יום רביעי, 24 בנובמבר 2010

שף תאכל? בהחלט, אבל בזהירות, חמודי! / מחדל האבטחה של ישראכרט בפטיבל שף תאכל

הקדמה: לא תיכננתי לפרסם פוסט בנושא שלפניכם, אבל בתיזמון שכזה, ובסמיכות כזו לפוסט הקודם שלי, לא יכולתי להימנע. כל הפרטים על מחדל האבטחה של ישראכרט בפסטיבל שף תאכל - לפניכם...אם היה עוצר אתכם מישהו ברחוב, ומבקש מכם לתת לו את שמכם, מספר תעודת הזהות שלכם, מספר כרטיס האשראי שלכם ודוגמת החתימה שלכם, סביר להניח שלא הייתם מסכימים, נכון?

ברור. צריך להיות מעט מטורף כדי להסכים לזה, אה?

מוזר ככל שזה יישמע, זה בדיוק מה שעושה חברת ישראכרט למי שבוחר לנצל את ההטבה שלה לפסטיבל שף תאכל.

כזללן מושבע, אני מודה שאחת היוזמות האהובות עלי ביותר בישראל היא הפסטיבל הזה, שמתקיים בימים אלה ממש. כצ'ופר נוסף, החליטה השנה חברת ישראכרט להעניק ללקוחותיה, באמצעות אתר ההטבות שלה, 10 שקלים הנחה נוספת על מחירי הפסטיבל.

אחלה יוזמה, ואחלה רעיון של ישראכרט, נכון?    

אז זהו, שכמעט.

כדי לממש את ההטבה שישראכרט מציעה (10 ש"ח הנחה), יש להירשם
לאתר ההטבות של ישראכרט ולקבל SMS ובו קוד הטבה ייחודי שאותו יש להציג במסעדה בה אוכלים.

איפה מתחילה הבעיה?

כדי לאסוף מכל המסעדות את רשימת הלקוחות שהציגו קוד הטבה של ישראכרט, בעלי המסעדות מבקשים מהלקוח (אתם, לצורך העניין) למלא דף עם כל הפרטים האישיים שלכם.

על הדף, מופיעים גם כל הפרטים של הסועדים שניצלו את ההטבה לפניכם, כולל שמם המלא, מספר תעודת הזהות שלהם, מספר כרטיס האשראי שלהם ודוגמת החתימה שלהם.

מי יודע לאן הדף הזה הולך אחר כך? 

מי יודע מה יעשו עם כל המידע הזה הסועדים שימלאו אחריכם את הדף?

רק כדי להדגים את הטענה, הנה שתי דוגמאות חיות, מהיום, שצולמו ללא כל הפרעה באחת המסעדות באזור השפלה. האוכל, אגב, היה מעולה.

הנה דף ראשון, מלא בשמות, מספרי זיהוי ומספרי כרטיסים:


והנה דף שני, גם הוא עם כל הפרטים עליו:


לא ברור איך אף אחד מבעלי המסעדות שמחתימים את הלקוחות לא שם לב לזה,
ועוד יותר לא ברור - איך זה עבר את אנשי האו"ש, אבטחת המידע ומחלקת הביטחון של חברת ישראכרט.

מוזר מאוד, אבל עיניכם הרואות את הדוגמאות המצולמות.

שימרו על פרטיכם האישיים.
כנראה שאף אחד לא יעשה זאת בשבילכם, גם לא מומחי האבטחה והביטחון המופקדים על כך.

ו......בתיאבון!

חושבים שהפוסט יכול להועיל לאנשים נוספים?   שילחו להם לינק, או שתפו אותו בעזרת כפתורי השיתוף שלמטה.
אשמח לקבל תגובות והערות גם במייל - myzarkor@gmail.com .

יניב טילינגר     Yaniv Tillinger