פרסום ראשון
פירצה במערכת תווי חניה חשפה מידע אישי של מאות אלפי ישראלים
לכלכליסט נודע שליקוי במערכת הנפקת תווים שמשמשת את עיריות ראשון לציון, עפולה ולב השרון איפשרה גישה למידע רגיש; בין היתר, היו יכולים פושעי סייבר להשיג סריקות תעודות זהות ורשיונות רכב, מה שהיווה סכנה לגניבת זהות, הטרדה ועוד
פירצה במערכת שמשמשת רשויות מקומיות, ובראשן ראשון לציון, להנפקת תווי חנייה אפשרה לגורמים עוינים לזכות בגישה למידע אישי של מאות אלפי אזרחים; בין היתר איפשרה הפירצה השגת כתובת פיזית, כתובת מייל, מספר טלפון ואפילו צילום באיכות גבוה של תעודת הזהות – כך חשף כלכליסט הבוקר.
- עסקים חוששים ממכת סייבר קשה יותר מכל איום אחר
- חוקרים ישראלים חשפו דליפת מידע עצומה, שמסכנת את אקוודור
- פרצת אבטחה חמורה בעשרות גופים במשק לא תוקנה למרות התרעת מערך הסייבר
המידע על הפירצה הועבר לכלכליסט על ידי תושב ראשון לציון, מפתח תוכנה שאינו איש אבטחת מידע וגילה אותה במקרה. המידע אומת בידי ההאקר והאקטיביסט נעם רותם. כלכליסט דיווח למערך הסייבר ולרשויות שנפגעו, והפירצה נחסמה.
תווי חנייה, שמאפשרים לתושבים לחנות ללא תשלום בכחול לבן ובאזורים שמוגבלים לתושבי השכונה בלבד, הם כיום רכיב הכרחי בערים רבות, בעיקר כאלו שסובלות ממצוקת חנייה. אף שלא מעט רשויות מקומיות עושות שימוש במערכות פנימיות לקליטה ועיבוד פרטי של תושבים שמבקשים להנפיק תו, יש רשויות שמסתייעות לצורך כך בחברות חיצוניות. שלוש מהן – ראשון לציון, עפולה ולב השרון – מנפיקות תו חנייה באמצעות המערכת של חברת לולהטק. החברה מתמחה במערכות פיקוח מבוססות סלולר שמיועדות לעובדי שטח כמו פקחי חנייה, ולפי אתרה עובדת עם יותר מ-40 רשויות מקומיות, ובהן עיריית תל אביב.
גם ראש העיר ברשימה
הפירצה שזוהתה נוגעת רק למערכת הנפקת תווי החנייה שמפעילה לולהטק. לצורך הנפקת תו חנייה מתבקשים התושבים למלא שורה של פרטים אישיים: שם מלא, כתובת מדויקת (למשלוח התו), מייל, טלפון, מספר תעודת זהות ומספר רישיון רכב. ואולם מסתבר שמידע זה לא מוגן כלל וכלל וניתן להגיע אליו בקלות מחרידה: כל שצריך לעשות הוא להזין בדפדפן כתובת אתר שכוללת בסיומה את מספר תעודת הזהות או רישיון הרכב. "עם הזנת של מספר רכב או מספר תעודת זהות בלבד מקבלים את פרטי התושב המלאים", אמר לכלכליסט התושב שגילה את הפירצה. "בנוסף לפרטים כמו כתובת פיזית, כתובת מייל ומספר טלפון, הזנת מספר תעודת הזהות בלבד תציג לקבל גם את מספר הרכב - ולהיפך".
חמור מכך, מתוך מסך הפרטים שמתקבל אפשר גם להגיע בקלות לסריקות באיכות גבוהה של תעודת הזהות ורישיון הרכב – פריט מושך במיוחד לגנבי זהות שיכולים לנצל אותו לביצוע פעולות כמו פתיחת חשבון בנק על שם הקורבן, לקיחת הלוואות או ביצוע עסקאות בשמו. המידע שנשמר גם כולל פרטים אישיים של תושבים שביקשו תווי חנייה בעבר, אך לא חידשו אותם מאז וכבר אינם מתגוררים בעיר. אני, למשל, הצלחתי לאתר במאגר של ראשון לציון את פרטי האישיים באמצעות הזנת מספר תעודת הזהות שלי, אף שאני לא מתגורר בעיר כבר קרוב לעשור. חוקר הסייבר הצליח למצוא שם את פרטיו האישיים של ראש העיר ראשון לציון, רז קינסטליך (שתו החנייה שלו, אגב, לא בתוקף).
למערכת אין שום הגנת Brute Force, כלומר אפשר להגיש מספר רב של בקשות ללא שום מגבלה. תיאורטית, גורם עוין יכול לכתוב תוכנה שתריץ מול המערכת את כל מספרי הזהות הקיימים (מידע שדולף לרשת בקביעות) או את כל מספרי הרכב האפשריים וכך לקצור בקלות מידע אישי מדויק, גם אם לא תמיד עדכני, על מאות אלפי ישראלים; בראשון לציון מתגוררים יותר מרבע מיליון איש, בעפולה כ-52 אלף ובלב השרון קרוב ל-24 אלף.
השימושים הזדוניים מגוונים: החל ממתן תשתית לפשעי גניבת זהות ופישינג נרחבים, עבור באפשרות של גורמים מפוקפקים להגיע לזהות של אזרחים כאשר כל שצריך זה מספר הרכב שלהם, ועד אפשרות להטריד ולהתעלל ביריבים במסגרת סכסוך אישי.
"אם תושב מסתכסך עם השכן שלו ורוצה לבטל לו את התו, הוא יכול להתקשר למוקד ולבקש לבטל את התו", העריך התושב. "במוקד מבקשים מספר רכב ומספר תעודת זהות וזהו. אפילו את השם הם לא ביקשו ולאחר שהקראתי מספר רכב הם בעצמם חשפו את שם התושב כדי לוודא שזה אני". הפירצה, אגב, התגלתה כמעט במקרה. "החלפתי רכב ורציתי לחדש את תו התושב שלי", סיפר התושב שגילה אותה. "כשנכנסתי לאתר הוא נראה לי ויזואלית שונה לגמרי מהאתר שבו יצרתי את תו התושב מלכתחילה. חשדתי. הבעיה העיקרית שלי היתה שהאתר נמצא בכתובת ההזויה תחת הדומיין lolamuni.com, שבכלל לא קשור לאתר העירייה ושאני נדרש להזין באתר הזה פרטי כרטיס אשראי. לפני הזנה של פרטי כרטיס האשראי ניסיתי לוודא כמה לגיטימי האתר והסתבר לי שזה האתר הלגיטימי שבו גם יצרתי את התו לראשונה - רק שהעיצוב עודכן. זה פחות או יותר השלב בו גם שמתי לב לפרטים חשודים בקוד המקור של האתר וניסיתי לבדוק אם אני יכול לקבל מידע של מישהו אחר".
תגובות לפרסום
לולהטק: "מיד עם קבלת הפנייה הנושא טופל. לא נגרם נזק ללקוחותינו או לרשומים באתר. אנו מחויבים לשמור על המידע של לקוחותינו, האבטחה היא הדבר החשוב לנו ביותר, ואנו עושים הכל על מנת שלא יקרו מקרים כאלו בעתיד".
החברה לביטחון וסדר ציבורי בראשון לציון: "אנו רואים את הנושא בחומרה. יתקיים בירור מול החברה המעניקה את השירותים ונפיק לקחים בהתאם. חשוב לציין כי הפרצה נסגרה במיידי".
עיריית עפולה: "מיד עם קבלת הפניה מכלכליסט, פנינו לחברת לולהנט המנהלת את המערכת עבורנו ואלה ציינו כי הנושא כבר טופל. לדבריהם, לא נגרם כל נזק ללקוחות או לרשומים באתר״.
המועצה האזורית לב השרון העבירה לכלכליסט את התגובה שנמסרה מלולהטק ולא שלחה תגובה עצמאית משלה.