פירצת אבטחה חמורה ב"אובר של הכלבים"

וואג לאבס (Wag Labs, "מעבדות כשכוש זנב"), חברת הסטארט-אפ שמאחורי אפליקציית הדוגווקינג הפופולרית, חשפה בטעות דפי אינטרנט שהכילו מידע על לקוחות, כולל כתובות מגורים וקודים לפתיחת תיבות שבהן מאוחסנים מפתחות הכניסה לבית, ושעלולים לאפשר לגנבים לפרוץ לבתים.

המידע הופיע על דפים שנמצאים עמוק בתוך אתר החברה ושלא היו מוגנים בסיסמה. לא ברור כמה זמן היו הדפים זמינים, אך הם הוסרו בסוף השבוע שעבר.

כמו כן, לא ברור מספר הלקוחות שבמידע שלהם ניתן היה לצפות. לפני שהוסרו הדפים הצליח הוול סטריט ג'ורנל לצפות ברישומים של יותר מ-100 לקוחות, וקוד פתיחת תיבת מפתחות דלת הכניסה של יותר מ-50 מביניהם היה חשוף. מדובר בפרק זמן של יום אחד ובקבוצה משנית של הדפים האמורים, והרישומים בדפים אלה הוחלפו ברישומים שונים כל יום-יומיים. פירושו של דבר הוא שהמספר המלא של לקוחות שנחשפו עלול להיות גבוה בהרבה.

אין אינדיקציה שהאקרים או גנבים נכנסו למידע על הלקוחות, או שביתו של לקוח כלשהוא נפרץ. המידע שבו צפה הג'ורנל כלל את שמותיהם הפרטיים של הלקוחות ואת האות הראשונה של שם המשפחה שלהם.

וואג אמרה כי בשבוע שעבר קיבלה הודעה על "תקלה טכנית" בתוכנה שלה, וכי תיקנה את הבעיה כמה שעות לאחר מכן. החברה הוסיפה כי התקלה חשפה "מידע אישי מוגבל על קבוצה קטנה של משתמשי וואג", וכי המידע לא כלל נתונים פיננסיים או מספרי ביטוח לאומי. "על פי ממצאי החקירה שלנו עד כה, אין לנו שום סיבה להאמין שנעשה שימוש לרעה במידע הזה".

"וואג מעניקה עדיפות לביטחון לקוחותיה בכל אחד משלבי הפיתוח של החברה, והיא מיישמת תהליכים ונוקטת צעדי אבטחה", אמרה החברה. כמו כן אמרה וואג שהיא בקשר עם הלקוחות שנחשפו.

קתרין דפי, פרופסור בדימוס שמתגוררת בעיר אורינדה שבקליפורניה, נמנתה עם הלקוחות שנחשפו. היא אישרה לג'ורנל שהמידע באתר היה מדויק, וכי היא הוציאה את מפתחות ביתה מתיבת המפתחות שנפתחת באמצעות קוד. דפי אמרה שזה "מבהיל" שמידע כזה הועלה לאתר שחשוף לעיני הציבור. נכון ליום ג' היא לא שמעה מוואג לאבס.

חברות גדולות רבות סבלו מליקויי אבטחה שחשפו מידע של לקוחות. כשמדובר בחברות סטארט-אפ עלולה בעיה זו להיות חריפה יותר, מכיוון שחברות סטארט-אפ אינן נוהגות בדרך כלל להשקיע באבטחת מידע בשלבים ראשוניים, אלא מעניקות עדיפות לצמיחה מהירה של פעילותן, כך לדברי ג'רמיה גרוסמן, סמנכ"ל אסטרטגיית אבטחה בחברת תוכנת האבטחה SentinelOne. הוא הוסיף כי "רק בגלל שאתה חברת סטארט-אפ, זה לא אומר שאין לך אבטחה".

אפליקציית הסמארטפון של וואג מקשרת בין בעלי כלבים לדוגווקרים, שעוברים תהליך בדיקה יסודי. הבעלים יכולים להזמין דוגווקר באופן מיידי, או להזמין טיולים עתידיים עם הכלב, בדומה לאפליקציות של אובר וליפט להזמנת הסעות. וואג מספקת ללקוחות תיבת מפתחות עבור מפתחות הבית שלהם, והדוגווקרים של וואג מקבלים את הקוד לפתיחת התיבה, כדי להוציא את הכלב מהבית.

אפליקציות דוגווקינג מעוררות עניין גדול בקרב משקיעים בשנים האחרונות. השווי של וואג, שאינה חושפת את מספר לקוחותיה, נאמד לדברי חברת המחקר PitchBook ב-200 מיליון דולר באפריל 2017, כשהחברה גייסה 45 מיליון דולר. סופטבנק גרופ ניהל מו"מ על השקעה אפשרית בוואג ובחברות דוגווקינג אחרות.

המידע שנחשף באתר וואג אינו כולל את סוג הנתונים האישיים שמצריכים דיווח ללקוח מתוקף החוק במספר רב של מדינות בארה"ב, לדברי אד מקאנדרו, לשעבר תובע פדרלי שהתמחה בפשעי סייבר, וכיום עורך דין במשרד Ballard Spahr. עם זאת, ציין מקאנדרו כי אם ייפגע מי מהלקוחות עקב חשיפת המידע באתר של וואג, עלולה החברה למצוא את עצמה מול תביעות פיצויים אזרחיות על בסיס דיני נזיקין מדינתיים.

יש האקרים שמחפשים סוג כזה של מידע באינטרנט, לדברי גרוסמן מ-SentinelOne. "אנשים נתקלים בדברים כאלה כל הזמן", ציין גרוסמן.

לקסי דאג עבדה בעבר כדוגווקרית אצל וואג, ולפני כמה חודשים היא הפכה ללקוחה. היא הזמינה טיול לכלב בערב ראש השנה החדשה, על פי אתר האינטרנט הציבורי של וואג, שבו צוינה כתובתה של דאג לצד מידע מפורט על אופן הכניסה לדירתה, וכן המיקום המדויק בדירה שבו שוהה באטמן, השנאוצר הננסי שלה.