נחשפו פרצות שאפשרו לגנוב כספים ולארגן מפגשים במיט-אפ

חוקרי צ'קמרקס חשפו חולשות אבטחה בפלטפורמת מיט-אפ, שמשרתת עשרות מיליוני משתמשים ברחבי העולם למפגשים מקצועיים – כך מסרה היום (ב') חברת אבטחת המידע. פרצות האבטחה אפשרו לתוקפים להשתלט על ארגון וניהול מיט-אפים, בין אם הם נערכים אונליין או אוף ליין, להפנות תשלומים שבוצעו באתר או באפליקציה דרך פייפאל לחשבונות שלהם מבלי שהמשתמשים ישימו לב, ועוד. צ'קמרקס פנתה למנהלי מיט-אפ וחולשות האבטחה תוקנו.

מיט-אפ משרתת 49 מיליון חברים רשומים מסביב לעולם ויותר מ-230 אלף מארגנים יוצרים באמצעות הפלטפורמה בממוצע 15 אלף אירועים ביום. החוקרים של צ'קמרקס מצאו בה כמה חולשות שמאפשרות לתוקף, בין היתר, להפוך למארגן-שותף (Co-organizer) של המיט-אפ ולהשתלט עליו. באופן כזה הוא מקבל גישה למיילים של כל המשתתפים גם כשמדובר בקבוצה פרטית, יכול לארגן מפגשים, לשנות את הפרטים, כמו מועד ומיקום, ואף לבטל אותם.

כמו כן, כיוון שחלק מהמפגשים גובים תשלום באמצעות פייפאל, החולשות מאפשרות לתוקף לשנות את כתובת חשבון הפייפאל המקורית לכתובת שלו, וכך לנתב אליו את כל המימון מהמשתתפים, מבלי שהם והמארגנים שמים לב.

החולשות שהתגלו

הפעולות הללו התאפשרו הודות לחולשות נפוצות מסוג XSS ו-CSRF, שמצאו החוקרים. במתקפת XSS (ר"ת Cross-Site Scripting) "מוזרקים" קודים זדוניים לאתרים מהימנים. מתקפות אלה מתרחשות כאשר תוקף משתמש ביישום אינטרנט כדי לשלוח קוד זדוני, בדרך כלל בצורה של סקריפט בצד הדפדפן, למשתמש קצה אחר. תוקף יכול להשתמש ב-XSS כדי לשלוח סקריפט זדוני למשתמש התמים, מבלי שיידע על כך, תוך שהוא חושב שזה הגיע ממקור מהימן. כך הסקריפט הזדוני יכול לגשת לכל קבצי ה-Cookie, ל-Session tokens או למידע רגיש אחר שנשמר בדפדפן ומשמש לפעילות באתר זה. סקריפטים אלה יכולים אפילו לכתוב מחדש את תוכן עמוד ה-HTML.

מתקפת CSRF (ר"ת Cross-Site Request Forgery) מאלצת את משתמשי הקצה לבצע פעולות לא רצויות באפליקציית הרשת שבה הם מאומתים באותו הזמן. בעזרת הנדסה חברתית (כגון שליחת קישור באימייל או בצ'ט), תוקף יכול להערים על המשתמשים באפליקציית הרשת לבצע פעולות לפי בחירתו. אם הקורבן הוא משתמש רגיל, מתקפת CSRF מוצלחת יכולה להכריח אותו לבצע דרישות משתנות, כמו העברת כספים, שינוי כתובת המייל שלו וכו'… אם הקורבן הוא חשבון מנהל (אדמין), מתקפה כזו עלולה לסכן את אפליקציית הרשת כולה.

החוקרים גילו גם פרצת אבטחה בממשק ה-API באתר, דרכה ניתן לקבל את רשימת כתובות המייל של כל משתתפי המפגשים בקבוצות השונות.

לדברי ארז ילון, ראש צוות המחקר בצ'קמרקס, "בזמן שחברות וארגונים מסתמכים יותר ויותר על תקשורת וכנסים וירטואליים כדי להישאר מחוברים לעובדים, לקוחות ושותפים, בפלטפורמות כגון מיט-אפ עוברות כמויות מידע גדולות מאי פעם. כך, חולשת האבטחה שנחשפה עלולה הייתה לסכן מידע רגיש, הרשאות וכספים. החשיפה שלנו היא חלק מהמאמצים המתמשכים של מחלקת המחקר בצ'קמרקס ליזום ולבצע את השינויים הנדרשים באבטחת תוכנה בקרב ארגונים ברחבי העולם".