עוד פירצה באתר תשלומים מוניציפלי חשפה פרטים של מאות אלפי אזרחים

כולם מדברים על ה””””האקר”””” המלזי שמוכר מידע ממוחזר מ-City4U, אבל כבר לפני שלושה חודשים איסגרנו פירצה לכאורה מהאתר המתחרה MAST, שהכילה יותר מ-660 אלף קבצים עם מידע אישי ורגיש. פרק חדש של הפודקאסט סייברסייבר

המידע המוניציפלי שלנו מופקר. צילומי תעודות זהות, כתובות, בני משפחה, חשבונות ארנונה ומים, מסמכים רפואיים, בקשות הנחה ועוד. השבוע הודיע ההאקר @SANGKANCIL_MY (צבי זעיר במלזית) כי הוא מעמיד למכירה מאגר מידע רגיש מרשויות מוניציפליות ישראליות שנגנב לכאורה מפורטל השירותים המוניציפלי City4U של אוטומציה החדשה של חברת וואן – שם חשפנו פירצה אחת לפני שנתיים, ופירצה נוספת לפני מספר חודשים. בנוסף, לפני שלושה חודשים חשפנו פירצה חמורה בפורטל המתחרה, MAST של קבוצת מ.ג.ע.ר, שאותה אנחנו מפרסמים פה לראשונה.

תעודת זהות שדלפה באחת הפרצות

הפירצה במאסט רשלנית, וקשה להאמין שאיש אבטחת מידע אישר להוציא מערכת כזאת לפרודקשן. המפתח והסוד לדלי ה-AWS (אחסון ענן באמזון) של מאסט הופיעו בטקסט גלוי באתר, וניתן היה לראותם בצפייה במקור (view source) של האתר באמצעות כלי הפריצה המשוכלל דפדפן. הפירצה חשפה יותר מ-660 אלף קבצים בגודל 209+ גיגה של מסמכים אישיים ורגישים של מאות אלפי אזרחים שמחוייבים להשתמש בהם, ובין השאר צילומי תעודות זהות כולל מועד ההנפקה, שמשמש כסיסמה באתרי ממשל, אישורי ביטוח לאומי ואישורים אחרים החושפים מידע פרטי, רגיש, ולעיתים רפואי.

איסגרנו את הפירצה למערך הסייבר. הם העבירו את ההודעה למגער, ואחרי 11 ימים הודיעו לנו מטעם מגער שהפירצה נסגרה.

מ.ג.ע.ר נמסרה התגובה הבאה כלשונה:

“נושאי אבטחת המידע והגנת הפרטיות הם נר לרגלי החברה, המקבלים דגש ומענה הן בהנהלת הארגון ובהנחייתה והן בקרב עובדי החברה, בכל הדרגים והתפקידים המקבלים תדרוכים ודגשים תקופתיים. כמו כן, החברה שוקדת על ביצוע בדיקות ובקרות שוטפות ושונות לאורך השנה לעמידות, עדכון ותחזוקת מערכותיה, ולריענון נהליה המקיפים בתחומי הגנת הפרטיות ואבטחת המידע.

“לאחרונה עודכנו על-ידי מערך הסייבר הלאומי, כי דיווח אלמוני סבור שקיימת חולשה אפשרית ביחס למפתח הגישה לשרת הענן המצוי בבעלות חברת AMAZON, המשמש לשמירה זמנית של קבצים (תמונות וקבצי מידע, לא נתונים) עבור רשויות מקומיות ותאגידי מים, עבורן אנו בחזקת מחזיקים של הקבצים הנ”ל ומופעלת על-ידה. יובהר כי החולשה האפשרית עוסקת באפשרות גישה למידע, זאת אך ורק באמצעות נקיטת סדרת פעולות טכנולוגיות ייחודיות, אשר אינן בגדר מאמץ בסיסי של משתמש סביר.

“מיד עם קבלת הדיווח כאמור לעיל, ערכה החברה בדיקה מקיפה ממנה עולה כי אין כל אינדיקציה המעידה על חשיפה בפועל של פרטי מידע אישיים אודות נושאי המידע, וכי למיטב ידיעתה החולשה האפשרית לכאורה לא נוצלה בפועל ולא נשקף ממנה סיכון ממשי ו/או שימוש זדוני במידע. בכל מקרה, החברה פעלה באופן מידי לשם חסימת החולשה האפשרית, ומימשה דרכים נוספות לחיזוק ההיבטים הרלוונטיים בהתחשב במקרה המתואר לעיל, ותדאג לבצע התאמות נוספות, ככל שיידרשו.

“החברה פעלה, פועלת ותוסיף לפעול למען לקוחותיה בכלל וביחס להיבטי הגנת הפרטיות ואבטחת המידע בפרט”.

התגובה הזאת היא המשכו של הביזיון באמצעים אחרים: הדיווח לא היה אנונימי. המפתח והסוד הוצגו במפורש בצילומסך ששלחנו למערך הסייבר – תמונות וקבצי מידע ליטרלי מכילים נתונים; סדרת הפעולות הטכנולוגיות הייחודיות הן כשתי הקלקות עכבר בדפדפן; ו-11 יום לסגירת פירצה כזאת הם 11 יום יותר מדי, גם אם מתעלמים מכך שהיא היתה צריכה להתגלות עוד לפני שהאתר הושק.

בנוסף, מאחר שהפירצה זמינה ופשוטה כל כך, לא בלתי סביר להניח שהאקרים שמפעילים כלים אוטומטיים לאיתור פירצות כאלו כבר שמו את ידיהם על המידע, דבר שאפשר לבדוק בקבצי הלוג של בסיס הנתונים. למרות זאת, מגער טוענים כי לא היתה חשיפה של המידע והחולשה לא נוצלה לרעה. לא מגער ולא מערך הסייבר הוציאו הודעה לציבור על פוטנציאל השימוש לרעה במידע שהיה נגיש לכל גולשת – גניבת מידע, גניבת כסף וגניבת זהות.​


סייברסייבר (רסס) הוא פודקאסט על האקרים ומאפים עם נעם רותם ועידו קינן. עיצוב סאונד: עומר סנש. הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404. אפשר לשמוע את סייברסייבר ביישומוני הפודקאסטים ובהם ספוטיפייגוגל פודקאסטס ואפל פודקאסטס ובאתר סייברסייבר.

צרו קשר: טוויטר @OhCyberMyCyber; אימייל cyber@cybercyber.co.ilתיבת ההדלפות הסודית ב-TOR (הסבר); 055-2-776766 – הקו החם והפריך של סייברסייבר פתוח להודעות קולית (סיגנל/וואטסאפ/טלגרם) שאולי יושמעו בתוכנית, הודעות טקסט ותרומות בפייבוקס.

סייברסייבר

סייברסייבר הוא פודקאסט על האקרים ומאפים עם נעם רותם ועידו קינן. עיצוב סאונד: עומר סנש. הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404. אפשר לשמוע את סייברסייבר ביישומוני הפודקאסטים ובהם ספוטיפיי, גוגל פודקאסטס, אפל פודקאסטס ובאתר סייברסייבר

הגב

7 תגובות על "עוד פירצה באתר תשלומים מוניציפלי חשפה פרטים של מאות אלפי אזרחים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Dave
Guest

תגובה בזיונית של מ.ג.ע.ר
חכו לתביעה יצוגית

לאנרד
Guest

ביזיון שבמדינת ההייטק לכאורה אין שום תקן וסטנדרט כשזה מגיע לאבטחת מידע
אם היו קונסים חברות על “פשלות” כאלו אולי מישהו היה טורח לאבטח את המידע שלנו קצת

שם
Guest

צריך חוק מסודר ומקיף, שיקבע כי על רשלנות אבטחתית משלמים.

כַּחֹל
Guest

התגובה שלהם מרתיחה פשוט. שומעים את חוסר האחריות והזלזול דרך הניסוח המטומטם שלהם. כלבים

שלמה
Guest

מדובר בסין, מצחיק שפסיכולוגיה בשקל גורמת לקוראים לחשוב שמדובר במישהו אחר מפני ששם המשתמש היא מילה במאלזית.

גם מדינת ישראל מודעת לכך שמדובר בסין, אבל יש דברים שלא חושפים ע”מ למנוע משברים פוליטיים.

לאון מלמוד
Guest

אם יש תביעה יצוגית אשמח להצטרף.

סייברון
Guest

צריך לשים סוף לחברות שלא שומרות על המידע שלנו לקנוס ולבצע בדיקות אולי אפילו לחייב בדיקה מסוימת שעלותה תיהיה מהחברה לא הגיוני כל הדליפות האלה במיוחד כזאת ביזיונית שנראה שאפילו סטודנט למדמח לא היה עושה.

wpDiscuz

תגיות לכתבה: