גררר...היה פתוח כשהדבקתי את הלינק. בכל מקרה, תמיד יש את גרסת הנייד:
http://www.haaretz.co.il/mobile/.premium-1.2038999פרצת פרטיות חושפת פרטים אישיים של רוכשי כרטיסים ב"לאן"
עידו קינן
05/06/2013 | 17:24
קניתם כרטיס באתר "לאן"? בעזרת כתובת האימייל ושמכם הפרטי אפשר לגלות את הסיסמה, לחדור לכם לחשבון ולשאוב פרטים אישיים. רוצים לשנות סיסמה או למחוק את החשבון? אי אפשר
בשישי במאי 2010 רכשה שלומית ברגר כרטיס אחד לגמר גביע המדינה בכדורסל. ביוני אותה שנה היא שילמה 198 שקל לזוג כרטיסים למשחק בסיבוב השני המוקדם של ליגת האלופות בין הפועל תל אביב ואלופת בוסניה, ז'לניקר. המשחק האחרון שקנתה אליו כרטיסים היה של הפועל נגד מ.ס אשדוד. את הנתונים האלו השגנו דרך פרצת אבטחה ופרטיות באתר של משרד הכרטיסים "לאן", יחד עם מספר הטלפון שלה וכתובתה בבית (את הפריצה הנועזת ביצענו באישור הלקוחות).
אתר משרד הכרטיסים "לאן"
צילום: צילומסך
רכישת כרטיסים לאירועי בידור וספורט באתר "לאן" מתבצעת בשתי דרכים – רכישה חד-פעמית או פתיחת חשבון. בשני המקרים נדרשים הלקוחות להזין פרטים אישיים על עצמם – שם מלא, טלפון, סלולר, אימייל, כתובת מגורים ומספר תעודת זהות. המערכת מחייבת להזין את כל הפרטים לעיל, מלבד הסלולר. אבל המערכת יוצרת באופן אוטומטי חשבון לכל לקוח, גם אם לא ביקש לפתוח אותו, ולא מאפשרת את מחיקתו. הסיסמה שהמערכת מקצה למשתמשים ולמשתמשים בעל כורחם בנויה בתבנית פשוטה ואחידה, שמאפשרת לחדור לחשבונות על סמך שם פרטי ואימייל, ולפעמים אימייל בלבד. בניגוד למקובל במערכות מוגנות סיסמה אחרות, את הסיסמה החלשה של "לאן" אי אפשר לשנות.
עם הזנת הפרטים, הלקוח מקבל לאימייל שלו הודעה עם סיסמה לחשבון באתר. היא מורכבת משמו הפרטי של הלקוח בעברית וממספר קבוע, 73. "לפני שנתיים או שלוש אמא שלי ביצעה הזמנה דרך אתר 'לאן'", מספר נדב ברגר, בנה של שלומית, שגילה את הפירצה. "כשרצינו להזמין שוב היא אמרה לי שיש לה חשבון (שם המשתמש הוא המייל) והסיסמא היא שלומית73'. חשבתי שהיא פתחה את החשבון מיוזמתה בזמן הרכישה ולא ממש התייחסתי לזה. היום ביצעתי הזמנה על שמי (בלי לפתוח משתמש באתר), ומיד אחרי ההזמנה קבלתי מייל עם פרטי המשתמש שלי (שכאמור לא בקשתי לפתוח)". שם המשתמש הוא כתובת האימייל של ברגר, והסיסמה, כצפוי, "נדב73". "מעבר לזה שהם פותחים חשבונות משתמש בלי רשות, הם גם מנפיקים לכל חשבון את הסיסמה 'שם פרטי73'. לצחוק או לבכות?"
האתר אינו שומר את פרטי האשראי של הלקוחות, אבל אפשר להשיג ממנו שמות, כתובות, כתובות אימייל, מספרי טלפון, מספרי ת.ז, ואת היסטוריית הרכישה המלאה דרך "לאן". את הסיסמה, כאמור, אי אפשר לשנות, ואי אפשר גם למחוק את החשבון. הדרך היחידה להימנע מחשיפת המידע לגורמים לא מורשים היא להיכנס לעריכת החשבון ולהזינו במידע שגוי.
החשבון של שלומית ברגר באתר "לאן"
צילום: צילומסך
חיה גרוס, לקוחה נוספת של האתר, איפשרה לנו לפרוץ לחשבון שלה ולדלות ממנו פרטים. "האמת שאני עדיין המומה", היא אמרה לנו אחרי ההדגמה. "אתר 'לאן' הוא אתר מוכר שמרכז את מכירת הכרטיסים להרבה מאוד אירועים וידוע באמינותו. במקרה, את הכרטיסים האלה יכולתי להזמין רק דרך האתר, כי המשרדים היו כבר סגורים והכרטיסים כמעט אזלו. אני מבינה שפרטי האשראי שלי נמחקים, אבל המצב הקיים מאפשר פלישה בוטה לפרטיותי".
פנינו לבקש תגובה מ"לאן" בטלפון ודרך דף הפייסבוק הרשמי, אולם לא הצלחנו להגיע למענה אנושי, וממשרד הכרטיסים טרם חזרו אלינו.
התחבר
הרשמה
שאלות נפוצות
חיפוש
