פרצת אבטחה חמורה בפלטפורמת Base44 של Wix

חשיפה של חולשת אבטחה קריטית

חברת האבטחה והמודיעין הדיגיטלי Dos-Op חשפה פרצת אבטחה חמורה בפלטפורמת Base44, שנרכשה לאחרונה על ידי Wix. החוקרים גילו כי המנגנונים של Base44 חשופים למתקפת NoSQL Injection, חולשה שיכולה לאפשר לתוקפים לעקוף באופן קל את מנגנוני האבטחה, להשתלט על חשבונות משתמשים ולחשוף נתונים רגישים של אלפי אתרים.

פירוט על הפרצה

במהלך הבדיקה שביצעה Dos-Op על מאות אפליקציות שנבנו על גבי Base44, נמצאו למעלה מ-200 אפליקציות פגיעות. החולשה נובעת מכשל ארכיטקטוני במערכת, ולא בבעיה נקודתית אצל לקוח אינדיבידואלי. החוקרים ממליצים למשתמשים לוודא שהאפליקציות מעודכנות לגרסה האחרונה, להחליף סיסמאות ולהשתמש באמצעי אימות נוספים כמו MFA.

תהליך הגילוי והתגובה

לאחר גילוי הפרצה, יצרו החוקרים קשר עם מנכ"ל Base44 בתאריך 22 באוגוסט 2025. החברה פרסמה תיקון עבור פרצת ה-NoSQL Injection בתוך שלושה ימים. עם זאת, החוקרים מדווחים כי חלק מהחשיפות נותרו פתוחות, מה שמצביע על בעיות נוספות במערכת.

השקפת החברה על הפרצה

התגובה שנמסרה מ-Base44 טוענת כי הבעיה נובעת מהגדרה שגויה מצד הלקוח. עם זאת, המדענים טוענים כי הבסיס של המערכת מציב סיכון רחב למשתמשים ולארגונים.

אודות Base44 ו-Dos-Op

Base44 הוקמה בינואר 2025 והפכה במהרה לסטארט-אפ מוביל בעולם הפיתוח ללא קוד. כעת, היא פועלת כמותג עצמאי בתוך Wix, לאחר רכישתה בסכום של כ-80 מיליון דולר. Dos-Op, מצידה, מתמקדת בהגנה מפני איומים דיגיטליים ומציעה כלים חדשניים לחוקרים וארגונים נוספים.

לסיכום, הכשלים בפלטפורמת Base44 מהווים איום על מאות ישויות ואפליקציות, וחובה על המשתמשים לנקוט בפעולות מיידיות להגן על הנתונים שלהם.