פרצה ותיקה בפפר גורמת לחשוף את כל פרטי המשתמשים ואף לשלוח להם הודעות מזויפות מטעם הבנק
מומחה אבטחה: "זה דבר ראשון שצריך לבדוק", בנק לאומי: "אי אפשר לדעת מידע פיננסי"
פרצה ב"פפר אינבסט", הבנק הדיגיטלי של בנק לאומי. הפרצה החמורה, שהתגלתה לאחרונה, עלולה לאפשר לכל אדם שהוריד את האפליקציה לקבל את שמו של משתמש ופרטיו, על ידי הזנת מספר הטלפון. מבנק לאומי נמסר: "מדובר בפיילוט, נבחן את הנושא".
כך הפרצה אפשרה לכל אדם שהוריד את האפליקציה המיועדת להשקעות דרך "פפר", להזין מספרי טלפונים – ואם לאותם מספרים היה משוייך חשבון של לקוחות בבנק הדיגיטלי, פרטיו האישיים היו מתגלים, בהם גם שמו המלא.בינתיים לא ידוע אם נעשה שימוש בפרצה שהופיעה באפליקציה, שזמינה כרגע רק למשתמשי אנדרואיד.
לפי מפתח תוכנה, רן בר זיק: "כשמשתמש מכניס הרבה מספרים לתוך המנגנון והוא בתגובה לא חוסם אותו – זה מצב שנקרא 'התקפת ברוט פורס'. המשמעות היא שבגלל שהשרת לא חוסם כשמריצים עליו המון מספרים ובאופן עקרוני ניתן לשלוח מיליוני מספרים, בדרך זו אפשר לקבל את מאגר הנתונים המלא של כל הלקוחות – שמות וטלפונים. עם מאגר כזה ניתן בעיקר להתקיף את הלקוחות, לשלוח להם הודעות מזויפות מטעם הבנק כדי לשכנע אותם להתחבר לאתר מזויף עם הפרטים שלהם ולהעביר לשם כסף".
"חולשת האבטחה הזו היא בת עשורים והיא מאוד ידועה – היא מדאיגה במיוחד כי זה הדבר הראשון שמומחה אבטחה בודק כאשר הוא בוחן אפליקציה מסוימת. החולשה הזו מראה שאיש אבטחה לא בחן את התהליך הזה וזה מדאיג".
מבנק לאומי נמסר בתגובה לפרסום: "מדובר בגרסת beta של אפליקצית אינבסט, השייכת לבנק הדיגיטלי פפר, שנפתחה למספר מאוד מצומצם של משתתפים פנימיים ובאנדרואיד בלבד. חשוב לציין כי בשום שלב לא ניתן לדעת פרטים מתוך חשבון הבנק של הלקוחות או כל מידע פיננסי אחר. תודה על תשומת הלב, שהרי זו המטרה העקרית של הפיילוט".
כללית תחזיר כספים למבוטחים דרך אפליקציית פפר פיי
פפר כובש את הנוער: בני 16-18 יוכלו לפתוח חשבון ראשון בבנק הדיגיטלי