קבוצת המחקר של חברת הסייבר הישראלית אימפרבה (Imperva) חשפה פגיעות אבטחה בכפתור התשלום של Google Pay, שאפשרה לתוקפים לשים את ידם על ארבע הספרות האחרונות של כרטיסי האשראי השמורים בחשבון המשתמש.
המידע הרגיש הזה שימש ככלי עזר לביצוע מתקפות SIM Swap – טכניקה שבמסגרתה תוקפים מצליחים לשכנע חברות סלולר להנפיק כרטיס SIM חדש על שמו של הקורבן, ובכך להשתלט על מספר הטלפון שלו.
בישראל, הבעיה קיבלה ממד חמור במיוחד, מכיוון שחברות סלולר נוהגות להסתמך לעיתים קרובות על ארבע הספרות האחרונות של הכרטיס, יחד עם שם ותעודת זהות, כאמצעי אימות להנפקת SIM חלופי. לנוכח דליפות מידע רחבות היקף בעבר – כמו מאגר אגרון (2006) ופרצת "אלקטור" (2020) – נתוני זהות בסיסיים זמינים כיום ברשת, והספרות האחרונות של הכרטיס הופכות לעיתים למחסום היחיד בפני התחזות.
גם מחוץ לישראל, מוסדות פיננסיים וחברות תקשורת רבות מסתמכות עדיין על אותן ארבע ספרות כאמצעי אימות. המשמעות היא שדליפתן עלולה לאפשר השתלטות על חשבונות, החלפת כרטיסי SIM ואיפוס סיסמאות.
המחקר גם מצביע על תופעה מדאיגה בזירת הסייבר: דליפות מידע ישנות מופצות כיום בערוצי טלגרם גלויים, המשמשים בין היתר לסחר בסמים. מפעילי ערוצים אלו אף דורשים ממשתמשים לאמת את זהותם באמצעות צילום תעודת זהות או סרטון קצר, אותם הם משווים למאגרים דולפים – מצב ההופך מספרי זהות בישראל לפריט מידע כמעט ציבורי.
״המחקר מראה כיצד פגיעות פשוטה לכאורה בכפתור התשלום של Google Pay משתלבת עם דליפות מידע קודמות ואימות רשלני של חברות סלולר, ויחד הן הופכות לכלי ממשי למתקפות SIM Swap" מסכם מסאס. "הסתמכות על ארבע ספרות אחרונות כאמצעי אימות אינה מספיקה – ואף מסוכנת. נדרשת חשיבה מחודשת על תהליכי האבטחה הבסיסיים ביותר, כדי למנוע ממתקפות מהסוג הזה להפוך לסטנדרט עולמי״.
יש לציין כי בגוגל הגיבו במהירות ותיקנו את הפגיעות, והחברה הסירה את האפשרות להציג את ארבע הספרות האחרונות בכפתור Google Pay ובכך חסמה את השימוש בהן כנשק בידי התוקפים.
התרעות פיקוד העורף