חוקרי סייבר בחברת Salt Security גילו פירצת אבטחה באחד מאתרי הזמנת חופשות הגדולים בעולם שסיכנה מזמיני טיסות, רכבים שכורים ומלונות וחשפה אותם לאפשרות של גניבת זהות, שימוש בחשבונם להזמנת חופשות נוספות, ביטול הזמנות קיימות ופגיעה בפרטיותם.
החשיפה נעשתה על ידי חוקרי Salt Labs, זרוע המחקר של החברה והיא נגעה למשתמשים שביצעו הזמנת טיסה בחברת תעופה מהגדולות בעולם. בתום תהליך ההזמנה, הוצע ללקוחות כמו במקרים רבים אחרים, לבצע הזמנה משלימה של רכב שכור או מלון בעיר היעד שלהם. מי שהתעניינו באפשרות זו ולחצו על הקישור הועברו מבלי ידיעתם לספקית חיצונית של שרותים אלו.
המעבר בין החברות, שנעשה באמצעות חיבור ממשק API היה נקודת החולשה שאיפשרה לחוקרי סולט סקיוריטי למשוך פרטים של משתמשים.חולשת האבטחה דווחה לשתי החברות, כמו גם לחברות נוספות שפועלות בתחום, והיא תוקנה.
עמית אלבירט, חוקר אבטחה ב-Salt Labs: "קישורי API שיוצרים חיבורים בין חברות שונות הם כיום אחת מנקודות החולשה הגדולות בעולם הדיגיטלי. משתמשים שחושבים שהם פועלים מול ספק מסוים מועברים באופן שאינו שקוף להם לצד שלישי, ואם התהליך אינו מאובטח כראוי הוא מסכן את המשתמשים. השלמת גניבת הזהות נעשית באמצעות משלוח הודעה מזויפת למשתמשים, ולכן ההמלצה שלנו לצרכנים היא להקפיד על כללי בטיחות הרשת הבסיסיים, ובראשם לא ללחוץ על קישורים שמתקבלים בהודעות מייל או מסרונים. בכל מקרה של חשד קל מומלץ להיכנס באופן אקטיבי לאתר החברה או לאפליקציה ולבדוק שם האם יש צורך בפעולה מצידם."
הפלטפורמה של סולט סקיוריטי, המבוססת על למידת מכונה וניתוח ביג דאטה, מאפשרת לחברות להגן על חיבורי API עם צדדים שלישיים וזאת באמצעות ניתוח התנהלות החיבורים והתעבורה בהם וזיהוי נקודות חולשה ותוקפים פוטנציאלים. למרות היקף המידע שעובר דרך חיבורי API ורגישותם הגבוהה, ארגונים עובדים עם ממשקים הניתנים ברובם לפריצה. לכן תוקפים הפנו את התמקדותם לממשקים אלו, המאפשרים גישה לנתונים ושירותים קריטיים. הפלטפורמה של סולט, המוגנת בפטנט, עוזרת לארגונים לזהות חולשות אבטחה ב- APIs כבר בתהליך הפיתוח, מאתרת באופן אוטומטי את כל ממשקי ה- APIs בארגון, מזהה תקיפות בזמן אמת וחוסמת תוקפים לפני שנגרם נזק.
סולט סקיוריטי הוקמה בשנת 2016 על ידי רועי אליהו (מנכ"ל) ומייקל ניקוסיה (מנהל תפעול ראשי) וגייסה מאז הקמתה מעל 280 מיליון דולר, בשווי שהגיע ל-1.4 מיליארד דולר ממשקיעים מובילים בעולם, בהם קרן סקויה ארה״ב, CapitalG – קרן ההשקעות של אלפבית ונוספים. החברה מעסיקה קרוב ל-200 עובדים, רובם במרכז הפיתוח הישראלי והשאר בארה"ב.
אם נדמה לכם שכולם מסביבכם נעזרים ב-ChatGPT , Gemini או כלי בינה מלאכותית אחר בזמן…
צוותי המחקר Unit 42 של חברת הסייבר פאלו אלטו נטוורקס מזהירים במחקר חדש, כי מונדיאל…
אינטל הכריזה על Intel Arc G-Series, משפחת מעבדים חדשה שמיועדת למחשבי גיימינג ניידים. הסדרה תכלול בשלב…
אם חשבתם שאתם יודעים בדיוק איפה הישראלים מבלים את הזמן שלהם ברשת, שנת 2026 מביאה…
ג'נסן הואנג, מייסד ומנכ"ל ענקית השבבים אנבידיה (Nvidia), לא עוצר לרגע. בפגישת עובדים שנערכה היום…
