פרסום ראשון
החברה שליקוי במערכותיה חשף נסיעות של רה"מ ניגשה למכרז ממשלתי גדול
חברת אמדאוס, שמפתחת מערכות לחיבור בין סוכני נסיעות וספקי שירותי תיירות, התקבלה למכרז של סוכנות הנסיעות הממשלתית. זאת, למרות שפרצות במוצריה חשפו מידע על 36 מיליון טיסות של 15 מיליון נוסעים, ביניהם ראש הממשלה נתניהו
אתמול חשף כלכליסט פרצה חמורה במערכת alp.co.il של אמדאוס, שפותחה על ידי שלחות החברה בישראל ומשמשת סוכני נסיעות לניהול הזמנות. הפרצה חשפה אוצר של נתונים רגישים, ובו פרטי 36 מיליון טיסות של 15 מיליון נוסעים, יותר ממיליון הזמנות למלונות ועוד כ-700 אלף בקשות ויזה שהוגשו בסיוע סוכני נסיעות, בתוספת סטטוס הבקשה. מכיוון שבמערכת עושה שימוש גם סוכנות הנסיעות הממשלתית, שמנוהלת בחברה הממשלתית ענבל, נחשפו בה נסיעות של עובדי מדינה בתפקיד ובכללם עובדים בדרגים הבכירים ביותר: ראש הממשלה ובכירים בתפקידים ביטחוניים רגישים.
כלכליסט דיווח על הפרצה למערך הסייבר ביום ב' בשעות הצהריים, ואנשיו התריעו על כך בפני אמדאוס זמן קצר לאחר מכן. ממש במקביל, ב-14:00 בדיוק, נסגר להגשת הצעות מכרז חשוב שפרסמה ענבל, שעוסק באספקת ותחזוקת מערכת GDS לשימוש סוכנות הנסיעות. מדובר מערכת מרכזית בעולם התיירות שמחברת סוכני נסיעות מצד אחד וספקי שירותי תיירות, כמו חברות תעופה, בתי מלון, וחברות השכרת רכב מהצד השני. כך סוכן שמחפש טיסה לא צריך להתחבר לכל אחת ממערכות חברות התעופה בנפרד, אלא הכל מופיע לו תחת מערכת אחת. היום זה נשמע מובן מאליו, אולם כשפותחו מערכות מסוג זה לראשונה בשנות ה-70 מדובר היה בחידוש פורץ דרך. כיום, מערכות GDS נחשבות לסטנדרט בתעשייה.
אמדאוס היא ספקית ה-GDS של ענבל, וכך היתה במשך כעשור. רק בשנה שעברה, בעקבות בקשה שהגישה חברת Sabre שמתחרה בה בתחום, החליטה ועדת הכספים של הכנסת לחייב את ענבל לצאת למכרז בנושא. מסמכי המכרז המעודכנים פורסמו בינואר השנה ואחרי כמה דחיות שלב הגשת ההצעות הסתיים השבוע.
פניית כלכליסט לענבל ולאמדאוס בשאלה האם אמדאוס הגישה מועמדות למכרז נותרה ללא מענה ענייני, וגם השאלה האם אמדאוס עדכנה את ענבל על גילוי הפרצה במערכותיה לא זכתה לתשובה. ואולם, גורמים בתחום שמכירים אותו היטב העריכו בוודאות גבוהה שאמדאוס ניגשה למכרז. זאת, מכיוון שהחברה היא כבר כיום ספקית ה-GDS של ענבל, וכן מכיוון שיש בישראל רק עוד חברה או שתיים שעומדות בתנאי הסף של המכרז.
האם הפרצה האחרונה תשליך על סיכויה של אמדאוס לזכות במכרז? גם שאלה זו שהופנתה לענבל נותרה ללא מענה. מה שידוע אבל הוא שלא מדובר בפעם הראשונה שבה אמדאוס נקשרת לפרצת אבטחה משמעותית. בינואר חשף ההאקר נעם רותם שכל נוסע יכול לשנות את מספר הזמנת הטיסה שסופק לו - וכך להגיע להזמנות של נוסעים אחרים בכל העולם, שהזמנתם בוצעה בכל חברת תעופה וכל סוכנות נסיעות שעובדת עם מערכת של אמדאוס העולמית. חמור הפרצה איפשרה לא רק לצפות בפרטים אלא לשנות אותם. כל נוסע יכול היה לבחור לנוסעים אליהם פרץ מושב אחר לטיסה, לשנות את משקל המזוודה או את העדפות המזון שיוגש.
לאור חשיפתן של שתי פרצות חמורות כל כך, במוצרים של אותה חברה ובפרק זמן קצר כל כך, נראה שיהיה זה אך נכון שענבל תשקלל זאת באופן מהותי בבואה להכריע במכרז.
תגובות החברות
מנכ"ל אמדאוס ישראל, גדי מור, אמר לכלכליסט: "אין תגובה".
מענבל נמסר בתגובה: "ביום ב' האחרון, ה-20 למאי 2019 בשעה 14:00, נסתיים המועד האחרון להגשת ההצעות במכרז שפרסמה חברתנו בנושא פנייתך והוגשו בו מספר הצעות. על-פי החוק, הגוף שמנהל את ההליך המכרזי הנ"ל ומוסמך לדון בהצעות שהוגשו בו הינה ועדת המכרזים של חברתנו, אשר פועלת על-פי חוק חובת המכרזים. ההליך המכרזי הנ"ל נמצא בתחילתו. ועדת המכרזים תבחן את ההצעות שהוגשו בו בהתאם לתנאי המכרז וסמכותה החוקית, תוך שימת לב לכל ההיבטים החוקיים והרלוונטיים למכרז הנדון".