$
בארץ

בלעדי לכלכליסט

פרצת אבטחה חשפה את יעדי הטיסה של ראש הממשלה ובכירי מערכת הביטחון

פרטי נסיעותיהם של בכירי מערכת הביטחון וגורמים מדיניים ובהם ראש הממשלה נחשפו במאגר מידע שדלף. אלה רק חלק מפרטי פרצה חמורה למאגר, שבו פרטיהם של 15 מיליון איש. “פוטנציאל עצום לנזק”

עומר כביר 06:4822.05.19

פרצה חמורה במערכת שמשמשת סוכני נסיעות לביצוע הזמנות חשפה מידע על טיסות, בקשות ויזה ומלונות של מיליוני ישראלים, בהם גם בכירים במערכת הביטחון ובשירות המדינה - ובראשם ראש הממשלה בנימין נתניהו ובני משפחתו. כך לפי מידע שהעביר ל"כלכליסט" ההאקר שגילה את הפרצה. מדובר בפרצה שיכולה להיות בעלת השלכות חמורות על ביטחון המדינה, שכן מידע מקדים על נסיעות מתוכננות לחו"ל של בכירים הוא בעל ערך מודיעני עצום לגורמים עוינים.

  

ראש הממשלה עולה לטיסה ראש הממשלה עולה לטיסה צילום: קובי גדעון

 

דליפת מאגר המידע העצום, שכולל פרטים אישיים וכתובות אימייל שאליהן נשלחים אישורי הזמנה חושפת גם את כתובת האימייל שאליה נשלחים כרטיסי הטיסה של משפחת נתניהו. "כלכליסט" עידכן את מערך הסייבר הלאומי בקיומה של הפרצה, היא טופלה והגישה למידע הרגיש נחסמה.

 

הפרצה נחשפה באתר ישראלי בשם alp.co.il, שמשמש סוכני נסיעות לביצוע הזמנות של טיסות ומלונות, הגשת טפסי ויזה ואישורם ועוד. בין החברות שעושות שימוש באתר ובמערכת המריצה אותו נמנות איסתא, הדקה התשעים, גוליבר, השטיח המעופף וחברת הנסיעות הממשלתית ענבל, שדרכה מוזמנות כל הנסיעות לחו"ל של עובדי המדינה בישראל. המערכת של האתר פותחה על ידי חברת אמדאוס, שלוחה ישראלית של חברה שרק בינואר היתה מעורבת בשערורייה דומה וחמורה לא פחות.

 

כל גורמי הביטחון הבכירים נמצאים במאגר שדלף

 

"המערכת מקבלת דיווחים על כל טיסה ומלון שנמכרים באמצעות סוכנויות הנסיעות, ברשת ומחוצה לה, ושומרת את הנתונים במסד נתונים אחד מסוג mySQL שיש בו נתונים מלפני 15 שנה ועד היום", כתב ההאקר, שביקש להישאר בעילום שם. "למרבה האימה, מסד הנתונים משמש לא רק את המערכת החשבונאית, אלא מפעיליו משתמשים באותו שרת גם עבור עמודי תדמית שרמת האבטחה שלהם מחפירה. אחד מהם, שיצא משימוש לפני יותר מעשור, עדיין נגיש, ומאפשר הזרקת SQL שנותנת גישה לכל מסד הנתונים העצום".

 

הזרקת SQL היא פרצה ותיקה, מהמוכרות והקלות ביותר לביצוע. ההגנה מפניה פשוטה מאוד וידועה לכל מתכנת בעל ידע בסיסי. במקרה זה, מכיוון שמפעילי האתר לא הפרידו בין מאגר הנתונים של עמודי התדמית למאגר פרטי ההזמנות והנוסעים, ניתן לנצל את הפרצה על מנת לגשת לכל המידע ששמור במאגר המקיף.

 

מידע זו כולל אוצר של נתונים רגישים, ובו פרטי 36 מיליון טיסות של 15 מיליון נוסעים, יותר ממיליון הזמנות למלונות ועוד כ־700 אלף בקשות ויזה שהוגשו בסיוע סוכני נסיעות, בתוספת סטטוס הבקשה. ההאקר ציין כי בפרצה חשפה מידע רב נוסף: "פרטי חיבור למערכות נוספות, סיסמאות לא מוצפנות, בהיקף ונזק עצומים אם החור יישאר פתוח”.

 

סוכנות הנסיעות הממשלתית מזמינה נסיעות דרך המערכת לכל עובדי המדינה בתפקיד, ובכללם גם עובדים בדרגים הבכירים ביותר, דוגמת ראש הממשלה ובכירים בתפקידים ביטחוניים רגישים. גורם עוין שיבקש לפגוע בהם יוכל לנצל את הפרצה על מנת לשאוב מידע מתי הם טסים לחו”ל ושם לנסות לבצע פיגוע.

 

אישורי הזמנות נשלחו למייל bibitheking אישורי הזמנות נשלחו למייל bibitheking

 

החברה היתה מעורבת בשערוריית אבטחה נוספת

 

פוטנציאל השימוש במידע רב: החל מפישינג - שליחת מייל יום לפני הטיסה, לכאורה מחברת התעופה המזמינה לעשות צ’ק אין, אך למעשה משתיל רוגלה במכשיר; עבור בהונאה, כמו פניה ממוקדת לאזרחים שבקשת הוויזה שלהם נדחתה, בהצעה שקרית לטפל עבורם בנושא תמורת תשלום; הדליפה יכולה גם לסייע לביצוע פשעים בעולם הלא־מקוון: פורצים יכולים לדעת מתי נמצאים אנשים בנסיעה ארוכה לחו"ל ולנצל את היעדרותם.

 

חברת אמדאוס העולמית היתה מעורבת אף היא בשערוריית מידע שדלף וסיכן את הנוסעים: בינואר חשף ההאקר נעם רותם כי כל נוסע יכול לשנות את מספר הזמנת הטיסה שסופק לו - וכך להגיע להזמנות של נוסעים אחרים בכל העולם, שהזמנתם בוצעה בכל חברת תעופה וכל סוכנות נסיעות שעובדת עם המערכת של אמדאוס. חמור מכך: הפרצה איפשרה לא רק לצפות בפרטים אלא לשנות אותם. וכך כל נוסע יכול היה לבחור לנוסעים אליהם פרץ מושב אחר לטיסה, לשנות את משקל המזוודה או את העדפות המזון שיוגש.

 

בשולי הדברים, בין פרטי המידע שמצוים במערכת מופיעות גם כתובות האימייל שאליהן נשלחים כרטיסי הטיסה שהוזמנו דרכה. מתברר כי ההזמנות של משפחת נתניהו נשלחות לכתובת bibitheking@gmail.com. ככל הנראה כתובת זו לא נפתחה על ידי ראש הממשלה, אלא על ידי אחד מעובדי לשכתו. אולם, הבחירה בכתובת מלמדת לכל הפחות על הלך הרוח בסביבתו של נתניהו.

 

גורמים בלשכת רה”מ אומרים כי לאחר בדיקה כתובת המייל אינה מוכרת.

 

מאמדאוס נמסר בתגובה: "ב-20 במאי נודע לחברה על כשל בהגדרות בפלטפורמה של אמדאוס, שבה משתמשות סוכנויות נסיעות ישראליות כדי לקבל הטבות ולבצע הזמנות. בגלל סוגייה זו אפשר היה לזכות בגישה לא מאושרת ולא חוקית למידע. צוות האבטחה שלנו נקט בפעולה מידית ותיקן את הבעיה במהירות. באמדאוס, אנחנו נותנים לאבטחה את העדיפות הגבוהה ביותר ותמיד מנטרים ועובדים על שיפור האבטחה של המערכות ושל האפליקציות שלנו".

בטל שלח
    לכל התגובות
    x