פרסום ראשון: פירצה באתר עיריית ירושלים חשפה מידע פרטי של התושבים

טופסי ארנונה, תיקי בניין, צילומי כלי רכב, דוחות חניה ומסמכים רבים נחשפו בעוד חולשה מביכה שניתן היה למנוע בקלות – הפעם בעיר הגדולה בישראל. בעירייה מסרו בתגובה: ”עיריית ירושלים לומדת את המקרה ותפיק לקחים בהתאם”

תמונה: עומר מרקובסקי, מתוך אתר פיקיויקי

עוד יום עובר ועוד פירצות אבטחה מתגלות. אחרי פירצות מביכות בשירות “באבל”, עמותות, אפליקציית אלקטור ולאחרונה פרשת שירביט  – ארגונים וחברות לומדים בדרך הקשה על החשיבות של אבטחת המידע הארגוני שלהם. היום אנחנו למדים על פרצה נוספת שהפקירה פרטים אישיים של אזרחים לכל הדורש – והפעם זהו תורם של יותר מ-900 אלף התושבים בעיר הגדולה בישראל, ירושלים.

רצה לערער על דוח חניה – ומצא פירצה

מתוך המסמכים שדלפו בפירצה לאתר עיריית ירושלים

חזקיהו רפול, מתכנת וקורא גיקטיים, רק ניסה לעזור לדוד שלו שרצה לערער על דוח חניה שקיבל. “רצינו לראות את התמונות שהפקח צילם. נכנסתי לאתר שלהם ואני רואה את התמונות אבל אין כפתור הורדה. רציתי לשמור את זה (התמונה, ע.ב), לצייר על זה ולשלוח לערעור” מסביר רפול. “לחצתי F12 וראיתי את ה-URL שממנו התמונה מגיעה. ראיתי שהוא עם ID בסוף ומספר רץ”.

אם עקבתם אחרי כמה מהפירצות שפורסמו כאן השנה, אתם כבר מבינים כיצד זה הסתיים: כל אדם עם ידע טכני מינימלי וכלי פריצה אימתני בשם פגסוס דפדפן יכל פשוט להחליף את הספרה האחרונה בקצה ה-URL, ולקבל תמונה של מכונית אחרת. אם לא די בכך, שינוי ספרות באמצע המחרוזת חשף תיקי בניין, בקשות לארנונה, עירעורים, צילומי דוחות ו”כל מסמך שהעירייה מפרסמת או ששולחים לה”, מספר רפול. אם זה לא מספיק, כאשר הדביק רפול את הלינק לדוח בחיפוש בגוגל, הוא גילה שהוא מוגדר כציבורי ומאונדקס על ידי מנוע החיפוש. “זאת אומרת שאם הייתי מנסה לפרוץ אליהם לא הייתי צריך דוח חניה כדי לגלות את הלינק. הלינק הוא ציבורי”, הוא מסביר.

רוצים לדבר עם הכתבים שלנו? רוצים לדבר עם הכתבים שלנו? הצטרפו עכשיו לקבוצת הטלגרם שלנו כאן

רפול מיהר לעשות מה שמצופה מכל אזרח אחראי לעשות וביצע תהליך אסגרה (disclosure) למערך הסייבר, שם זכה לתגובה מהירה. תוך כשעה החלק הרלוונטי באתר ירד מהאוויר.

“תתפסו את עצמכם בידיים”, טוען רפול כשהוא נשאל לתחושותיו על נושא האבטחה הלקויה לכאורה. “אולי צריך לעשות חוק שמחייב אותם לעשות בדיקות… לא ניסיתי לפרוץ אליהם, לא עשיתי פישינג ואז הצלחתי… פשוט ראיתי את זה. מה יקרה אם מחר אני אהיה משועמם מדי, ואני לא אנסה לעזור לדוד שלי אלא אנסה לפרוץ להם?…זה לא היה פחות משירביט. יש פה תעודות זהות, מסמכי ארנונה”.

הכי חשוב, מה עם הדוח?

רפול: “עכשיו אני רק מקווה שאוכל לערער על הדוח”.

עיריית ירושלים: לומדים את המקרה ונפיק לקחים בהתאם

תגובת מערך הסייבר: “הנושא דווח למערך ובהתאם לדיווח נסגר במהירות על ידי העירייה. במסגרת תכנית חדשה של המערך יכולים ארגונים לדרוש מחברות האחסון או/ו מחברות בניית האתרים שלהם לעמוד בסטנדרטים של אבטחת מידע של המערך ואף ב’תו ההוסטינג של המערך”.

פנינו לעיריית ירושלים בבקשה לתגובה וכדי להבין בעיקר האם המידע הרב שנותר חשוף הגיע לידיים גם פחות סימפטיות. זו תגובתם: “עיריית ירושלים קיבלה הבוקר עדכון ממערך הסייבר על תקלה טכנית, שטופלה במיידי. עיריית ירושלים לומדת את המקרה ותפיק לקחים בהתאם”.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

9 תגובות על "פרסום ראשון: פירצה באתר עיריית ירושלים חשפה מידע פרטי של התושבים"

avatar
Photo and Image Files
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
nope
Guest

זה שהדוח נגיש דרך מנועי חיפוש זה לא באג, זה פיצ’ר XD

מימי
Guest

זה שהוא יכל להכנס אל חשבונות משתמשים שונים בצורה חיצונית ולא כלקוח- ברור שמדובר פה בבאג,
אפס אימות, בלי עוגיות, בלי כלום.

המגיב החד פעמי
Guest
המגיב החד פעמי

אם איזה מערך סייבר הם עובדים שהייתה קיימת התקלה הזו משך זמן?

אהרון
Guest

די. עכשיו כולם יודעים שיש מתקפת סייבר אדירה על המדינה, הבא שיחטוף יוכל להאשים רק את עצמו, ואם המנמ”ר לא חסם כמו שצריך צריך להעיף אותו.

ברנש אדום
Guest

המנמר לא חוסם כלום, הוא רק חוסם ביורוקרטית תקציבים והשקעות בטכנולוגיות מתאימות בסטאק התשתיתי

בזיל
Guest

כן הרבה חברות הוסטינג היו יכולות לדעת שלינק שניראה לגיטימי לגמרי למעשה לא עבר הרשאה.
מערכת סקיוריטי לא יכולה לחפות על מתכנת כל כך גרוע.

יעקב
Guest

נגד מתכנת גרוע יש SDLC, יש security review, יש SAST ו DAST ועוד מלא כלים

מנהל רשת
Guest

בכל מקרה כזה – בבקשה חקירה של משטרת ישראל שתבדוק האם הארגון עמד בכל דרישות החוק (חוק מאגרי מידע, חוק הגנת הפרטיות, תקנות הגנת הפרטיות…) ואם לא אז בבקשה לתבוע אישית את מי שצריך כפי שקובע החוק. המידע האישי של אזרחי המדינה לא צריך להיות הפקר ואם אנחנו לא נצעק זה ימשיך לקרות.

Eliyahu Fisherman
Guest

אני לא מתפלא כי מדובר בגוף ציבורי שכידוע העובדים שם לא תמיד נבחרים לפי כישורים מקצועיים ואין לעובדים שום אינטרס להתייעל ללמוד ולהתפתח כי הם מוגנים ע״י ועדי עובדים ובעלי קביעות ועסוקים בפוליטיקה קטנה במקום בעבודה ולכן אני חושב שפריצות לגופים כאלה בכל העולם רק יתרבו ויגרמו ליותר נזק כי בעולם האמיתי בשונה מהבועה שעובדי ציבור חיים בתוכה מה שחשוב זה כישורים יידע תעוזה ויוזמה ולכן לצערי לא נראה לי שלגופים הציבוריים יש בכלל סיכוי לעמוד בזה

wpDiscuz

תגיות לכתבה: