מאגר עירוני של תושבים עם מוגבלויות הופקר ברשת

טעות של עובדת עמותה הביאה לחשיפה של מאגר המידע הרגיש בפני פורום מקצועי וכל האינטרנט. העירייה מיהרה לפעול: ”המידע הועלה בשוגג ובתום לב לפורום מקצועי סגור ובעקבות האיתור הוסר מהרשת ולא נחשף לגורמים חיצוניים” | פרק חדש של סייברסייבר

מקור: Unsplash

מאת: רן בר-זיק, נעם רותם, עידו קינן – סייברסייבר

אנחנו מרבים לדבר על הפקרה ודליפה של מידע דיגיטלי בגלל רשלנות של מפתחי מערכות והיעדר בדיקות אבטחה מקדימות לפני השקת המערכת, ושוטפות אחריה. אבל לפעמים מדובר בטעויות אנוש, כמו שקרה עם מאגר מידע מאוד רגיש ששייך לעיריית בית שאן. למרבה השמחה, העירייה טיפלה במקרה במהירות וביעילות.

מאגר המידע הזה מכונה “כספת נצורה”, מאגר שיש בכל רשות מוניציפלית אשר מכיל מידע מקיף על תושבים עם מוגבלויות – מוגבלות תנועה, מתמודדי נפש, ובעלי מוגבלות שכלית ועוד – שמוגבלותם עלולה להגביר את הסיכון לשלומם בזמן משבר, כמו שריפות, הצפות והתקפות טילים.

עובדת עמותה, אשר עובדת עם העירייה ומסייעת לאנשים עם מוגבלויות, קיבלה גישה לכספת הנצורה של בית שאן לצרכי ניתוח מידע. היא נזקקה לסיוע, וכמו שנהוג באינטרנט, פנתה לפורום מקצועי בשם Enterprise DNA forum, לשם העלתה את שאלתה, ולנוחיות המשתתפים, גם את קובץ האקסל עם מאגר המידע המלא והרגיש מאוד. העובדת העלתה גם מדגם של כעשרים ילדים שלומדים בבי”ס לחינוך מיוחד, עם פרטי הליקויים שלהם ופרטים אישיים, וכן קבצים נוספים. חמור מכך: מאחר שהפורום פתוח לכל בוט וגולשת, המידע היה חשוף לא רק לחברי הפורום, אלא לכל אומת האינטרנט

מקור אנונימי שהבחין במאגר הבעייתי דיווח על כך לסייברסייבר. למודי נסיון כואב מאסגרה לרשויות השונות, פנינו לרשות הפרטיות בידיעה שגם הפעם נחכה ימים ארוכים עד שמישהו יעשה משהו. אבל רשות הפרטיות הפתיעה לטובה: המידע הוסר תוך יומיים והרשות עדכנה את העירייה. כשפנינו לעירייה ידענו מנסיון שנזכה לחוסר הבנה, זלזול או איומים משפטיים. גם עיריית בית שאן הפתיעה לטובה: הם הודו לנו על האזרחות הטובה.

מקור: צילומסך מ-Enterprise DNA forum. הסתרנו את פרטי העובדת

מעיריית בית שאן נמסר: “אנו מודים על איתור דליפת המידע שהועלה בשוגג ובתום לב לפורום מקצועי סגור ובעקבות האיתור הוסר מהרשת ולא נחשף לגורמים חיצוניים. המידע הועלה למטרת התייעצות ע”י עובדת של עמותה שפועלת באמצעות מיזמים קהילתיים לרווחת תושבי העיר. לאורך תקופת הקורונה העירייה הסתייעה בעמותה כדי לפעול למען אוכלוסיית בעלי המוגבלויות והצרכים המיוחדים. העירייה עובדת לפי נהלי אבטחת מידע מחמירים של הרשות להגנת הפרטיות. כל מאגרי המידע רשומים כחוק וכל העובדים עברו הדרכות בנושא אבטחת מידע. הנושא נבדק ונחקר מול המשרד להגנת הפרטיות ובטיפול מול כל הגורמים הרלוונטיים בעירייה והגופים השונים שאנו עובדים מולם”.

מרשות הפרטיות נמסר: “מבחינה ראשונית של האירוע, עולה כי על פניו מדובר באירוע חמור מאד במסגרתו דלף לכאורה מידע אישי רגיש על אודות תושבים. בעקבות הדיווח שהתקבל ברשות, החלו גורמי האכיפה ברשות לבחון את דלף המידע ואת ההתנהלות החמורה של בעלי המאגר והמחזיקים בו”.

האזינו לפרק המלא:


סייברסייבר (רסס) הוא פודקאסט על האקרים ומאפים עם נעם רותם ועידו קינן. עיצוב סאונד: עומר סנש. הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404. אפשר לשמוע את סייברסייבר ביישומוני הפודקאסטים ובהם ספוטיפיי, גוגל פודקאסטס ואפל פודקאסטס ובאתר סייברסייבר.

צרו קשר: טוויטר @OhCyberMyCyber; אימייל cyber@cybercyber.co.il; תיבת ההדלפות הסודית ב-TOR; הקו החם והפריך של סייברסייבר פתוח להודעות קולית (סיגנל/וואטסאפ/טלגרם) שאולי יושמעו בתוכנית, הודעות טקסט ותרומות בפייבוקס/ביט: 055-277-6766

סייברסייבר

סייברסייבר הוא פודקאסט על האקרים ומאפים עם נעם רותם ועידו קינן. עיצוב סאונד: עומר סנש. הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404. אפשר לשמוע את סייברסייבר ביישומוני הפודקאסטים ובהם ספוטיפיי, גוגל פודקאסטס, אפל פודקאסטס ובאתר סייברסייבר

הגב

רוצה להיות הראשון להגיב?

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: