חוקרי אבטחת מידע של חברת Salt Security הישראלית חשפו פרצת אבטחה חמורה באתר בינלאומי להזמנת חופשות, אשר העמידה בסיכון את פרטיות המשתמשים ואיפשרה לתוקפים פוטנציאליים לנצל את חשבונם לביצוע הזמנות בלתי מורשות ואף לבטל הזמנות קיימות. הפירצה נחשפה במסגרת מחקר של זרוע המחקר של החברה. היא דווחה באופן מיידי לחברות המעורבות, כולל ספקית השירותים הנוספים, ותוקנה בתוך שבועות ספורים.
החולשה התגלתה בממשק ה-API שהעביר משתמשים באופן אוטומטי מחברת תעופה בינלאומית לספק חיצוני של שירותי השכרת רכב ומלונות, כחלק מהצעה להשלמת ההזמנה. חיבור זה התגלה כנקודת תורפה, שכן איפשר גישה בלתי מורשית לפרטי המשתמשים. בעקבות הדיווח, שתי החברות המעורבות תיקנו את הפרצה, ונמסר כי גם חברות נוספות בתחום קיבלו התרעה בנושא.
עמית אלבירט, חוקר אבטחה ב-Salt Labs, ציין כי קישורי API בין חברות מהווים כיום אחד האתגרים הגדולים ביותר בתחום האבטחה הדיגיטלית. לדבריו, המשתמשים אינם תמיד מודעים לכך שהם מועברים בין ספקים שונים, ואם התהליך אינו מאובטח כראוי, הוא עלול להוות כר פורה לניצול לרעה. למרות שהיקף הנתונים העוברים דרך ממשקים אלו הולך וגדל, רבים מהארגונים עדיין מסתמכים על חיבורים שניתן לפרוץ בקלות יחסית, דבר שהופך את ממשקי ה-API ליעדים מבוקשים בקרב תוקפים.
Salt Security, שנוסדה בשנת 2016 על ידי רועי אליהו ומייקל ניקוסיה, גייסה עד כה מעל 280 מיליון דולר והוערכה בשווי של 1.4 מיליארד דולר. החברה נתמכת על ידי משקיעים מובילים, ביניהם קרן סקויה ארה"ב ו-CapitalG, קרן ההשקעות של אלפבית. כיום מועסקים בה כ-200 עובדים, רובם בישראל והשאר בארצות הברית.
