חברת האבטחה Dos-Op חשפה חולשה חמורה בפלטפורמת Base44 של Wix, שאיפשרה לתוקפים לעקוף מנגנוני הגנה ולהשתלט על חשבונות משתמשים. יותר מ-200 אפליקציות נמצאו פגיעות. החברה פרסמה תיקון, אך החוקרים מזהירים כי חלק מהחשיפה עדיין קיים ולא תוקן באופן מלא על ידי החברה
חברת אבטחת המידע והמודיעין הדיגיטלי Dos-Op חושפת ממצאי מחקר חדשים המעידים על פרצת אבטחה חמורה בפלטפורמת Base44, שנרכשה לאחרונה על ידי Wix. חוקרי החברה חשפו כי מנגנוני האבטחה של Base44 אפשרו מתקפת NoSQL Injection – חולשה שאיפשרה לעקוף בקלות מנגנוני הגנה, להשתלט על חשבונות ולחשוף דאטה של אלפי אתרים
לפי הממצאים, מנגנוני האימות וההרשאות של Base44 היו חשופים ל-NoSQL Injection – חולשה שאפשרה לתוקפים להזריק שאילתות זדוניות למסד הנתונים, לעקוף את מנגנוני האבטחה, להשתלט על חשבונות משתמשים ואף לקבל הרשאות ניהול. מעבר לכך, הפרצה העמידה בסיכון גם נתונים רגישים של אלפי אתרים שנבנו על גבי Base44.
משמעות למשתמשים
חטיפת חשבון (Account Takeover) משמעה שתוקף יכול להיכנס לחשבון אישי של משתמש לגיטימי, לראות נתונים פרטיים, לבצע פעולות בשמו ואף לשנות הגדרות. בנוסף, קיימת אפשרות לחשיפה רוחבית של מידע ארגוני ופרטי משתמשים רבים. החוקרים ממליצים למשתמשי אפליקציות מבוססות Base44 לוודא שהן עודכנו לגרסאות האחרונות, להחליף סיסמאות ולבחון שימוש באמצעי אימות נוספים (כגון MFA).
במהלך בדיקה שביצעה Dos-Op על מאות אפליקציות שנבנו על גבי Base44, נמצאו למעלה מ־200 אפליקציות פגיעות. החוקרים מדגישים כי מדובר בכשל ארכיטקטוני בפלטפורמה עצמה – ולא בבעיה נקודתית אצל לקוח יחיד.
תרחיש התקיפה שהודגם: באמצעות שינוי פשוט בבקשות HTTP, ניתן היה לעקוף את מנגנוני האימות ולבצע הזרקת NoSQL המעניקה גישה לא מורשית לחשבונות ודאטה.
תגובת Base44 והטיפול בפרצה
לאחר גילוי הפגיעות, חוקרי Dos-Op דיווחו עליה ישירות ל־CEO של Base44 ב־22 באוגוסט 2025. בתוך שלושה ימים בלבד (עד ל־25 באוגוסט), פרסמה Base44 תיקון לפרצת ה־NoSQL Injection.
בתגובה שנמסרה מהחברה נטען כי מקור הבעיה הוא בהגדרה שגויה מצד הלקוח:
“From what we see so far, you did not put RLS read rules on the application – only write. This could only happen if you disabled that manually… The application itself is not set up properly.”
לדברי החוקרים, אף כי התיקון סגר את פרצת ה־NoSQL, נותרו דפי ניהול נגישים במערכת – מצב המעיד כי חלק מהחשיפה עדיין פתוחה.
“כאשר מנגנוני אבטחה קריטיים מבוססים על קוד בצד לקוח בלבד, נוצר סיכון רחב וקל לניצול, שמעמיד ארגונים ואלפי משתמשים בסכנה ישירה,” אמר צוות המחקר של Dos-Op.
על Base44:
Base44 הוקמה בינואר 2025 על ידי היזם הישראלי מאור שלמה, כסטארט-אפ עצמאי לפיתוח אפליקציות מבוססות בינה מלאכותית וללא קוד (AI / no-code). בתוך חצי שנה בלבד צברה החברה מעל 100 אלף משתמשים והגיעה לרווחיות כבר במאי 2025. ביוני השנה נרכשה Base44 על ידי Wix תמורת כ־80 מיליון דולר (כולל תשלומי earn-out עד 2029). הפלטפורמה ממשיכה לפעול כמותג עצמאי בתוך Wix.
אודותDos-Op :
Dos-Op מפתחת פתרונות חדשניים בתחומי בלוקצ’יין, Web3 וכלי OSINT (מודיעין ממקורות פתוחים). החברה שמה לה למטרה לספק לארגונים, חוקרים ועסקים כלים שקופים, מאובטחים וסקיילבילים לחקירה ולהגנה מפני איומים דיגיטליים.
מוצר הדגל של החברה, SmartSearch, מאפשר ניתוח מהיר ומדויק של רשתות חברתיות, הצלבת מקורות מידע, חיפוש מותאם לפי שם, טלפון או דוא”ל, וגישה למאגרים סגורים ולדליפות מידע. המערכת בנויה לארגונים הפועלים בסביבה עתירת מידע ומספקת תובנות בזמן אמת – באופן מאובטח, אתי ושקוף.
Dos-Op פועלת על פי עקרונות של Open by Design, תשתית סקיילבילית, כלים ידידותיים למפתחים (SDKs, APIs ותיעוד מלא), וקהילה גלובלית של חוקרים ומפתחים.
היה עניין של זמן ונחשו מה זה רק ההתחלה לדעתי..