מחדל אבטחה: רשות האוכלוסין חשפה את מזמיני התורים להאקרים
ליקוי משמעותי באבטחת שרתי מערכת זימון התורים איפשר לפושעי סייבר וגורמי טרור להשיג גישה לפרטי ישראלים; המתכנת רן בר-זיק, שחשף את הפרצה: "אם הם פישלו באבטחה של משהו כל כך בסיסי, מי יודע מה קורה בשאר המקומות".
מחדל חמור בהגדרות שרתי רשות האוכלוסין וההגירה: המתכנת רן בר-זיק חשף שפרצת אבטחה בשרת מאפשרת לכל אדם בעל ידע מינימלי בתכנות לקבל רשימות ופרטים של משתמשים שקבעו תורים בלשכות הרשות באמצעות האינטרנט. הודעה על המחדל הועברה לרשות, שתיקנה את הליקוי.
- דו"ח סיסקו: רק 56% מהתראות האבטחה מטופלות
- הפרטיות כבר מתה, וסוחרי המידע רוקדים לה על הקבר
- מסחיטה ועד גניבת משכורות מורים: האקרים תוקפים בתי ספר וגנים
כמעט כל פעולה שמבקש אזרח לבצע ברשות האוכלוסין מחייבת תיאום תור מראש באתר הרשות. מדובר בנוהל חדש יחסית, שהופעל עם המעבר לתיעוד ביומטרי שמחייב נוכחות פיזית ודורש פגישות ארוכות יותר לצורך הנפקתו. כחלק מהליך זימון התור מתבקשים אזרחים להזין מספר טלפון, שמשמש לקבלת הודעות SMS על אישור הפגישה שנקבעה.
הודעות ה-SMS נשלחות באמצעות שרת, שלדברי בר-זיק לא אובטח כלל. כתוצאה מכך, יכל כל אדם להתחבר לשרת ו"להאזין" בזמן אמת להודעות שנשלחות, וכן לצפות בהודעות שנשלחו בשעות האחרונות (בר-זיק ציין שהשרת לא שומר את כל ההודעות שנשלחו לאורך זמן).
"השרת שבאמצעותו נשלחו ההודעות הוא שרת מיוחד ששמשמש לתעבורה מהירה (שרת redis)", אמר בר-זיק ל"כלכליסט". "אסור בתכלית האיסור להשאיר אותו לא מאובטח. זו פרצה שכל אחד יכול לנצל, ואין מתכנת עם יותר מיום ניסיון שלא יבוא ויצעק, 'איך ייתכן שמאשרים את זה פתוח'. הם פשוט לא אבטחו אותו".
בר-זיק סיפר שחוסר האבטחה של השרת כה חמור, שהוא גילה את הליקוי במקרה: "עבדתי על שרת עם כתובת IP דומה, ופשוט טעיתי בכתובת. לא חיפשתי אותם. עשיתי משהו שקשור לעבודה ופתאום - בום. הם פישלו, ואם הם פישלו באבטחה של משהו כל כך בסיסי, מי יודע מה קורה בשאר המקומות. זה לא משהו ששברתי עליו את הראש במשך חודשים של מחקר. רוב העבודה היתה להבין אם הם באמת כל כך מטומטמים. זו לא טעות של חוסר תשומת לב, זו טעות שאין מישהו אחראי עם יד על ההגה".
מה ניתן להשיג דרך הפרצה?
פרצה שכזו יכולה לשמש גורמים עוינים לשלל מטרות. ברמה הבסיסית ביותר, היא מספקת לתוקפים רשימה מאומתת של מספרי טלפון פעילים של אזרחים ישראלים. זו יכולה לשמש למטרות ספאם, או אפילו לתעמולה עוינת בדמות שליחת הודעת מטעם ארגון טרור בעת תקופה של מתיחות ביטחונית. למשל, כפי שעשה חמאס במהלך מבצע "צוק איתן" בו שלח לישראלים הודעות SMS עם האיום "נפציץ כל מקום בישראל".
בנוסף, יכולים פושעי סייבר לנצל מספרים אלו לביצוע מתקפות פישינג מתוחכמות. התחברות לשרת הפרוץ מספקת לגורמים עוינים שלוש נקודות מידע חשובות: מספר טלפון למשלוח SMS, הידיעה שבעל המכשיר הזמין פגישה בלשכת האוכלוסין, ומועד הפגישה המדויק.
פושעים יכולים להשתמש במידע זה כדי לפנות לישראלים זמן קצר אחרי מועד הפגישה עם הודעת SMS בסגנון: "תודה על ביקורך בלשכת האוכלוסין. על מנת שנוכל להשלים את הטיפול בפנייתך יש לשלם אגרה בסך 100 שקל". בתוספת קישור לתשלום האגרה באתר שהקימו התוקפים, ושישמש אותם לגניבת פרטי האשראי.
הפנייה מצד משרד ממשלתי לכאורה, מיד לאחר שביקר האזרח באותו משרד, תסיר חסמים רבים ותעלה את הסיכוי שלהם ליפול קרבן למתקפה. פושעים מתוחכמים יותר יוכלו גם לבצע שיחה טלפונית שבה יתחזו לעובד רשות האוכלוסין שיסביר שיש צורך בפרטים נוספים כדי להשלים את הטיפול בפנייה, ואגב כך להוציא מהאזרח מגוון פרטים אישיים רגישים שישמשו לגניבת זהות.
בר-זיק הזהיר שייתכן מאוד שהונאות מסוג זה כבר מתבצעות. "אני יודע בוודאות שיש עוד אנשים שמכירים את הפרצה הזו, רק שבניגוד אלי, הם משתמשים בזה לצרכים שלהם", אמר.
היועץ המשפטי של התנועה לזכויות דיגיטליות, עו"ד יהונתן קלינגר, אמר בתגובה: "רק השבוע שלחנו לרשות האוכלוסין מכתב על כך שהשימוש בחברה חיצונית לצרכי הזמנת תורים הוא מסוכן, והנה אנו מגלים שהשימוש הזה מאפשר דלף מידע. זו עוד פאשלה מבית המאגר המאובטח ביותר בעולם. אנו רואים שכל מערכת ממוחשבת שקרובה למאגר הביומטרי מנוהלת בצורה רשלנית. אנו מקווים שבחודש הבא בית המשפט העליון יסגור את המאגר".
תגובת הרשות
מרשות האוכלוסין וההגירה נמסר ל"כלכליסט": "הפרטים אליהם הגיע כתבכם הינם פרטים שנשלחו אל קבלן משנה של רשות האוכלוסין לצורך שליחת SMS לאזרחים, לדברי ספק השירות התקלה זוהתה לפני מספר ימים והשרת המדובר אינו זמין יותר. רשות האוכלוסין מתייחסת בחומרה רבה לאירוע. אנו נמצאים בשלבי תחקור האירוע ובחינת המשך העבודה עם הספק".