לקוחות פנגו? ייתכן שחשבונכם נפרץ

לא מעט נהגים ישראלים סומכים על אפליקציית "פנגו" למצוא חניה בקלות. אבל בדיקת מומחה לאבטחת מידע העלתה חשש כי האקרים יכלו לפרוץ לחשבון המשתמש, דרך המענה הקולי, ולחשוף את הנתונים האישיים שלו. מחברת פנגו נמסר כי "הבעיה טופלה באופן מיידי ומקיף, ולמיטב ידיעתנו, הלקוחות לא נפגעו"

אפליקציית החניה של חברת "פנגו" היא אחת החביבות על הנהגים הישראלים. כעת מתברר כי האפליקציה, שמאפשרת לשלם עבור חניה באופן מהיר דרך הטלפון החכם ללא צורך בתשלום במדחן, ניתנה לפריצה בקלות יחסית - כך עלה מעדויות שהגיעו לידי חדשות 2 Online. פרצת האבטחה תוקנה בעקבות פניית אמיתי דן, חוקר אבטחת מידע, ובעקבות חשיפת חדשות 2 Online.

רוצים לקבל עדכונים נוספים? הצטרפו לפייסבוק רשת

על פי הבדיקה, עוד בשעות הבוקר יכלו הפורצים להגיע לנתונים האישיים המופיעים בחשבון ה"פנגו" ולהורות דרך המענה הקולי "להחנות" את רכבכם בכל מקום בארץ. אמיתי דן, חוקר אבטחת מידע, חשף פרצה במערכת האבטחה של האפליקציה, כזו שאיפשרה, לדבריו, להיכנס לחשבונות של כמעט כל משתמש בפנגו בעזרת נתונים בסיסיים, כמו מספר טלפון של מחזיק החשבון ומספר הרכב שלו. היום בשעות הבוקר עוד היה ניתן לפרוץ לתכנה, וייתכן כי לקוחות נפגעו מהמהלך עד כה.

בשיחה עם חדשות 2 Online הסביר דן את התהליך הפשוט: "נכנסתי למערכת חוקית של משרד החקלאות שנקראת 'דוג סנטר', כמעט כל בעל כלב שעובר חיסונים נמצא במאגר זה". עוד התריע דן כי "אפשר למצוא במאגר את נתוניו של כל תושב שהזין את פרטיה של חיית המחמד שברשותו".

הפתרון: קוד זיהוי באפליקציה

"השלב הבא נעשה בעזרת אפליקציה נפוצה הנמצאת באפסטור", מתאר דן. "אתה רושם איזה סוג טלפון חכם יש לך ולאן אתה רוצה להתקשר". מאותו רגע ניתן להיכנס לחשבון ה"פנגו" בעזרת מספר טלפון "מזויף". "אנחנו יכולים להחליף קול של גבר או אישה, לא צריך להיות האקר בשביל זה, פשוט צריך לשלם לאפליקציה המזייפת", מסביר דן.

בנוסף לכך שניתן לתעתע, לגרום לתחילת חניה או הפסקתה, מסביר דן שה"פורץ" יכול היה גם לקבל פרטים שלעתים נסתרים, כמו מספר רישוי של רכב הנהג אליו אנו מתחזים. מדובר, הוא מזהיר, באפשרות שיכולה להוות מטרד במקרה "הטוב", או איום פלילי או ביטחוני במקרים אחרים, אם גורמי טרור או פשע ניצלו פירצה זו.

"לא צריך להיות האקר בשביל זה". אמיתי דן (חדשות 2)

"לא מדובר באבטחת מידע", הדגיש החוקר. "המידע פה לא מאובטח וכמעט כל מי שיש לו את אפליקציית 'פנגו' נמצא בסיכון. אולי כל מי שנפגע ממישהו ומעוניין לנקום בו יכול לבטל חניות של חברה לשעבר, אבל זה גם עלול לשמש עבור גורמים פליליים וביטחוניים".

לדבריו, על החברה לספק ללקוחותיה אמצעי שימוש מזהה נוסף לחסימת הפרצה. "חברות כמו 'פנגו' צריכות קוד זיהוי כמו בשיחה עם הבנק", אומר דן. "בגלל שכל אחד יכול לעשות את זה צריכים לתקן את הליקוי". 

מחברת פנגו נמסר: "פנגו פלוס טיפלה בבעיה באופן מיידי ומקיף באמצעות נקיטת מהלכים שאינם מאפשרים שימוש לרעה בגניבת זהות על מערכות פנגו. חשוב להדגיש - לפנגו פלוס לא ידוע עד עתה על שימוש לרעה שנעשה באמצעות כלי גניבת זהות על הפעלה סלולרית של חניה. בכל מקרה, פרטיו החסויים של המנוי, לרבות שמו, ת.ז ואמצעי התשלום שמורים במערכות נפרדות מאובטחות ולא היו בסכנת חשיפה מכלי זה. למיטב ידיעתנו, לקוחות פנגו פלוס לא נפגעו ממהלך זה, ובכל מקרה מי שחושד שנפגע מוזמן לפנות אלינו ואנו נפצה אותו באופן מיידי".