פירצה באחת מהעמותות הגדולות בישראל: פרטיהם של עשרות אלפי תורמים נחשפו

מהעמותה נמסר כי מהרגע שנודע על הפירצה, היא נחסמה תוך זמן קצר, ומידע של תורמים לא הגיע לידי שחקנים רעים

מקור: Pexels

עוד יום, עוד פרצה שיכלה להימנע מראש: חוקרי אבטחה גילו באתר “פתחון לב”, אחת מהעמותות הגדולות והחשובות בישראל, פרצה, שמכילה נתונים חשובים על עשרות אלפי תורמים. מייד עם הדיווח למערך הסייבר הישראלי, מיהרה העמותה לסגור את הפרצה.

שוב: מידע פרטי בתיקייה פומבית

תום מלכה, אנליסט בחברת Security Joes, לא היה זקוק לכלי פריצה מתוחכמים או מתקפות עוצמתיות כדי להיחשף לפרטיהם של עשרות אלפי תורמים, אלא פשוט השתמש בדפדפן ובידע בסיסי ב-WordPress. לדבריו, החל מאפריל 2020, החלו לעלות פעילים בעמותה קובצי Excel ישירות אל התיקייה הפומבית בכתובת:

www.pitchonlev.org.il/wp-content/uploads

זוהי תיקייה מוכרת לכל מי שמתחזק או הקים אתר בפלטפורמת וורדפרס, ולרוב היא מכילה תמונות ששייכות לאתר כמו לוגואים, תמונות רקע וקבצים נוספים. בתוך אותה תיקייה פומבית, מלכה גילה לטענתו תיקייה בשם d_ex, ובה המתינו לכאורה קבצים רבים המכילים מאות ועד אלפי רשומות של תורמים. כאשר סכם את כל הקבצים, הגיע מלכה ללא פחות מ-50,000 רשומות של תורמים.

כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים כל העדכונים מחכים לכם בערוץ הטלגרם של גיקטיים להצטרפות לערוץ הטלגרם שלנו לחץ כאן

בין הפרטים אשר נחשפו באותן רשומות: שם מלא, שם חברה, טלפון, כתובת, כתובות מייל, יעד התרומה ואפילו סכום כל תרומה, שהגיע לעיתים ליותר ממיליון שקלים לתרומה אחת. בנוסף, המתינו בחלק מהרשומות גם 4 הספרות האחרונות של אמצעי התשלום, תוקף הכרטיס וסוגו. אמנם פרטי האשראי המלאים של התורמים לא נחשפו, אך כל הפרטים שנחשפו היו יכולים לשמש שחקן רע במתקפות שונות: החל ממתקפות פישינג, התחזות והנדסה-חברתית ועד למתקפות יותר מתוחכמות.

כך נראה המאגר שנחשף. תמונה: Security Joes

התופעה של העלאת חומרים רגישים לשרתים פתוחים ולתיקיות שלא הוגדרו כפרטיות – אינה נדירה, ומתרחשת לא פעם עם מערכות כמו וורדפרס או באקטים S3 ב-AWS. כזכור, לפני כחצי שנה אירע מקרה דומה בשירות Bubble Dan, וגם אז היה מעורב בה מידע פרטי שהועלה לתיקייה ציבורית.

אפשרויות התקיפה כיד הדמיון

במקרה של העמותה, על גבי חלק מהתרומות אשר תועדו ברשומות הופיע גם מידע שחושף האם התרומה הושלמה, או שמא היא עדיין בתהליכי אישור. במקרה שכזה, תוקף היה יכול פשוט להתחזות לנציג העמותה, למסור לתורם את כל הנתונים כדי לזכות באמונו, ואז לבקש מהתורם להעביר את התרומה לחשבון אחר. סכומי התרומה שנחשפו, מאפשרים להאקרים לתעדף מטרות באותה קלות שבה אתם ממיינים טבלת אקסל, ולקבל פרטים של “דגים שמנים” ולהמשיך למשל למתקפות פישינג.

וקטור תקיפה נוסף ויצירתי, שמתבסס על “שיטת מצליח”, מאפשר לתוקף להשתמש בפרטים שנחשפו כדי לשלוח הודעות SMS בתפוצה לכל התורמים. באותה הודעה מוזמנים התורמים לתרום בשנית לעמותה דרך דף נחיתה מזוייף, ולקוות שכמה שיותר תורמים יפלו בפח.

עם גילוי דבר הפירצה, פנתה Security Joes אל מערך הסייבר הישראלי, אשר יצר קשר עם “פתחון לב”, וזו חסמה את הפירצה תוך זמן קצר.

העמותה: טיפלנו בתקלה בתוך חצי שעה, ונתוני התורמים לא דלפו

בתגובה לפניית גיקטיים נמסר מעמותת פתחון לב: “מרגע היוודע על בעיית ההרשאה בשרת אתר האינטרנט, טיפלנו בתקלה בתוך חצי שעה, ושיפרנו את נושא האבטחה באתר, במטרה לשמור באופן חסוי ומלא על פרטי התורמים – כל זאת באמצעות חברת הסייבר ‘Citadel Cyber Security’- מהמוכרות והגדולות במשק, שנרתמו לנושא חשוב זה ללא כל עלות.

על פי בדיקה מעמיקה שקיימנו כעת, נוכח התקלה הזמנית, מצאנו כי לא בוצעה דליפת נתונים ולא נגנבו פרטי תורמים. יש לציין כי מספרי כרטיסי אשראי ופרטים אינטימיים לא נשמרו מראש במעמד התרומה. אנו מפיקים לקחים כדי למנוע מקרי דליפה בעתיד ופועלים במרץ על מנת לשפר ולשדרג את המערכת”.

לעידו נאור, מנכ”ל ובעלים ב-Security Joes, יש טיפ בסיסי שכדאי לכל אחד ליישם: “על מנת להימנע מחולשות אבטחה מהסוג הזה יש לוודא חסימה של גישה לרשימת התיקיות באתר, ע״י הגדרה פשוטה בקובץ ההגדרות הייעודי (.htaccess)”. נאור הוסיף כי הטיפול של העמותה בתקלה היה מהיר במיוחד: “פנינו דרך מערך הסייבר לעמותה וקיבלנו מענה מיידי. תוך מספר דקות הפירצה נסגרה ואף דווח כי לא נמצאו ראיות לגישה עוינת לקבצים. שמחנו לעזור במניעת אירוע חמור ואנו מזמינים את כולם להמשיך ולתרום לעמותה”.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

8 תגובות על "פירצה באחת מהעמותות הגדולות בישראל: פרטיהם של עשרות אלפי תורמים נחשפו"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אף אחד
Guest

“מידע של תורמים לא הגיע לידי שחקנים רעים” – כמה תמימים כבר אפשר להיות?

אורן
Guest

בחיית אני עובד במשרד היחצ שעושה לכם יחצ…. אתם מפגרים

אורן
Guest

citadel cyber security ידועה ביחצנות מסוג זה ועל כלום.
לא היתה דליפה, ואם כן, אז אין מה שידלוף.

אתם עושים מעצמכם צחוק

ד.א
Guest

חחח יא אפס
הכתבה לא על סיטהדל.. הפלת את עצמך, טמבל

יוסי
Guest

זה אלו שממשיכים להתקשר לאנשים שביקשו להסיר את עצמם?

מאור ד
Guest

אלופים!

יעל
Guest

אתם באמת מאמינים למה שכתבתם?
לא מביך אתכם?
הרי כל אחד שיודע לקרוא מבין שזו שטות אחת גדולה ושקר.

הכל בשביל יחסי ציבור?

חוקרים את גבול הבושה
Guest
חוקרים את גבול הבושה

לי יש טיפ לעידו נאור,
אם באמת אכפת לך מהעמותות האלה, לפרסם שמצאתם את המידע שלהם זה לא תורם להם, ואם אתה רוכב על הגב שלהם כדי להשיג לעצמך ולחברה שלך פרסום, כל הכבוד זה הדבר הנאור והנכון לעשות.

wpDiscuz

תגיות לכתבה: