רועי לנץ, מומחה לסייבר, בילה לאחרונה בחופשה כאשר החליט להזמין סושי מסניף מרכז הכרמל של רשת ג'פניקה. די מהר הוא שם לב שבאפליקציית ההזמנות קיימת בעיה המאפשרת לו להוסיף לחשבון אלפי נקודות. לנץ החליט להגיע לסניף כדי להתריע על אותה אפשרות לניצול לרעה שיכולה לעלות לרשת מיליוני שקלים, רק שלהפתעתו, הם האשימו אותו בניסיון גניבה.

לדבריו, בתחילה הוא ניסה להשיג את שירות הלקוחות בטלפון, אולם שם לא ענו לו. "אז החלטתי שאני הולך לסניף", הוא סיפר בשיחה עם mako. "שאלתי את המארחת אם היא יכולה לבדוק כמה נקודות יש לי בחשבון מועדון החבר. אחרי שהיא בדקה והתפלאה מהמספר המטורף, אמרתי שבאתי לדווח על תקלה שיש להם במערכת שנותנת לי להוסיף לעצמי בעצם נקודות".

בהקלטה המפורסמת כאן, ב-mako, ניתן לשמוע את השיחה בין השניים, ובה מתריע לנץ על הבעיה שעלולה לעלות למסעדה לא מעט כסף, ואף מבקש לשוחח עם אחד המנהלים. אולם, לדבריו, אלו התחמקו ממנו ורק ביקשו ממנו את המספר טלפון "כדי לאפס לי את הנקודות". גם כשביקש לדבר עם אנשי אבטחת המידע של הרשת או מי שמנהל את האפליקציה של ההזמנות הוא לא קיבל מענה.

"באותו הזמן לא הבנתי למה. מנהל הסניף נתן לי שני קינוחים ויצאתי חזרה הביתה. הייתי מאוכזב מהסיטואציה כי הרגשתי שכל מה שהיה להם אכפת זה לאפס לי את הנקודות ולא לתקן את הבעיה, אבל חשבתי לשלוח מייל להסביר כמה זה דחוף". רק שלדבר שקרה מאוחר יותר הוא ממש לא ציפה. כאשר חזר לנץ לביתו הוא גילה שהחשבון שלו נחסם, "כולל כל הנקודות שהיו לי לפני. פניתי לשירות הלקוחות לשאול מה קרה, והם אמרו שעשיתי שימוש לרעה בחשבון והם החליטו לחסום אותו".

 

"התקלה קיימת בעוד אתרי משלוחים"

אחרי בירורים התברר שמנהל הסניף דיווח כי הוא עצמו הוא זה שעלה על הכשל לאחר שלנץ ניסה לבצע הונאה, שאותה מנהל הסניף "חשף". "אותו מנהל סניף סיפר למנהליו ברשת כי שאני באתי לסניף וביקשתי להזמין חמישה מגשי מסיבה מהנקודות, בלי להסביר מראש כלום", אומר לנץ. "הוא אמר להם שזה היה לו חשוד, והוא בדק את העניין והבין איך עשיתי את זה".

לנץ העביר לשירות הלקוחות את ההקלטות של השיחה עם אותו מנהל ואת ההודעות ששלח, אך למרות זאת החשבון שלו עדיין נעול וכלל לא ברור עם אכן האפשרות לניצול לרעה עדיין קיימת. "אני באתי ועשיתי את הדבר הנכון, ובמקום להודות לי קוראים לי גנב, חוסמים אותי ולא טורחים להתנצל".

את סוג התקלה לא ניתן לפרסם, כיוון שלדברי לנץ ג'פניקה היא לא המסעדה היחידה: "יש עוד המון מסעדות גדולות ומוכרות שיש אצלן את האפשרות הזו", הוא מתריע, "הדבר מאפשר למי שרוצה לאכול כמה שהוא רוצה בחינם ויכול לעלות לרשת המסעדות מליוני שקלים".

 

תגובת ג'פניקה: "ברשת ג׳פניקה קיימות מערכות אבטחת מידע אשר מאפשרות זיהוי פרצות אבטחה במערכות המחשוב והמידע של החברה. במקרה המתואר, לא מדובר בפרצת אבטחה במערכותינו, אלא בשימוש לרעה שבוצע באמצעות חברות במועדון הלקוחות של החברה. ב-8 לאוגוסט ביצע הלקוח הזמנה מאתר ג׳פניקה בסך של 100,000 ש״ח ב TA-באמצעי תשלום מזומן. כחבר מועדון נצברו ללקוח 100,000 נקודות בהתאם לתקנון המועדון ולתנאיו. מיד עם מועד ביצוע ההזמנה באתר וטרם ביטולה, הלקוח הכניס לחשבונו עשרות הטבות שרכש באמצעות נקודות אלה. באותו התאריך, בשעה סמוכה לרכישת ההטבות, הגיע הלקוח לסניף חיפה וביקש לבצע הזמנה, הציג בפני המלצרית את ההטבות וביקש לרכוש מנות באמצעות אותן ההטבות שרכש ואף הסביר כי 'נלחץ לו בטעות'. רשת ג׳פניקה מעניקה ללקוחותיה הטבות רבות לטובת רווחתם כלקוחות נאמנים של הרשת. אנו לא נקבל התנהלות מסוג זה ו/או כל ניסיון לתמרן את מערכותינו ולהשתמש בהן לרעה". בהתאם לסע׳ 29 לתקנון המועדון בחברתנו, הופסקה חברותו של חבר המועדון הנ״ל בשל שימוש לרעה בחברות במועדון".