פירסום ראשון: פירצת אבטחה בלוח הדרושים של NRG: למעלה מ-50 אלף קורות חיים נחשפו
יותר מ-50 אלף קורות חיים, הכוללים מידע אישי ובו מספרי תעודות זהות, כתובות ומספרי טלפון נחשפו באחת מדליפות מאגרי המידע הגדולים ביותר שהתרחשו פה לאחרונה.
במציאות של היום, איתור מקום עבודה היא בדרך כלל משימה לא פשוטה: שליחת קורות חיים עבור עשרות אם לא מאות משרות, פנייה למעסיקים דרך חברים, מכרים, משפחה, אתרי אינטרנט, חברות השמה ומה לא. טופס קורות החיים כולל מידע אישי רב בנוגע לאדם החתום עליהם משמו המלא למספר תעודת הזהות, מספר הנייד, פרטי המשרות הקודמים ואפילו ההיסטוריה הצבאית שלו יחד עם הכתובת המלאה ופרטים אישיים נוספים שהיינו שמחים שלא יהפכו לנחלת הכלל.
שם מלא, תעודות זהות, כתובת מלאה וזה עוד לא הכל
סעיף 17 לחוק הגנת הפרטיות קובע כי "בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע." סעיף 17א' לחוק קובע כי "מחזיק במאגרי מידע של בעלים שונים יבטיח כי אפשרות הגישה לכל מאגר תהיה נתונה רק למי שהורשו לכך במפורש בהסכם בכתב בינו לבין בעליו של אותו מאגר." בהיעדר אבטחת מידע כלשהי על המאגר (הגישה למאגר ניתנת ללא שם משתמש, סיסמא, או איזשהו פרט מזהה או מפריד לצורך אימות מבקש הגישה), מדובר בהפרה ברורה של הסעיפים הללו.
יותר מ-50 אלף – זהו המספר הבלתי נתפס של קורות חיים השייכים לאנשים במדינת ישראל שנחשפו במלואם בפירצת אבטחה פשוטה ביותר בלוח הדרושים של קבוצת מעריב – Jobox, שנחשפה על ידי גיקטיים בעקבות פנייה שהועברה לאתר במייל האדום. מסמכים בפורמט doc, rtf, pdf המכילים פרטים אישיים רגישים הכוללים תעודת זהות, שם מלא, כתובת, טלפון ורשימה מפורטת של כישורים אישיים ואף מידע משפחתי ורפואי לפעמים, של עשרות אלפי אנשים מחפשי עבודה בין השנים 2009-2013.
אז איך זה קרה בעצם?
פירצת האבטחה כה פשוטה ואינה דורשת רקע טכנולוגי כלל, כך שלמעשה כל מה שעליכם היה לעשות זה להיכנס לכתובת הבאה: https://jobox.nrg.co.il/core-maariv/sites/nrg/_media/nrg_cv_send ולעיין בעשרות אלפי קורות חיים, להוריד אותם למחשב שלכם, לשמור את הפרטים בקובץ אקסל ולעשות שימוש בתעודות הזהות של האנשים למטרות זדוניות. התמונה הבאה ממחישה את היקף פירצת האבטחה, מהקובץ הראשון ברשימה ועד האחרון:
(נציין כי בעקבות פנייתנו ל-NRG, נחסמה הפירצה טרם פרסום הידיעה)
דוגמא לקורות החיים שנחשפו:
תגובות לכתבה
תגובת מעריב: מדובר במאגר ישן שנמצא במערכת ושייך לחברה חיצונית. אנו דואגים לטפל בבעיה ולהוריד את המאגר מאתר NRG עד לסוף היום.
מ-Consist נמסר: "החברה לא מתחזקת את לוח הדרושים של NRG כבר למעלה משנתיים".
מהרשות למשפט טכנולוגיה ומידע במשרד המשפטים נמסר כי זו פתחה בהליך פיקוח מול מפעילי אתר NRG.
הגב
5 תגובות על "פירסום ראשון: פירצת אבטחה בלוח הדרושים של NRG: למעלה מ-50 אלף קורות חיים נחשפו"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
זה לא ממש עזר שפרסמתם את זה רק לאחר ההודעה ל-NRG, כל קורות החיים נשמרו ב-cache של google וזמינים לכל.
היו צריכים לעשות רשימה של שמות האנשים שפרטיהם נחשפו כדי שיוכלו לתבוע את האתר.
עצם זה שרק האתר יודע והנפגעים עצמם לא יודעים שפרטיהם נחשפו, אתם רק מוסיפים חטא על פשע.
יש לחייב את בעלי האתר לפנות לכל הלקוחות שנפגעו ולידע אותם.
באותו עניין:מעניין מתי נראה את הכתבה שכותרתה: "מממשלת ישראל נמסר כי רוב טביעות האצבעות שנגנבו מהמאגר הביומטרי כבר אינם בשימוש"
הדרך הטובה ביותר להגן על מידע – היא לא לשמור אותו!
המידע עדיין חשוף.. תצנזרו את הכתובת.