מבחן CAPTCHA היא שיטת אבטחה שאמורה להגן על “וואלה דואר” מתוכנות אוטומטיות שעלולות להעמיס על השרתים. מה שנקרא “צבא של בוטים” (ריבוי משתמשים וירטואליים) שנגשים לשירות בו זמנית ובכך מעמיסים על השרת, עד שיבוש התפקוד התקין שלו ופגיעה קשה בשירות.
תחקירן של חדשות השבוע אונליין בודק מעת לעת חולשות אבטחה באתרים פופולריים ברחבי הרשת, והפעם הוא גילה חולשת הבטחה במבחן ה-CAPTCHA באתר “וואלה דואר” מבית וואלה.
החולשה או הכשל הוא במבחן ה-CAPTCHA שאמר להבחין בין אדם אמיתי לבוט (תוכנה אוטומטית) שעלולה ליצור משתמשים אין סופיים שהתפקיד שלהם בין היתר להעמיס על השרת, ובכך להפיל את האתר או אפילו לעשות ספאם, ועוד.
ב-“וואלה דואר” המבחן קיים, אבל למעשה שמופיע להכניס מספר מסוים, המשתמש (או יותר נכון “הבוט”) יכול להכניס כל מספר אחר או אפילו ללא מספר כלל, ועם זאת להיכנס לשירות ללא כל בעיה. במצב רגיל, ללא התאמה בין המספר שמופיע במבחן למספר שמקלידים – הגישה נחסמת, ועל המשתמש לנסות שוב (ובכך משמש הגנה מעומס על האתר).
מדובר בכשל אבטחה שפוגע קודם כל באתר של וואלה (לפחות בשלב זה – רק ב”וואלה דואר”), ובהמשך יכול לפגוע גם בחווית המשתמש, ואפילו במשתמש עצמו.
להלן סרטון קצר עם הדגמה לכשל המוזכר לעיל באתר של “וואלה דואר”:
לאחר פניה לאתר “וואלה” בנדון – התקלה תוקנה לאלתר.
