פרסום ראשון: פירצה באתר עיריית ירושלים חשפה מידע פרטי של התושבים
טופסי ארנונה, תיקי בניין, צילומי כלי רכב, דוחות חניה ומסמכים רבים נחשפו בעוד חולשה מביכה שניתן היה למנוע בקלות – הפעם בעיר הגדולה בישראל. בעירייה מסרו בתגובה: ”עיריית ירושלים לומדת את המקרה ותפיק לקחים בהתאם”
עוד יום עובר ועוד פירצות אבטחה מתגלות. אחרי פירצות מביכות בשירות “באבל”, עמותות, אפליקציית אלקטור ולאחרונה פרשת שירביט – ארגונים וחברות לומדים בדרך הקשה על החשיבות של אבטחת המידע הארגוני שלהם. היום אנחנו למדים על פרצה נוספת שהפקירה פרטים אישיים של אזרחים לכל הדורש – והפעם זהו תורם של יותר מ-900 אלף התושבים בעיר הגדולה בישראל, ירושלים.
רצה לערער על דוח חניה – ומצא פירצה
חזקיהו רפול, מתכנת וקורא גיקטיים, רק ניסה לעזור לדוד שלו שרצה לערער על דוח חניה שקיבל. “רצינו לראות את התמונות שהפקח צילם. נכנסתי לאתר שלהם ואני רואה את התמונות אבל אין כפתור הורדה. רציתי לשמור את זה (התמונה, ע.ב), לצייר על זה ולשלוח לערעור” מסביר רפול. “לחצתי F12 וראיתי את ה-URL שממנו התמונה מגיעה. ראיתי שהוא עם ID בסוף ומספר רץ”.
אם עקבתם אחרי כמה מהפירצות שפורסמו כאן השנה, אתם כבר מבינים כיצד זה הסתיים: כל אדם עם ידע טכני מינימלי וכלי פריצה אימתני בשם פגסוס דפדפן יכל פשוט להחליף את הספרה האחרונה בקצה ה-URL, ולקבל תמונה של מכונית אחרת. אם לא די בכך, שינוי ספרות באמצע המחרוזת חשף תיקי בניין, בקשות לארנונה, עירעורים, צילומי דוחות ו”כל מסמך שהעירייה מפרסמת או ששולחים לה”, מספר רפול. אם זה לא מספיק, כאשר הדביק רפול את הלינק לדוח בחיפוש בגוגל, הוא גילה שהוא מוגדר כציבורי ומאונדקס על ידי מנוע החיפוש. “זאת אומרת שאם הייתי מנסה לפרוץ אליהם לא הייתי צריך דוח חניה כדי לגלות את הלינק. הלינק הוא ציבורי”, הוא מסביר.
רפול מיהר לעשות מה שמצופה מכל אזרח אחראי לעשות וביצע תהליך אסגרה (disclosure) למערך הסייבר, שם זכה לתגובה מהירה. תוך כשעה החלק הרלוונטי באתר ירד מהאוויר.
“תתפסו את עצמכם בידיים”, טוען רפול כשהוא נשאל לתחושותיו על נושא האבטחה הלקויה לכאורה. “אולי צריך לעשות חוק שמחייב אותם לעשות בדיקות… לא ניסיתי לפרוץ אליהם, לא עשיתי פישינג ואז הצלחתי… פשוט ראיתי את זה. מה יקרה אם מחר אני אהיה משועמם מדי, ואני לא אנסה לעזור לדוד שלי אלא אנסה לפרוץ להם?…זה לא היה פחות משירביט. יש פה תעודות זהות, מסמכי ארנונה”.
הכי חשוב, מה עם הדוח?
רפול: “עכשיו אני רק מקווה שאוכל לערער על הדוח”.
עיריית ירושלים: לומדים את המקרה ונפיק לקחים בהתאם
תגובת מערך הסייבר: “הנושא דווח למערך ובהתאם לדיווח נסגר במהירות על ידי העירייה. במסגרת תכנית חדשה של המערך יכולים ארגונים לדרוש מחברות האחסון או/ו מחברות בניית האתרים שלהם לעמוד בסטנדרטים של אבטחת מידע של המערך ואף ב’תו ההוסטינג של המערך”.
פנינו לעיריית ירושלים בבקשה לתגובה וכדי להבין בעיקר האם המידע הרב שנותר חשוף הגיע לידיים גם פחות סימפטיות. זו תגובתם: “עיריית ירושלים קיבלה הבוקר עדכון ממערך הסייבר על תקלה טכנית, שטופלה במיידי. עיריית ירושלים לומדת את המקרה ותפיק לקחים בהתאם”.
הגב
9 תגובות על "פרסום ראשון: פירצה באתר עיריית ירושלים חשפה מידע פרטי של התושבים"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
זה שהדוח נגיש דרך מנועי חיפוש זה לא באג, זה פיצ’ר XD
זה שהוא יכל להכנס אל חשבונות משתמשים שונים בצורה חיצונית ולא כלקוח- ברור שמדובר פה בבאג,
אפס אימות, בלי עוגיות, בלי כלום.
אם איזה מערך סייבר הם עובדים שהייתה קיימת התקלה הזו משך זמן?
די. עכשיו כולם יודעים שיש מתקפת סייבר אדירה על המדינה, הבא שיחטוף יוכל להאשים רק את עצמו, ואם המנמ”ר לא חסם כמו שצריך צריך להעיף אותו.
המנמר לא חוסם כלום, הוא רק חוסם ביורוקרטית תקציבים והשקעות בטכנולוגיות מתאימות בסטאק התשתיתי
כן הרבה חברות הוסטינג היו יכולות לדעת שלינק שניראה לגיטימי לגמרי למעשה לא עבר הרשאה.
מערכת סקיוריטי לא יכולה לחפות על מתכנת כל כך גרוע.
נגד מתכנת גרוע יש SDLC, יש security review, יש SAST ו DAST ועוד מלא כלים
בכל מקרה כזה – בבקשה חקירה של משטרת ישראל שתבדוק האם הארגון עמד בכל דרישות החוק (חוק מאגרי מידע, חוק הגנת הפרטיות, תקנות הגנת הפרטיות…) ואם לא אז בבקשה לתבוע אישית את מי שצריך כפי שקובע החוק. המידע האישי של אזרחי המדינה לא צריך להיות הפקר ואם אנחנו לא נצעק זה ימשיך לקרות.
אני לא מתפלא כי מדובר בגוף ציבורי שכידוע העובדים שם לא תמיד נבחרים לפי כישורים מקצועיים ואין לעובדים שום אינטרס להתייעל ללמוד ולהתפתח כי הם מוגנים ע״י ועדי עובדים ובעלי קביעות ועסוקים בפוליטיקה קטנה במקום בעבודה ולכן אני חושב שפריצות לגופים כאלה בכל העולם רק יתרבו ויגרמו ליותר נזק כי בעולם האמיתי בשונה מהבועה שעובדי ציבור חיים בתוכה מה שחשוב זה כישורים יידע תעוזה ויוזמה ולכן לצערי לא נראה לי שלגופים הציבוריים יש בכלל סיכוי לעמוד בזה