחה בממשק ה-
API באתר, דרכה ניתן לקבל את רשימת כתובות הדואר האלקטרוני של כל משתתפי המפגשים בקבוצות השונות.
צ'קמרקס פנתה למנהלי האתר ופרצת האבטחה תוקנה. "
Meetup מתייחסת ברצינות רבה לדיווחים על אבטחת המידע שלה ומעריכה את עבודתה של צ'קמרקס בהבאת הנושאים הללו לידיעתנו לצורך בדיקה ומעקב", נמסר מהרשת החברתית.
ארז ילון, ראש צוות המחקר בצ'קמרקס: "בזמן שחברות וארגונים מסתמכים יותר ויותר על תקשורת וכנסים וירטואליים כדי להישאר מחוברים לעובדים, לקוחות ושותפים, בפלטפורמות האלו עוברות כמויות מידע גדולות מאי פעם. כך, שחולשת האבטחה שנחשפה עלולה הייתה לסכן מידע רגיש, הרשאות וכספים".
פתרונות של בדיקות תוכנה סטטית (
SAST) חיוניים בסיוע לארגונים לאתר חולשות אבטחה הנגרמות ע"י קוד, כגון בעיות
XSS ו-
CSRF, שנמצאות ב-
Meetup.com, ומתן תובנות, שתובלנה לתיקון.
סרטון המדגים את הפרצה -
כאן.