בלוגר התריע על פרצת אבטחה באתר גולן טלקום

הבלוגר ערן ורד: "פניתי לפני כשבוע ליו"ר גולן טלקום, אורן מוסט, והוא הבטיח לי שהנושא יטופל" ■ הפירצה השאירה פרטי משתמשים וסיסמאות לא מאובטחים ■ לאחר פניית "גלובס" תוקנה התקלה

הבלוגר ערן ורד זיהה פרצת אבטחה באתר של חברת הסלולר החדשה גולן טלקום. בדף הכניסה ללקוחות עם שם המשתמש והסיסמה מגיעים הגולשים לדף לא מוצפן (HTTP) ולפי ורד, "על מנת לפתור את הבעיה, גולן טלקום לא צריכים לשנות את הקישור במייל ל-HTTPS אלא להפנות באופן אוטומטי כל גישה לאתר תחת HTTP ל-HTTPS. נכון לעכשיו הם עושים זאת רק אם תכנסו לדף הראשי".

ורד טוען כי דיבר על הנושא עם יו"ר גולן טלקום, אורן מוסט, לפני מספר ימים, ומוסט הודיע לו כי הנושא בטיפול.

"יש לכם בעיית אבטחה באתר", כתב ורד למוסט. "במקרים רגילים הייתי מיד עושה מזה 'ספין' או אייטם עיתונאי או וואטבר… אבל מכיוון שהאינטרס הציבורי הוא שגולן טלקום יצליחו (אתה הרי יודע שהמעסיקים הקודמים שלך למשל יקפצו על העניין כמוצאי שלל רב), שמתי את האינטרס באישי בצד ולפני כשבוע התרעתי בפני איש טכני שאת שמו אינני זוכר (הוא הגיע חזר אלי לאחר פנייתי למוקד הטל' שלכם) על הבעיה והודעתי לו שבמידה וזה לא יטופל בהקדם, איאלץ לפנות לגורם עיתונאי. אני מניח שביום שני אפנה לגורם עיתונאי ואז הרי מה שיקרה שהבעיה מיד תתוקן. עד אז נתוני לקוחותיכם חשופים. אמנם לא מספרי כרטיסי אשראי אך עדיין... אם אתם מעוניינים לדעת מה בדיוק הבעיה (פעם שנייה שאני אצטרך להסביר), אתם מוזמנים לפנות אלי במהלך הסופ"ש או ביום ראשון".

לדברי ורד, הוא קיבל תגובה ממוסט כעבור מספר שעות בזו הלשון: "תודה רבה על האיכפתיות מצדך. אנו עובדים במרץ גם בחזית אבטחת המידע. אעביר את הפרטים שלך לגורם המתאים. חג שבועות שמח, אורן".

יש לציין כי ההרשמה לגולן טלקום מתבצעת בעיקר דרך אתר האינטרנט, והלקוחות מקבלים את כרטיסי ה-SIM בדואר כעבור מספר ימים. כאמור, פרצת האבטחה אינה מסכנת את פרטי כרטיסי האשראי של הלקוחות.

מגולן טלקום נמסר בתגובה: "האתר של גולן טלקום מתוכנת על ידי בוגרי 8200 ומאובטח ברמה הגבוה ביותר שניתן. האתר הוא ב-https בכל תהליך ההרשמה ובחלק הניהול של 'החשבון שלי' לפי החוק בישראל פרטי כרטיס האשראי בכלל לא עוברים באתר של גולן טלקום אלא מגיעים ישירות לחברות האשראי. למרות כל השמועות, האתר עובד בצורה מושלמת וכבר התבצעו בהצלחה כמה עשרות אלפי הרשמות- ללא שום בעיה של אבטחת מידע".

עדכון: התקלה, הפשוטה לתיקון, אכן תוקנה.