24/04/2018
سيرفرات شركة Careem الموجود عليها بيانات الكاباتن والمستخدمين تم اختراقها وسرقة بيانات منها، كل الناس اللى سجلت قبل تاريخ ١٤ يناير ٢٠١٨ بياناتها اتسرقت، المشكله ان شركة كبيرة زى Careem معندهاش ولا اى شئ له علاقه بالسكيوريتى لا Responsible Disclosure واضحه ولا حتى Bug Bounty Program على نقيض منافستها الاولى Uber واللى تقريبا انفقت 1.4 مليون دولار تقريباً على اكتشاف الثغرات لحد كتابه هذا البوست. وعلى ذكر ان اصلا عالمنا العربى متخلف حرفيا فى جزئية السكيوريتى وكل اللى يفهموا فيه هوا الفهلوه وبس فى حد السنه اللى فاتت بلغ كريم بثغره موجوده فى السستمز عندهم وولا حياة لمن تنادى هتلاقى تفاصيلها موجوده هنا: https://seekurity.com/services/goto/10 وانا شخصيا اعرف ناس بلغتنى ان عندها ثغرات خطيره جدا فى Careem بتسمحلهم بأنهم حرفيا يضروا البزنس و "يركبوا ببلاش" ومحدش بلغها ولا حد عايز يبلغ حاجه زى دى واعتقد ان الحاجات دى بتضر الشركه بشكل كبير جدا لان كريم ودن من طين والتانيه من عجين زى ما بيقولوا. بردو فى ٢٠١٦ تم اختراق الشركة وتسريب بعض بياناتها ودا بوست كتبته لما حصل الموضوع: https://seekurity.com/services/goto/11 دا بعيد عن اننا احنا فى Seekurity كنا مكتشفين حاجات كتير اثناء اختبارنا لتطبيق الموبايل وكان فعلا فى endpoint بتسرب بيانات وللاسف محدش رد على رسايلنا.
الجديد بقى ان الشركه بعتت ايميلات للناس المسجلين زى ما ذكرت قبل تاريخ ١٤ يناير ٢٠١٨ ان فى تسريب بيانات حصل لهم ودا البيان الرسمى الخاص بالشركة: https://seekurity.com/services/goto/12
البيانات التي تم تسريبها كانت اسم العميل والايميل ورقم التليفون وبيانات الرحلات وفى احتمال بردو ان بيانات ببطاقات الائتمان بس الشركة مقالتش حاجه عن موضوع بطاقات الائتمان دا.
انت كمستخدم غلبان حاول تغير بياناتك الموجوده فى الموقع بالكامل وحاول بردو تاخد بالك من الرسايل اللى هتوصلك على البريد الاليكترونى بتاعك لان فى مجموعات هتحاول تستخل التسريب دا فى انها تنتحل صفة الشركة وتسرق اللى لسه متسربش من بياناتك، حاول تتصل بردو بالبنك وتخليهم يعملوا revoke لل link اللى مابين الكروت بتاعتك وشركة كريم لحد ما تتأكد ان كل شئ تم اصلاحه.
