This post is also available in:
English (אנגלית)
חברת אבטחת הסייבר DataDome חשפה לאחרונה נקודות תורפה חמורות בפלטפורמות פופולריות להזמנת מקומות במסעדות, מה שמותיר לקוחות ועסקים בסיכון למתקפות סייבר אוטומטיות. החוקרים מצאו כי כל אתרי ההזמנות באינטרנט שהם בדקו היו רגישים לפעילות בוטים זדונית, כגון credential stuffing ויצירת חשבונות מזויפים, מה יכול להוביל להשלכות חמורות.
במהלך המחקר, חוקרים גילו כי בוטים יכולים בקלות לעקוף את מערכות הרישום והאימות החלשות המשמשות את הפלטפורמות הללו, מה שמאפשר להם ליצור חשבונות מזויפים ולבצע הזמנות מבלי להפעיל התראות על פעילות חשודה. בוטים אלה יכולים אפילו להרחיב את ההתקפות שלהם, להזמין שולחנות מרובים בבת אחת או להזמין מקומות למסעדות בביקוש גבוה, אשר לאחר מכן יכולים לשמש למכירה חוזרת או לכופר – דרישת תשלום עבור שחרור המקומות.
הממצאים של DataDome מדגישים את היעדר ההגנות החזקות ברוב אתרי ההזמנות הגדולים. על פי הדו"ח, רק ל-40% מהאתרים יש מערכות לזיהוי בוטים, ואף אחת מהן לא מונעת יצירת חשבונות מזויפים או הפסקת התקפות של credential stuffing. אפילו אמצעי אימות בסיסיים, כגון CAPTCHA או אימות רב-גורמי, חסרים או לא מספיקים, מה שמותיר אתרים אלה פגיעים לניצול.
החוקרים גילו גם שפלטפורמות ההזמנה הללו לא מצליחות לעצור בוטים מלעקוף בדיקות רישום פשוטות,כמו מניעת שימוש בטקטיקות כמו שירותי דואר אלקטרוני זמניים או טכניקות Gmail Dot. הדבר מקל על עברייני הסייבר להשתלט על הזמנות, לגנוב נקודות בכרטיסי מועדון או אפילו לגשת למידע פיננסי המקושר לפיקדון בכרטיסי אשראי באתרים מסוימים.
כדי להגן הן על הצרכנים והן על העסקים, DataDome ממליצה שפלטפורמות ההזמנה ישתמשו בזיהוי בוט מתקדם, יחזקו את תהליכי יצירת החשבון ויעקבו אחר פעילות ההזמנות עבור דפוסים חריגים, כגון הזמנות של מקומות רבים או במהירות. יש לעודד את המשתמשים להפעיל תכונות אבטחה זמינות ולעמוד על המשמר בנוגע לפעילות חשודה בחשבון.
ככל שעולם אבטחת הסייבר ממשיך להתפתח, תעשיית המסעדנות חייבת לפעול במהירות כדי לטפל בחולשות אלה ולהגן על לקוחותיה מפני איומי סייבר חדשים.
