דילוג לתוכן הראשי
פרטיהם האישיים של אזרחים ישראלים רבים- כולל קטינים חשופים!- פרצה באתרי ספריות עירוניות, מכללות מוכרות ובתי ספר.

התגלו פרצות חמורות באתרי האינטרנט של כ-200 ספריות עירוניות ומוסדות לימוד מוכרים, המשתמשים בשרות חיצוני של חברת "אידאה" מערכות (IDEA Information Systems) המספקת שרות באמצעות אתר "קטלוג המידע הישראלי

פרצות אלו אפשרו לתוקפים לגשת לפרטים אישיים של אזרחים רבים, בתוכם גם קטינים, בנוסף גם ניתן לראות את היסטוריית השאלת הספרים וסטאטוס השכרות. הפרצות דווחו למערך הסייבר ולרשות להגנת הפרטיות.

פרצות אלו התגלו ע"י אושרית אלבלח בוגרת קורס הסייבר "אדירים" והחוקר ליאור בן דוד.

 במערכות אלו איפשרו להתחבר עם אמצעי זיהוי יחיד על ידי הקשת "סיסמה" בלבד שניתנה למשתמשים בצורה עוקבת ולא סיסמה אמיתית שנקבעה על ידי המשתמש, מה שאומר שמספיק להקליד את הספרה "3" והתחברת למערכת בתור המשתמש השלישי, מחדל זה אפשר לכל אחד להתחבר  בשמם של אלפי משתמשים עקב פשטות זו ושימוש בנתון יחיד כפי שניתן לראות בדוגמא:

באמצעות שימוש בתוכנות מסוימות אף ניתן להעתיק את כלל המאגרים תוך מספר דקות וליצור מאגר מסוכן ועדכני של אזרחים רבים בכל הגילאים.  לאחר אימות הממצאים הנושא הועבר לטיפול בגופים הרלוונטיים. 

פרצות אלו אפשרו לתוקפים גישה לפרטים אישיים של אזרחים רבים המשתמשים בשרותי הספרייה העירונית בעירם ושל סטודנטים במוסדות מוכרים, מוזיאונים וגופים נוספים (כתובת, טלפון, מייל, תאריך לידה, ת"ז) , לצפות בשאלות האבטחה , לשנות סיסמא וכן לראות את כלל הסטוריית השאלת הספרים והבקשות של המשתמשים.




רשימה חלקית של מוסדות שנתוניהם היו חשופים עקב פרצות אלו:

מכללות- מכללת וינגייט, המרכז האקדמי למשפט ועסקים, מכללת אמונה, גבעת ושינגטון, 
המרכז האקדמי פרס, מכללת הדסה, מכללת לסלי קולג'
ספריות עירוניותקרית שמונה, רעננה, אופקים, בארי, בית איזי שפירא, בית דגן, בני יהודה, 
ברנר, יבנה, גדרה, גן יבנה.
בתי ספרהוד השרון, כפר ורדים, מגידו, בני יהודה

מערכות בשימוש כה נרחב אמורות להתאפיין במנגנון הזדהות חזק בהתאמה לשיטות המקובלות בעולם, אמצעי ההזדהות צריך להיות עם שני גורמים לפחות- במקרה זה היה גורם יחיד בתצורה של מספרים עוקבים, כמו כן יש לבצע בקרה על כמות הפניות והנסיונות של משתמשים "לנחש" סיסמאות, למשל: באמצעות מנגנון recaptcha, וניטור של כמות הפניות מכתובת אחת בזמן קצר ולבצע חסימות בצורה אוטומטית בהתאם, ניתן גם להטמיע הזדהות באמצעות סיסמא חד פעמית כפי שנפוץ במגוון שירותים כיום בעולם. 

לאחר דיווח למערך הסייבר הנושא טופל במהירות ובאדיבות. 
תגובת החברה - "הטיפול מול הלקוחות הסתיים וכעת מתבצעת הזדהות באמצעות שם משתמש וסיסמא. כמו כן, החברה במהלך של שדרוג משמעותי של המערכת ושינוי כולל של התצורה, וכחלק מכך גם מדיניות האבטחה תשופר ותתוגבר. במקרה שמתגלים פערים נוספים, הם ישמחו לשמוע."

בשנה האחרונה הועברו ע"י ליאור עשרות דיווחים מסוג זה לארגונים רבים ומשמעותיים בארץ ובעולם, חלקם יפורסמו בהמשך.



תוויות:

תגובות

הוסף רשומת תגובה

MOST VIEWED

האוצר הדיגיטלי שכולם מחלקים בחינם

מכרנו את ספר הטלפונים והפרטיות שלנו- נכתב בשנת 2016 ונותר רלוונטי :) האוצר הדיגיטלי שכולם מחלקים בחינם- הוא לא אחר מספר הטלפונים שלך.... בשנים האחרונות מתחת לאף של כולנו חברות רבות כמו : Truecaller ו- Sync.me אגרו את המידע הזה בצורה מוצלחת כך גם החברות המוכרות יותר לכולנו כמו: גוגל ופייסבוק (וואטסאפ).
תגובה אחת
המשך לקרוא

פרצה חמורה בישראכרט מאפשרת ללקוחות לקבל כסף על חשבון החברה!

דמיינו שחברת האשראי תיתן לכם כסף (לא לא לא אני לא מדבר על קאשבק), בטעות לגמרי וככה סתם בלי סיבה, עכשיו תפסיקו לדמיין כי זה קורה! באמצעות שימוש באפשרות להעברת כספים ותשלומים דרך כרטיס האשראי גורם זדוני יכול לקבל במרמה כספים מחברת ישראכרט ולנצל שגיאה שגורמת לכך שישראכרט מחלקת כסף בטעות במקום לגבות. כיום קיימת אפשרות להעברת כספים ותשלומים דרך כרטיסי האשראי, כפי שמבצעים זיכוי כספי לכרטיס האשראי בביטול עסקה, כך גם ניתן לזכות כרטיס אשראי למטרת משיכת והעברת כספים ובעצם להעביר כסף ללקוח בשיטה שנקראת   Quasi-cash או Cash advance , שיטה זו נמצאת בשימוש נרחב בביצוע תשלומים ברחבי העולם, בה בעצם מפקידים כסף לכרטיס האשראי וחברת האשראי מפקידה לחשבון הבנק של הלקוח. במהלך ביצוע העברות כספים בדרך הנ"ל התגלתה פרצה חמורה מאוד שגורמת לחברת ישראכרט הפסדים כספיים גדולים, ההפסד נוצר מכך שכתוצאה מזיכויים בכרטיסי אשראי במט"ח (דולר ויורו למשל) החברה למעשה *משלמת עמלה ללקוחות* במקום לגבות עמלה עבור המרת מט"ח, העמלה בגובה 2.9% משולמת כ-"בונוס" ללקוח בכל עסקה!, תשואה שלא תקבלו באף מקום...
הוסף רשומת תגובה
המשך לקרוא