קבוצת המחקר של חברת הסייבר אימפרבה (Imperva) חשפה חולשת אבטחה חמורה בכפתור התשלום של Google Pay, שאיפשרה להציג את ארבע הספרות האחרונות של כרטיסי האשראי השמורים בחשבון המשתמש לביצוע מתקפות SIM Swap - שיטה של תקיפה שבה תוקף מצליח לשכנע חברת סלולר להוציא כרטיס SIM חדש במספר הטלפון של הקורבן.
במסגרת המחקר, שהוביל רון מסאס, מנהל מחקר התקפי בקבוצת מחקר איומים, התוקפים יכלו לבצע מניפולציה ויזואלית פשוטה והלכה למעשה להסוות את המספרים כחלק מ-CAPTCHA (מבחן המבדיל בין אדם למחשב) מזויף ולגרום למשתמשים להקליד את ארבע הספרות מבלי להבין שהם חושפים מידע רגיש.
בישראל, חשיפה זו עלולה להיות קריטית במיוחד כאשר חברות סלולר מסתמכות לעיתים קרובות על ארבע הספרות הללו, לצד שם ותעודת זהות, כאמצעי אימות להנפקת כרטיס SIM חלופי. לאור דליפות מידע רחבות היקף בעבר ובהן דליפת אגרון (2006) ופרצת אלקטור (2020) - פרטי זהות אישיים זמינים כיום ברשת, והספרות האחרונות של הכרטיס הופכות למחסום היחיד בפני התחזות.
מעבר לישראל, שירותים פיננסיים וחברות טלקום ברחבי העולם עדיין מתייחסים לארבע ספרות אלו כאמצעי אימות. משמעות הדבר היא שדליפתן עלולה לאפשר השתלטות על חשבונות, החלפת כרטיסי SIM או איפוסי סיסמאות.
המחקר מצביע גם על תופעה מדאיגה בזירת הסייבר: דליפות ישנות משולבות כיום בערוצי טלגרם פתוחים, בהם פועלים בוטים לניהול סחר בסמים. כדי לאמת קונים, דורשים המפעילים לעיתים צילום תעודת זהות ו/או וידאו קצר, שנבדקים מול מאגרי דליפות ישנים. השימוש הגלוי במידע שדלף יוצר מציאות שבה מספרי זהות בישראל נחשבים בפועל לנתון ציבורי, מה שמגביר את הפגיעות של המשתמשים בפני תקיפות.
באימפרבה מסרו כי גוגל פעלה במהירות ותיקנה את הפגיעות, כשהסירה את הצגת הספרות האחרונות בכפתור Google Pay.
רון מסאס, מנהל מחקר התקפי בחברת אימפרבה: ״במחקר חשפנו כיצד פגיעות פשוטה לכאורה בכפתור התשלום של Google Pay משתלבת עם דליפות מידע ישנות ואימות רשלני של חברות סלולר - והופכת לכלי ממשי למתקפות SIM Swap. זהו תזכורת כואבת לכך שהסתמכות על ארבע ספרות אחרונות כאמצעי אימות היא לא רק לא מספיקה, אלא מסוכנת. נדרשת חשיבה מחודשת על תהליכי האבטחה הבסיסיים ביותר, כדי למנוע מהתקפות מהסוג הזה להפוך לסטנדרט עולמי".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו