חברת הסייבר הישראלית צ'קמרקס (Checkmarx) מדווחת על פירצת אבטחה חמורה באפליקציית ההיכרויות טינדר. בפוסט בבלוג החברה נכתב כי צוות המחקר שלה "מצא חולשות מטרידות" באפליקציה, המשרתת 50 מיליון לקוחות ב-196 מדינות.
הפירצה מאפשרת לתוקף פוטנציאלי לצפות בחלק ניכר מהפעולות שהמשתמשים מבצעים. החשש הוא שמידע כזה עלול להביא לסחיטה של משתמשים באמצעות מידע רגיש.
לדברי עמית אשבל, מנהל מחלקת שיווק מוצר בצ'קמרקס, "טינדר היא אפליקציה רגישה, והפירצה מאפשרת לכל אדם שנמצא אתך ביחד באותה רשת פתוחה לראות כמעט כל פעולה שאתה עושה. זה נובע מכך שטינדר עשו עבודה לא טובה בהצפנה. החלק הראשון הוא בעיית אי-ההצפנה של התקשורת כשמעבירים תמונות. מה שזה אומר הוא שבקלות, בלי שום מאמץ, ניתן לראות אותן אם 'מאזינים' לרשת".
המשתמשים בטינדר צופים בתמונות של משתמשים אחרים ומזיזים אותן ימינה אם יש התאמה ושמאלה אם אין. במקרה של התאמה יכולים המשתמשים להתחיל בשיחה פרטית. על-פי טינדר, פעולת ההסטה של התמונות ימינה ושמאלה נעשית 1.6 מיליארד פעמים ביום, מהן ב-26 מיליון מקרים נוצרת התאמה.
"בהסטה ימינה ושמאלה", אומר אשבל, "כן עשו הצפנה, אבל גילינו שהמידע על פעולות שאתה עושה עובר ברשת בפורמט די קבוע, באותו גודל של בייטים. אפשר לדעת לפי גודל ההסטות, זה נקרא גודל התגובה המוצפנת, איזו פעולה על איזו תמונה עשה המשתמש - האם הזיז אותה ימינה או שמאלה והאם יש התאמה. אם אני יושב בבית קפה, אני יכול לראות את התמונה שלך שנמצאת ברשת ולדעת מה אתה עושה באפליקציה.
"יותר מזה - אני יכול גם לדחוף תמונות, כלומר אני יכול לגרום למשתמש לראות תמונות אחרות, פרסומות או משהו פוגעני. השיחה עצמה בין המשתמשים לא חשופה, היא מוצפנת באיכות טובה, וגם פרטי האשראי או פרטים אחרים לא חשופים".
צ'קמרקס, המספקת פתרונות למניעת התקפות האקרים, נוסדה בשנת 2006 על-ידי מתי סימן. מוצר הדגל של החברה הוא מערכת המנתחת קודי תוכנה ומאתרת עוד בשלב הפיתוח פירצות אבטחה שיש לתקן לפני שחרור המוצר. לחברה יש קרוב ל-1,500 לקוחות גלובליים ב-70 מדינות, בהם סמסונג, קוקה-קולה, SAP וצבא ארצות-הברית.
החברה מעסיקה 200 עובדים במטה ובמרכז הפיתוח בבורסה ברמת-גן וכ-170 במשרדים ונציגויות ברחבי העולם. לפני שנה וחצי רכשה קרן הפרייבט אקוויטי האמריקאית אינסייט ונצ'ר פרטנרס 80% מהחברה.
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.