פרצת אבטחה חשפה עשרות אלפי תעודת זהות ורישיונות נהיגה של חיילים משוחררים

צעירים התבקשו להעלות תעודות מזהות כחלק מתהליך ההרשמה למועדון הטבות. כמה חבל שהן אוכסנו לכאורה בצורה כל-כך מרושלת

מסמכים מזהים שדלפו לכאורה מתוך המאגר של 1824. מקור: סייברסייבר

לא מעט ארגונים דורשים מהלקוחות או המשתמשים שלהם להזדהות על ידי משלוח צילום של התעודות המזהות שלהם. עתה חושף הפודקאסט ״סייברסייבר״ כי מועדון צרכנות, המיועד לצעירים וחיילים משוחררים, איחסן לכאורה את אותן התמונות בצורה מרושלת, והותיר עשרות אלפי צילומי תעודת זהות, רישיונות, דרכונים וחוגרים חשופים לעיני כל.

באקט בלי שם משתמש או סיסמה = דליפה

חוקרי האבטחה רן לוקאר ונעם רותם בדקו את אפליקציית 1824, שהיא בעצם מועדון צרכנות דיגיטלי המיועד ל״צעירים, חיילים ומשוחררים״. כחלק מתהליך ההרשמה לאותו מועדון, המשתמשים צריכים לצרף צילום של תעודה מזהה אשר מאמתת את שמם וגילם. אתם יודעים, כדי לוודא שהם באמת בין הגילאים 18-24. אבל לטענת לוקאר ורותם, אותן תמונות שהמשתמשים צילמו בעת ההרשמה פשוט אוחסנו בצורה מרושלת לכאורה בענן ציבורי.

מעכשיו גיקטיים גם בטלגרם מעכשיו גיקטיים גם בטלגרם להצטרפות לערוץ הטלגרם שלנו לחץ כאן

על פי הדיווח, כל אותן תעודות מזהות, הכוללות בין היתר דרכונים, תעודות זהות, רישיונות ואפילו חוגרים של חיילים, נשמרו על גבי באקט בשם ״1824-Files״ באמזון, שכדי לחדור אליו אתם לא זקוקים לכלי פריצה מתוחכמים, שליפה של סיסמאות או אפילו כלי ניחוש, אלא פשוט דפדפן.

לטענת לוקר ורותם, הבאקט אוחסן לכאורה ללא כל צורך בשם משתמש או סיסמה, מה שאיפשר להם לגשת ל-76 אלף מסמכים מזהים ללא כל שימוש באמצעי מיוחד. אם קיוויתם שלפחות נעשה שימוש בתוכנת OCR לצורך עיבוד הנתונים לכדי טקסט, או אפילו תוכנה שתחתוך רק את התעודה הנחוצה מתוך התמונה, צר לנו. נראה כי התמונות אשר דלפו לכאורה הן התמונות המלאות שהמשתמשים צילמו. כלומר, אם הם צילמו אותן במקרה בתחתונים, נעלי בית מביכות או חס וחלילה בבסיס סודי, הן נותרו חשופות.

גם Metadata היה כלול בחלק מהתמונות. מקור: סייברסייבר

עוד טוענים השניים כי חלק מאותן תמונות אפילו הכילו נתוני MetaData הכוללים בין היתר גם את המיקומים בהם צולמה התמונה. לוקאר ורותם חולקים בכל זאת נקודת אור מתוך הנתונים שדלפו, וטוענים כי חלק מהמשתמשים הקפידו לכסות חלק מהפרטים הלא הכרחיים להרשמה בצילומי תעודת הזהות, או קישקשו על החלקים הלא רלוונטיים בתמונה.

מאפליקציית 1824 נמסר בתגובה: ״לאחרונה, קיבלנו התרעה מרשות הסייבר הלאומית על תיקיית נתונים שהייתה מוגדרת ב-aws כציבורית ולא כפרטית. כתוצאה מכך רוקנה התיקייה מתוכנה על ידינו וההגדרות שונו. כמו כן, בוצעה חסימה הרמטית ופרצת האבטחה טופלה באופן מהיר ומיידי. חשוב להדגיש כי לא נחשפו פרטי לקוחות או פרטים אישיים כלשהם לגורם חיצוני. אנו מודים על ההתרעה שבעצם מנעה זליגת מידע. נציין שהמידע לא דלף ומאובטח ברמה הגבוהה ביותר״.

האזינו: הפרק של הפוקדאקסט “סייברסייבר” שחשף את הפירצה (החל מ-13:25)

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

14 תגובות על "פרצת אבטחה חשפה עשרות אלפי תעודת זהות ורישיונות נהיגה של חיילים משוחררים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אנונימי
Guest

זה מה שקורה בישראל עם אבטחת המידע, צריך שכל עסק יעבור השתלמות פעם בשנה בנושא אבטחת מידע

שם כלשהו
Guest

הבעיה עמוקה הרבה יותר, זה לא שאנשים לא ידעים איך לאבטח את המידע, חברות רבות כלל לא מתעניינות איך לאבטח את המידע כי החוק לא מחייב אותם

Some2
Guest

לא צריך חוק. לאנשים לא אכפת מהפרטיות שלהם. מי שאכפת לו מהפרטיות לא משתמש בשירותים שלא הוכיחו שהם שומרים היטב על המידע של הלקוחות שלהם.

ASD
Guest

שנדבר על הציפורון האדומה המחרידה בתמונה מימין?

The One
Guest

כן, אני אתך..מבין ללבך..

רונן
Guest

“נציין שהמידע לא דלף ומאובטח ברמה הגבוהה ביותר״

1. איך אתם יודעים שהוא לא דלף? עברתם על הלוגים של הגישה לבאקט? הרי לפחות אדם אחד (זה שדיווח לכם) ניגש.

2. המשפט פשוט לא נכון עובדתית. אם המידע היה מאובטח ברמה הגבוהה ביותר, הבאקט לא היה ציבורי.

Truth
Guest

קוראים לזה כיבוי שרפות.
אתה מפיץ שקרים כדי להזין את המח הפשוט בסיסמאות שקל לשנן.. לפרק את המשפט לטענות לוגיות לא יעזור לך, זה פסיכולוגי ותו לא..

The One
Guest

ביבי זה אתה?

דעה
Guest

לא להזמין עוד פרויקטים מהחברה שמאחורי האפליקציה הזו, גם ברמת האנשים עצמם.

שם כלשהו
Guest

עדיין מדהים שמדינה שקוראת לעצמה “מעצמת הייטק” עדיין לא אימצה רגולציות אבטחה, עד שזה לא יקרה חברות וגופים ממשלתיים ימשיכו לזלזל בפרטיות שלנו.

טכנולוג
Guest

חובבנים

חזי
Guest

שראש מערך הסייבר הוא נתניהו, זה התוצאה!

דור
Guest

אם רק היינו מתעסקים בעצמנו ולא בחיפוש אשמים אולי היינו כמה צעדים קדימה בעוד תחומים…
אבל כשעסוקים בלהסתכל על ״אשמים״ במקום לטפח את חלקת האלוהים שלנו כעובדי אבטחת מידע – פדיחות כאלו הן רק קצה הקרחון…

יאיר
Guest

בושה!! זלזול!! מתחיל בפנקס הבוחרים עובר לת.ז. של כל אזרחי המדינה עם הרשלנות של הליכוד עובר לאפליקציית paybox ועכשיו זה.. כמה תביעות והסרט הרע הזה ייגמר

wpDiscuz

תגיות לכתבה: