$
בארץ

בלעדי לכלכליסט

תחנת המוניות חשפה את פרטיהם האישיים של הנוסעים לחו"ל

פרצת אבטחה במערכת ניהול הנסיעות של מוניות הדר חשפה שמות, כתובות ויעדי נסיעה של 150 אלף לקוחות, ללא צורך בידע טכני. המידע היה עשוי לשמש לתכנון פריצות לבתים. מוניות הדר: "הפרצה תוקנה"

עומר כביר 06:5121.08.19

פרצת אבטחה חמורה במערכת ניהול הנסיעות של תחנת מוניות הדר־לוד חשפה 150 אלף הזמנות ונסיעות שבוצעו במערכת מאז נובמבר 2018, כך גילו ההאקרים נעם רותם ויובל אדם. פרטי הנסיעות שנחשפו כוללים שמות מלאים של הלקוחות, מספרי טלפון שלהם, כתובות מדויקות של נוסעים, יעד ועלות הנסיעה. הפרצה נחשפת ב"כלכליסט" רק לאחר שתוקנה, והמידע הרגיש אינו זמין עוד ברשת.

 

 

 

מוניות הדר־לוד היא מתחנות המוניות הגדולות בישראל, שלדבריה מפעילה צי ענק של יותר מ־500 מוניות. לתחנה, שהוקמה ב־1948, נפח פעילות קבוע ורחב שכולל נסיעות מזדמנות, נסיעות מוזמנות מראש, נסיעות עסקיות ונסיעות לנתב"ג ואיסופים ממנו.

 

מוניות בנתב"ג מוניות בנתב"ג

 

חשיפה למידע אישי של זרים ללא צורך בסיסמה

 

הפרצה שחשפו רותם ואדם אפשרה לכל אדם לראות את ההזמנות שהתקבלו במערכת הממוחשבת של תחנת המוניות פשוט באמצעות שינוי הכתובת בדפדפן. "במסגרת שיטוטיי ברשת נתקלתי בפרצה לא נעימה במערכת ההזמנות של מוניות הדר", הסביר רותם. "הפרצה מאפשרת לכל אדם בעל דפדפן לגשת לפרטי ההזמנות של כל נוסע אחר באמצעות שינוי מספר בכתובת העמוד אליו הוא או היא גולשים, ללא כל צורך בסיסמה או בהזדהות. על ידי שינוי של המספר אפשר להגיע לכל הזמנה אחרת במערכת ולקבל את פרטי הנוסעים, מספר הטלפון שלהם, כתובתם ופרטים נוספים.

 

"מסד הנתונים של החברה חושף איזה ישראלים נסעו לחו"ל ואת תאריכי הנסיעה. גורמים מפוקפקים היו יכולים להשתמש במידע על מנת לתכנן פריצות לבתים או לכלי רכב שבעליהם לא נמצאים בארץ.

 

"בנוסף, ישנה אפשרות להצליב מספר טלפון עם מיקום ופרטי בעליו שממתין לאחת המוניות שתגיע כדי לאסוף אותו - מה שפותח פתח לצרות חדשות, ויכול להעמיד בסכנה את משתמשי המערכת.

 

"מיותר לציין שחשיפה של המידע מהווה סכנה ברורה למי שפרטיו נחשפו, ושעדיף לא לאפשר גישה חופשית למידע הזה".

 

נעם רותם נעם רותם צילום: עמית שעל

 

לזהות הזמנות חדשות במערכת בזמן אמת

 

רותם הוסיף שאין מנגנון שבודק או מגביל גישה למספר רב של הזמנות, מה שמאפשר לגורמים עוינים לכתוב תוכנה שתשאב את כל ההזמנות שקיימות במערכת, וגם תוכל לנטר אותה על מנת לזהות בזמן אמת מתי מתקבלות הזמנות חדשות.

 

בעייתית במיוחד העובדה שעל מנת לשלוף את המידע אין צורך בידע טכני. "הפרצה הספציפית הזו לא דורשת ידע או כלים מיוחדים. מספיק היה לגלוש להזמנה באתר החברה, ולשנות ספרה אחת בכתובת הדפדפן כדי להגיע למידע של אדם אחר: אם, למשל, מספר ההזמנה שקיבלת הוא 1234, כל שעליך לעשות על מנת להיחשף לפרטי הזמנות אחרות הוא לשנות את המספר בכתובת העמוד ל־1233. זה באמת לא משהו שצריך לקרות", הסביר רותם.

 

ממוניות הדר־לוד נמסר: "תיקנו את הפרצה בערך רבע שעה אחרי שגילינו אותה. היתה אפשרות למשוך מידע אקראי, אבל עכשיו זה סגור".

בטל שלח
    לכל התגובות
    x