פירצת אבטחה באתר של מועדון 'בארבי' במהלך סוף השבוע חשפה מידע נרחב אודות הכנסות המקום ■ בין הנתונים גם מידע אישי אודות רוכשי הכרטיסים, לרבות תעודת זהות, מספר טלפון ושם מלא.
פירצת אבטחה אשר התגלתה במהלך סוף השבוע במערכת הניהול של אתר 'בארבי' (בית ליוצרים ישראלים), המבוסס על תוכנה של חברת Eventgo (איוונטגו) המפתחת מערכות מקוונות למכירת כרטיסים וניהול מופעים ותערוכות, חשפה מידע רחב היקף אודות הכנסות הבארבי מהמופעים השונים, לצד מידע אישי אודות כל הנרשמים והרוכשים לרבות כתובתם, מספרי טלפונים ותעודות זהות ויתכן ואף כרטיסי אשראי. בין המידע שהגיע לידי המזבלה גם רשימות הדיוור של הבארבי, סיסמאות ושמות משתמשים לכלל הספקים וגישה למערכת ניהול הכרטיסים של הבארבי אשר מאפשרת להוציא פלט אודות כלל הרכישות שבוצעו בבארבי במרוצות השנים.
בשלב זה לא ברור מי עוד אוחז במידע הרגיש, אשר כאמור יתכן וכולל גם מספרי כרטיסי אשראי של עשרות אלפי אנשים. המידע אשר נשלף מהמערכת כולל רשימות של מופעים עתידיים, מידע פיננסי של הבארבי, לרבות הכנסות מהמופעים לצד חומרי הסברה ופרסום שונים של הבארבי לקידום הופעות מתוכננות, חלק אף כאלו שבוטלו. בין התכנים שנמצאו במערכת הניהול של האתר, גם "הופעה של מיילי סיירוס ומטאליקה בישראל" – כנראה סוג של פילר או בדיחה פנימית של עובדי הבארבי.
כאמור זוהי לא הפעם הראשונה שמתגלה פירצת אבטחה באתר הבארבי. באפריל 2014, פורסמה בהארץ כתבה אודות 'פירצת אבטחה באתר אשר איפשרה לגנוב כרטיסים'. בעלי הבארבי, שאול מזרחי, מסר להארץ כי: "הפירצה תוקנה רבע שעה אחרי שדווחה, לא נגנבו כרטיסים ולא היתה גישה לנתוני אשראי", אולם מבדיקה של המזבלה עולה כי הפירצה החדשה חמורה בהרבה ואף יתרה מכך, הפירצה אשר לכאורה תוקנה כבר באפריל עדיין קיימת. תודה לאיל גרוס, חבר בקבוצה של "חוקרי אבטחת מידע" על האינפו.
עידכון 18.1: פירצת אבטחה גם באתר 'צוותא'
עידכון 18.1 // 12:10, תגובת איוונטגו: "בהתיחס לפרסומים שהיו ביומיים האחרונים בנוגע לפריצה לכאורה לבסיס נתונים של 2 אתרים בניהולנו ברצוננו להעמיד דברים על דיוקם . אמנם היה ניסיון פריצה מסיבי הכולל DDOS אשר למיטב הבנתנו גובל בפלילים ברם ניסיון זה טופל ונחסם באופן מידי. בשום אופן לא דלף כל מידע אישי חסוי הנוגע למי הרשומים באתר מאחר ולא היגיעו לבסיסי הנתונים עצמם. חברתנו השתמשה וממשיכה להשתמש באמצעי ההבטחה המתקדמים בשוק ותנקוט בכל האמצעים העומדים לרשותה הן כדי למנוע כל מקרה דומה בעתיד והן כדי למצות את הדין עם האחראים לארוע הנ'ל".
מידע ראשוני, פרטים נוספים יעודכנו בקרוב.
■ מבדיקה של המזבלה נכון למועד הפרסום עולה כי הפירצה במערכת הכרטוסים עדיין קיימת.
■ המזבלה לא הצליחה להשיג תגובה מטעם בארבי וחברת Eventgo עד מועד הפרסום.
■ המידע כולל מידע אודות עשרות אלפי אנשים, חלקו מובא כאן לפניכם.
■ ראוי לציין כי בשלב זה לא נמצאו עדויות לדליפת כרטיסי אשראי.
סיסמאות של ספקים
לוח מופעים ומידע אישי של הרוכשים, מופעי עבר ועתיד
מערכת הכרטיסים – לרבות מידע אישי אודות הרוכשים
5 Responses
מקווה שהבבון הזה שאול מזרחי הפסיד מאות אלפי שקלים.
[Comment ID #116800 Will Be Quoted Here]
לינק?
היה ראוי שתתנו קרדיט לחושף הפירצה.
וכמו כן, היה ראוי לחכות עם הפרסום טיפה עד שאולי יתוקן מה שצריך היה להיות מתוקן.
בזיון של אבטחה במערכת של eventgo. אפס מודעות ויכולת תגובה של ילד בן 5. הבעיה קיימת גם בעוד אתרים שמשתמשים במערכת שלהם והם חייבים לסגור את זה עכשיו!
איוונטגו תיקנו את האתר של בארבי, שבלול ושל עצמם. אבל מה עם שאר הלקוחות שלהם?
**נערך ע" מזבלה: מסיבות מובנות הסרתי את הקישורים ששמת (תודה).**