דילוג לתוכן הראשי
פרטיהם האישיים של אזרחים ישראלים רבים- כולל קטינים חשופים!- פרצה באתרי ספריות עירוניות, מכללות מוכרות ובתי ספר.

התגלו פרצות חמורות באתרי האינטרנט של כ-200 ספריות עירוניות ומוסדות לימוד מוכרים, המשתמשים בשרות חיצוני של חברת "אידאה" מערכות (IDEA Information Systems) המספקת שרות באמצעות אתר "קטלוג המידע הישראלי

פרצות אלו אפשרו לתוקפים לגשת לפרטים אישיים של אזרחים רבים, בתוכם גם קטינים, בנוסף גם ניתן לראות את היסטוריית השאלת הספרים וסטאטוס השכרות. הפרצות דווחו למערך הסייבר ולרשות להגנת הפרטיות.

פרצות אלו התגלו ע"י אושרית אלבלח בוגרת קורס הסייבר "אדירים" והחוקר ליאור בן דוד.

 במערכות אלו איפשרו להתחבר עם אמצעי זיהוי יחיד על ידי הקשת "סיסמה" בלבד שניתנה למשתמשים בצורה עוקבת ולא סיסמה אמיתית שנקבעה על ידי המשתמש, מה שאומר שמספיק להקליד את הספרה "3" והתחברת למערכת בתור המשתמש השלישי, מחדל זה אפשר לכל אחד להתחבר  בשמם של אלפי משתמשים עקב פשטות זו ושימוש בנתון יחיד כפי שניתן לראות בדוגמא:

באמצעות שימוש בתוכנות מסוימות אף ניתן להעתיק את כלל המאגרים תוך מספר דקות וליצור מאגר מסוכן ועדכני של אזרחים רבים בכל הגילאים.  לאחר אימות הממצאים הנושא הועבר לטיפול בגופים הרלוונטיים. 

פרצות אלו אפשרו לתוקפים גישה לפרטים אישיים של אזרחים רבים המשתמשים בשרותי הספרייה העירונית בעירם ושל סטודנטים במוסדות מוכרים, מוזיאונים וגופים נוספים (כתובת, טלפון, מייל, תאריך לידה, ת"ז) , לצפות בשאלות האבטחה , לשנות סיסמא וכן לראות את כלל הסטוריית השאלת הספרים והבקשות של המשתמשים.




רשימה חלקית של מוסדות שנתוניהם היו חשופים עקב פרצות אלו:

מכללות- מכללת וינגייט, המרכז האקדמי למשפט ועסקים, מכללת אמונה, גבעת ושינגטון, 
המרכז האקדמי פרס, מכללת הדסה, מכללת לסלי קולג'
ספריות עירוניותקרית שמונה, רעננה, אופקים, בארי, בית איזי שפירא, בית דגן, בני יהודה, 
ברנר, יבנה, גדרה, גן יבנה.
בתי ספרהוד השרון, כפר ורדים, מגידו, בני יהודה

מערכות בשימוש כה נרחב אמורות להתאפיין במנגנון הזדהות חזק בהתאמה לשיטות המקובלות בעולם, אמצעי ההזדהות צריך להיות עם שני גורמים לפחות- במקרה זה היה גורם יחיד בתצורה של מספרים עוקבים, כמו כן יש לבצע בקרה על כמות הפניות והנסיונות של משתמשים "לנחש" סיסמאות, למשל: באמצעות מנגנון recaptcha, וניטור של כמות הפניות מכתובת אחת בזמן קצר ולבצע חסימות בצורה אוטומטית בהתאם, ניתן גם להטמיע הזדהות באמצעות סיסמא חד פעמית כפי שנפוץ במגוון שירותים כיום בעולם. 

לאחר דיווח למערך הסייבר הנושא טופל במהירות ובאדיבות. 
תגובת החברה - "הטיפול מול הלקוחות הסתיים וכעת מתבצעת הזדהות באמצעות שם משתמש וסיסמא. כמו כן, החברה במהלך של שדרוג משמעותי של המערכת ושינוי כולל של התצורה, וכחלק מכך גם מדיניות האבטחה תשופר ותתוגבר. במקרה שמתגלים פערים נוספים, הם ישמחו לשמוע."

בשנה האחרונה הועברו ע"י ליאור עשרות דיווחים מסוג זה לארגונים רבים ומשמעותיים בארץ ובעולם, חלקם יפורסמו בהמשך.



תוויות:

תגובות

הוסף רשומת תגובה

MOST VIEWED

האוצר הדיגיטלי שכולם מחלקים בחינם

מכרנו את ספר הטלפונים והפרטיות שלנו- נכתב בשנת 2016 ונותר רלוונטי :) האוצר הדיגיטלי שכולם מחלקים בחינם- הוא לא אחר מספר הטלפונים שלך.... בשנים האחרונות מתחת לאף של כולנו חברות רבות כמו : Truecaller ו- Sync.me אגרו את המידע הזה בצורה מוצלחת כך גם החברות המוכרות יותר לכולנו כמו: גוגל ופייסבוק (וואטסאפ).
תגובה אחת
המשך לקרוא

זהירות ! דיג בלתי חוקי לפנייך! ... שימו לב אנחנו הדגים!- מודעות מזוייפות שמציפות את הטלפון שלכם

זהירות ! דיג בלתי חוקי לפנייך! ... שימו לב אנחנו הדגים! אומנם זה תמיד משעשע לראות נסיונות כאלו שמפרסמים בהם ידיעה כוזבת על מנת לשכנע אנשים ללחוץ, עם זאת יש לזכור שהמון אנשים מתפתים ולוחצים על לינקים כאלו כמעט באופן אוטומטי בגלל אותה סקרנות שכולנו יודעים מה שהיא עשתה לחתול. ובכן במקרה הזה האקר החליט לפרסם מודעה שמציגה זאת כאילו אייל גולן ואשתו דניאל גרינברג עברו תאונה קשה. אם תלחצו על הלינק זה כנראה לא יהרוג אתכם, אבל בהחלט יכול לגרום לעוגמת נפש לא קטנה, כמו גניבה של חשבון הפייסבוק או עמוד הפייסבוק שלכם (שאותו גם כמעט בלתי אפשרי לשחזר- פייסבוק והנהלים "המעניינים" שלהם) פרסום דברים בשמכם או אפילו להשתלט על כל מכשיר הטלפון שלכם. בכל אופן שימו לב לסיפורים חשודים, טעויות כתיב או אותיות שזזו סתם ככה בלי סיבה, כמו במקרה המצורף שבו במקום Y ne t כתוב Y en t או כל דבר אחר שיגרום לכם להמתין עם הקליק עוד כמה שניות כדי להנצל מאותו תוקף שמנסה לעשות נזק ולגנוב מידע אישי.
הוסף רשומת תגובה
המשך לקרוא