פיקוד העורף (יש להיכנס למרחב המוגן)
טוען...

טוען נתונים...

ניוז קליק

זוכרים את הפוסט הזה על הקשיים בדיווח הוגן על חולשות אבט"מ? השבוע פנה אלי עוקב בערוץ שדיווח על חולשת Parameter Tam

31/12/2025-16:24 31/12/2025-16:25 מחשבים וטכנולוגיה טלגרם חדשות סייבר דיווח

זוכרים את הפוסט הזה על הקשיים בדיווח הוגן על חולשות אבט
זוכרים את הפוסט הזה על הקשיים בדיווח הוגן על חולשות אבט"מ? השבוע פנה אלי עוקב בערוץ שדיווח על חולשת Parameter Tampering באתר מסוים. בקצרה, מדובר בסיטואציה בה משתמש יכול לשנות ערך של פרמטרים המועברים לשרת ובכך להשפיע על התגובה בדרכים שונות. במקרה הנוכחי, גילה המשתמש כי הוא יכול לשנות את הסכום של המוצר, שמועבר באופן גלוי ב-url, לכל סכום שירצה ובכך להפחית את הערך של המוצר מבלי שמתבצעת וולידציה בצד שרת. המשתמש מחליט לדווח לחברה לאחר שהוא מוודא שהחולשה אכן פועלת מקצה לקצה. בדיווח הוא מציין שהוא מעוניין במוצר במחיר מלא ושהוא ישמח לשלם, אך במקביל הוא משתף איתם פרטים על החולשה ומציע אפילו לעלות לפגישה עם האחראי הרלוונטי כדי להסביר בפירוט מה ומי. החברה בתגובה, לא רק שלא טיפלה בחולשה, אלא החלה להטיח במשתמש האשמות על כך שהוא גנב, פורע חוק וכו' וכו', תוך שהיא שואלת לגילו של המדווח ומציינת כי היא תטפל בנושא מול "הגורמים המוסמכים". בקיצור, משתמש שסה"כ רצה לדווח על חולשה מוצא את עצמו עכשיו חושש מתביעות, חווה עוגמת נפש ועוד... יש קבוצות כופר שקוראות לאתר ההדלפות שלהן wall of shame, כי זה תכלס אתר שמציג חברות שצריכות להתבייש שהצליחו לפרוץ אליהם. ולא רק קבוצות כופר, אפילו למשרד הבריאות בארה"ב יש סוג של wall of shame בו הם מפרסמים שמות של חברות שחוו דלף מידע רפואי (מאות כאלו בשנה!). לפעמים זה מרגיש שצריך להקים גם wall of shame לחברות וארגונים שלא יודעות לכבד דיווחים על חולשות אבט"מ... t.me
חדשות סייבר - ארז דסה
חדשות סייבר - ארז דסה
זוכרים את הפוסט הזה על הקשיים בדיווח הוגן על חולשות אבט"מ? השבוע פנה אלי עוקב בערוץ שדיווח על חולשת Parameter Tampering באתר מסוים. בקצרה, מדובר בסיטואציה בה משתמש יכול לשנות ערך של פרמטרים המועברים לשרת ובכך להשפיע על התגובה בדרכים שונות. במקרה הנוכחי, גילה המשתמש כי הוא יכול לשנות את הסכום של המוצר, שמועבר באופן גלוי ב-url, לכל סכום שירצה ובכך להפחית את הערך של המוצר מבלי שמתבצעת וולידציה בצד שרת. המשתמש מחליט לדווח לחברה לאחר שהוא מוודא שהחולשה אכן פועלת מקצה לקצה. בדיווח הוא מציין שהוא מעוניין במוצר במחיר מלא ושהוא ישמח לשלם, אך במקביל הוא משתף איתם פרטים על החולשה ומציע אפילו לעלות לפגישה עם האחראי הרלוונטי כדי להסביר בפירוט מה ומי. החברה בתגובה, לא רק שלא טיפלה בחולשה, אלא החלה להטיח במשתמש האשמות על כך שהוא גנב, פורע חוק וכו' וכו', תוך שהיא שואלת לגילו של המדווח ומציינת כי היא תטפל בנושא מול "הגורמים המוסמכים". בקיצור, משתמש שסה"כ רצה לדווח על חולשה מוצא את עצמו עכשיו חושש מתביעות, חווה עוגמת נפש ועוד... יש קבוצות כופר שקוראות לאתר ההדלפות שלהן wall of shame, כי זה תכלס אתר שמציג חברות שצריכות להתבייש שהצליחו לפרוץ אליהם. ולא רק קבוצות כופר, אפילו למשרד הבריאות בארה"ב יש סוג של wall of shame בו הם מפרסמים שמות של חברות שחוו דלף מידע רפואי (מאות כאלו בשנה!). לפעמים זה מרגיש שצריך להקים גם wall of shame לחברות וארגונים שלא יודעים לכבד דיווחים על חולשות אבט"מ... https://t.me/CyberSecurityIL/8295
🔗 t.me

קרא עוד באתר טלגרם חדשות סייבר

עוד מאמרים בנושא