פירצת אבטחה חמורה באתר ארקיע

פירצת אבטחה שהתגלתה באתר ההזמנות של חברת התעופה ארקיע חשפה פרטים של לקוחות אחרים. בעקבות פניית ynet הוסר האתר למספר שעות.

הפירצה איפשרה לכל גולש הנרשם באתר לצפות בפרטי ההזמנות של גולשים אחרים בקלות

רבה.

כשל האבטחה איפשר לבצע מניפולציה במספר ההזמנה בכתובת האינטרנט (URL) וכך לצפות בפרטים כמו שמות של מזמיני כרטיסי טיסה, מספרי הטיסות ושמות בתי המלון שהזמינו, כתובות מגורים של המזמינים והסיומת של מספר כרטיסי האשראי שלהם. כמו כן ניתן היה לראות מי נוסע עם מי. 

צילום מסך של דף בו נחשפו פרטים של מזמינים

הגולש Def (שמו המלא שמור במערכת), אשר ביצע הזמנה באתר של ארקיע, דיווח כי הצליח במקרה לצפות בהזמנות שאינן שלו. בבדיקה של ynet התברר כי אכן ניתן לצפות באינספור פרטים אישיים של מזמינים שונים.

תגובת החברה

מחברת ארקיע נמסר בתגובה: "הפעולות שמבוצעות באתר ארקיע הנן מאובטחות, אנו בוחנים את האמור בפניית ובמידה ויימצא ליקוי כלשהו הוא יתוקן לאלתר".

בעקבות פנייתנו הוסר האתר כליל מהרשת.

בעבר נחשפו פירצות אבטחה באתרים מסחריים ישראליים במספר רב של מקרים. כך למשל, בחודש אפריל התגלתה פירצה באתר ויזה Cal, שחשפה פרטי משתמשים. כשל האבטחה איפשר לכל גולש לצפות בפרטי חשבון של משתמשים שתוקף ססימתם פגה.

הדיווח הראשוני התקבל באמצעות האימייל האדום