שנה חדשה פרצה חדשה? מיליוני פרטים של ישראלים דלפו לרשת כולל צילומי תעודות זהות ורישיונות
גורם אנונימי טוען כי השיג גישה ל-7 מיליון נתונים של אזרחים ישראלים, על ידי פריצה לאתר CITY4U, שמשמש את העיריות והרשויות המקומיות. בין הפרטים שהודלפו לכאורה: צילומי תעודות זהות, רישיונות רכב ומסמכים רבים
אחת מתעודות הזהות שלכאורה דלפו עתה
שוב חוזר על עצמו מקרה שירביט? משתמש אנונימי טוען כי השיג מיליוני נתונים על אזרחים ישראלים, שהיו בקשר עם העיריות והרשויות המקומיות השונות. בין היתר כולל המאגר צילומים של רישיונות נהיגה, תעודות זהות ומסמכים רבים.
רישיונות, תעודות זהות, מסמכים, הכל
בהודעה שפרסם משתמש שמכנה את עצמו SANGKANCIL בפורומים שונים הוא טוען כי הצליח להשיג מיליוני פרטים אישיים של אזרחים ישראלים, דרך אתר CITY4U. האתר משמש את העיריות ומוסדות השלטון המקומי השונים לצורך תשלומים שונים של התושבים דוגמת ארנונה, קנסות, תשלומי חינוך, מים ועוד.
בין היתר כולל המאגר החדש שלכאורה הודלף עכשיו צילומי תעודות זהות, רישיונות רכב, קבלות על תשלומים שונים, חשבונות, ומסמכים שונים כמו הצהרה על השכרת רכב לצורך קבלת תווי חנייה מקומיים.
המאגר, שעל פי התוקף כולל 7 מיליון פרטים, מוצע עתה על ידו למכירה דרך הפורומים והטלגרם, והוא אף פרסם קובץ CSV להוכחת הטענות שלו עם זאת הוא לא נקב במחיר וטרם ענה על פניות שהעברנו לו ולכן איננו יכולים לאמת את המידע והטענות שלו. על פי ההודעה שלו, הפרטים במאגר מעודכנים ל-2021, אם כי לפחות מבדיקה ראשונית שלנו, נראה שרבים מהפרטים הם ישנים – כמו פוליסות ביטוח ישנות ורישיונות נהיגה פגי תוקף. עם זאת, ההדלפה כוללת גם צילומי תעודות זהות, שכוללים גם את הספח וגם מועד ההנפקה שלהן – נתון שמשמש לזיהוי ולאימות במערכות ממשלתיות שונות כמו משרד הפנים.
מתוך קובץ CSV שפרסם "התוקף". צילום מסך: גיקטיים
עינת מירון, מומחית להערכות והתמודדות עם מתקפות סייבר בהיבטים העסקיים, טוענת שעוד מוקדם מדי להבין מה היה וקטור התקיפה ואיך השיג התוקף את הפרטים: "אבל באופן ודאי גם כאן, ממש כמו באירוע בשירביט, אפשר להצביע על כשל עסקי חשיבתי, אפילו ארכאי – חברות צריכות לזהות את הלקוחות שלהם וצילום תעודת הזהות הוא בהחלט דרך יעילה. יחד עם זאת, אין שום סיבה אמיתית להמשיך ולשמור את הצילומים האלה כקובצי תמונה פשוטים, כשאפשר לחשוב מעט יותר יצירתי, ולהכניס תהליכי אישור וזיהוי ברצף, או לשלב טכנולוגיות בלוקצ'יין, להגדיר הרשאות קשיחות יותר, הצפנות ועוד". מירון הוסיפה: "מבאס שלמרות הרבה מאוד מתקפות גדולות, צריך עדיין להסביר שסיכון מימוש מתקפת הסייבר הוא בראש ובראשונה בתהליכים הארגוניים".
אתר CITY4U שייך לחברת 'אוטומציה החדשה' (לשעבר, 'החברה לאוטומציה'), חברת בת של ענקית שירותי המיחשוב הישראלית ONE. על פי 'אוטומציה החדשה', החברה היא הספק הגדול ביותר לשוק המוניציפאלי עם כ-200 לקוחות – בהם 12 מתוך 15 הרשויות הגדולות בישראל. על פי החברה, לפחות ל-60 אחוז מהלקוחות במגזר המוניציפאלי החברה גם מספקת כל מערכות הליבה.
מחברת אוטומציה חדשה נמסרה התגובה הבאה:
"חברת אוטומציה החדשה מתחקרת את הטענות לדלף מידע ממערכת City4U מאז פורסמו לראשונה בערב החג, ונמצאת בקשר שוטף עם מערך הסייבר הלאומי. בבדיקות שנערכו עד כה, לא זוהתה כל חדירה למערכת ולא מן הנמנע שמדובר במידע ישן ומוגבל בהיקפו. ככלל, יש לציין כי מערכת City4U מחזיקה נתונים של כמה מאות אלפי ישראלים לכל היותר, ולא בסדרי הגודל שהזכיר התוקף בהודעתו.
אוטומציה החדשה משקיעה משאבים רבים באבטחת מידע והינה מוסמכת תקן אבטחת המידע ISO 27001. החברה עורכת באופן תדיר סקרי סיכונים ומבדקי חדירה, ומקיימת בקרות שוטפות של חדירות המערכות שלה לפריצות סייבר. אנו ממשיכים בחקירת האירוע ונעדכן ככל שיהיו ברשותנו ממצאים חדשים".
יניב אביטל
עורך אתר גיקטיים. יש לכם רעיון לכתבה? טיפ סודי? הדלפה? מחכה לכם ב[email protected]
הגב
28 תגובות על "שנה חדשה פרצה חדשה? מיליוני פרטים של ישראלים דלפו לרשת כולל צילומי תעודות זהות ורישיונות"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
סייבר זה הפרוטקשן של ההייטק: "לא תשלם לנו חכה תראה מה יקרה". מי שחושב אחרת חי באשליה. מזל שיש בהייטק גם לא מעט ענפים יצרניים שיש הרבה מה להתגאות בהם
אתה כל כך טיפש… רוב רובה של תעשיית הסייבר הישראלית מספקת כלי הגנה מתקיפות ולא כלי התקפה.
זה לא סותר את מה שהוא אמר. אם לא תשלם להם חכה חכה תראה מה יקרה לך
אתה כל כך חסר חינוך עם פה שפה של פרימיטיבי שזה מדהים. אתה וירוס תולעת שמזהם את חינוך ילדנו עם כתיבה תוקפנית ומתנשאת. כנראה שאתה הטיפש חסר הסבלנות, יחס לזולת ונימוס בסיסי.
כמו שתגיד שרב בריח זה פרוטקשן. אתה לא רוצה דלת לבית? חכה תראה מה יקרה. כנל קריפונייט לאופניים. לא רוצה מנעול? חכה תראה מה יקרה.
בהצלחה לתובעים בתביעה הייצוגית כנגד מפעילי השירות
החוק הישראלי לא נותן לכך לעשות דבר בנידון, כמה שלא היה מה לעשות על הדליפה של האלקטרון וחברות התחבורה כך גם פה
פרטים האלה יש לכל חוקר פרטי בארץ
מספרים ושמות אולי, צילומים של תעודות זהות ורשינות, ממש לא, לפחות לא בכמויות כאלה.
מה שיותר מעניין.. לדעתי בכל אופן.. איזה עונש מקבלת החברה והיושבים בה, ובהם גם כל שרשרת ההספקה.. מאלו שאחראיים על בטחון המידע, עד לאלו שחותמים בסופו של יום על האישורים. כי למיטב ידיעתי אין ממש עונש/ענישה בישראל. ראו מקרה שירביט.. היה עונש? קנס? מישהו נכנס לכלא על דליפת המידע? ויש עוד מקרים רבים..
העיקר מתעקשים על מאגר טביעות אצבע ממשלתי.. חחח
מאגר ביומטרי – עכשיו חובה להכניס את כולנו למאגר הפלילי (2 כפות הידיים בשלימות) שגם אם פורצים אליו לא ניתן לזייף אותו.
במקרה הטוב המפעיל ישלם כמה אלפי שקלים, במקרה הממוצע כלום, החוק הישראלי לא מגן על האזרח מבחינת אבטחת מידע.
לא לחפש במלזייה – לחפש כאן מפוטר או מתוסכל מחברת וואן טכנולוגיות.
איך התמונות והנתונים מגיעים למאגר? הרשויות מעבירות או שלקוח הקצה? אם אני בחיים לא שילמתי ארנונה דרכם הפרטים שלי שם? או שאת הצילומים שיש לרשויות הם מעבירות לישר אליהם בלי שאני יודע?
במידע ורק משלמים ארנונה – לא שולחים צילום ת.ז.
גברת מירון, תסבירי לי בבקשה איך שילוב טכנולוגיית בלוקצ'יין יכול להגן בפני פריצה למאגר מידע? אז בואי אעזור לך – הוא לא.
בואי אגיד לך מה כן יעזור: לא לשמור מידע!
בטח ובטח לא על ידי חברה ארכאית של הון שלטון עולם תחתון.
מדהים שהגופים הממשלתיים משתמשים בכלים עם הסטנדרטים הנמוכים ביותר
הפוך גוטה. החברות האלה מאוכלסות במנהלים שהם עסקנים פוליטיים ברמת משכל של סוחרי סמים. לא מסובך להבין מתי השתרשה התרבות הזאת לפוליטיקה הישראלית.
מה קשור בלוקציין
הוא לא….
אבל איזה טוב זה נשמע אה?
אבל אנחנו מדינת החד קרן לא? או מדינת החרטא? הא אז מדינת החרטא נשמע יותר הגיוני
יש דרך לדעת אם אני חלק מהרשימה?
תסתכלו על המידע שיש בערוץ טלגרם, זה מידע עתיק שאגרון אפילו יותר מעודכן…
קיצור, הפעם זה באמת כלום…
שנה טובה :)
לפי המידע שבצילום המסך זה נראה יותר כמו database של הבודקים שלהם
מישהו יודע אם קיימת יוזמה לתביעה ייצוגית?
השאלה שלי למה אין איזשהו מערכת ענישה לגופים כאלה , שיקבלו קנס שיפצו את כל הנפגעים.
כל כך הרבה גופים נפרצים כיום שמכילים מידע רגיש על אנשים.
ולא קורה לגבי זה שום דבר.
שידאגו לידע אותנו אישית ושיפצו אותנו , אחרי כל הדלפה שכזאת צריך להנפיק מסמכים חדשים.