כולם מדברים על ההאקר המלזי שמוכר מידע ממוחזר מ-City4U, אבל כבר לפני שלושה חודשים איסגרנו פירצה באתר המתחרה MAST שחשפה 660+ אלף קבצים עם מידע אישי ורגיש 🐱💻 נעם רותם, עידו קינן – סייברסייבר
המידע המוניציפלי שלנו מופקר – צילומי תעודות זהות, כתובות, בני משפחה, חשבונות ארנונה ומים, מסמכים רפואיים, בקשות הנחה ועוד. השבוע הודיע ההאקר @SANGKANCIL_MY (צבי זעיר במלזית) כי הוא מעמיד למכירה מאגר מידע רגיש מרשויות מוניציפליות ישראליות שנגנב מפורטל השירותים המוניציפלי City4U של אוטומציה החדשה שבבעלות וואן טכנולוגיות. אנחנו חשפנו במערכת הזאת פירצה לפני שנתיים, ואחת נוספת לפני מספר חודשים. בנוסף, לפני שלושה חודשים חשפנו פירצה חמורה בפורטל המתחרה, MAST של קבוצת מ.ג.ע.ר, שאותה אנחנו מפרסמים פה לראשונה.
הפירצה במאסט רשלנית, וקשה להאמין שאיש אבטחת מידע אישר להוציא מערכת כזאת לפרודקשן. המפתח והסוד לדלי ה-AWS (אחסון ענן באמזון) של מאסט הופיעו בטקסט גלוי באתר, וניתן היה לראותם בצפייה במקור (view source) של האתר באמצעות כלי הפריצה המשוכלל דפדפן. הפירצה חשפה יותר מ-660 אלף קבצים בגודל 209+ גיגה של מסמכים אישיים ורגישים של מאות אלפי אזרחים שמחוייבים להשתמש בהם, ובין השאר צילומי תעודות זהות כולל מועד ההנפקה, שמשמש כסיסמה באתרי ממשל, אישורי ביטוח לאומי ואישורים אחרים החושפים מידע פרטי, רגיש, ולעיתים רפואי.
<חסות>
אוהבות פרצות אבטחה, אבל רוצות להפוך את הרשת למקום בטוח יותר? רוצים להתפתח בעולם הסייבר, ללמוד על וקטורים חדשים ומגניבים, ועל הדרך גם להתפרנס? אם אתן מאזינות לפודקאסט ומתמצאות בסייבר, יכול להיות שיש לנו עבודה בשבילכן!
vpnMentor, המבוססת בישראל, מוציאה דוחות על פירצות אבטחה שמתפרסמים בכלכליסט, דה מרקר ובכלי תקשורת ברחבי העולם, ובהם ניו יורק טיימס, CNN ו-BBC. החברה מגייסת חוקרות וחוקרי סייבר מתחילים (ג’וניורים) לצוות המובחר שלה, שיזכו למנטורינג ממומחים בתחום, ייחשפו לעולם אבטחת המידע והתקשורת ויקבלו הזדמנות לצמוח ולהפוך לשחקניות מובילות בעולם הסייבר
שילחו קורות חיים אל research@vpnmentor.com ותראו ישועות
<\חסות>
איסגרנו את הפירצה ל🎶מערך הסייבר🎵. הם העבירו את ההודעה למגער, ואחרי 11 ימים הודיעו לנו מטעם מגער שהפירצה נסגרה. מ.ג.ע.ר מסרו (התחביר המקולקל במקור):
נושאי אבטחת המידע והגנת הפרטיות הם נר לרגלי החברה, המקבלים דגש ומענה הן בהנהלת הארגון ובהנחייתה והן בקרב עובדי החברה, בכל הדרגים והתפקידים המקבלים תדרוכים ודגשים תקופתיים. כמו כן, החברה שוקדת על ביצוע בדיקות ובקרות שוטפות ושונות לאורך השנה לעמידות, עדכון ותחזוקת מערכותיה, ולריענון נהליה המקיפים בתחומי הגנת הפרטיות ואבטחת המידע.
לאחרונה עודכנו על-ידי מערך הסייבר הלאומי, כי דיווח אלמוני סבור שקיימת חולשה אפשרית ביחס למפתח הגישה לשרת הענן המצוי בבעלות חברת AMAZON, המשמש לשמירה זמנית של קבצים (תמונות וקבצי מידע, לא נתונים) עבור רשויות מקומיות ותאגידי מים, עבורן אנו בחזקת מחזיקים של הקבצים הנ"ל ומופעלת על-ידה. יובהר כי החולשה האפשרית עוסקת באפשרות גישה למידע, זאת אך ורק באמצעות נקיטת סדרת פעולות טכנולוגיות ייחודיות, אשר אינן בגדר מאמץ בסיסי של משתמש סביר.
מיד עם קבלת הדיווח כאמור לעיל, ערכה החברה בדיקה מקיפה ממנה עולה כי אין כל אינדיקציה המעידה על חשיפה בפועל של פרטי מידע אישיים אודות נושאי המידע, וכי למיטב ידיעתה החולשה האפשרית לכאורה לא נוצלה בפועל ולא נשקף ממנה סיכון ממשי ו/או שימוש זדוני במידע. בכל מקרה, החברה פעלה באופן מידי לשם חסימת החולשה האפשרית, ומימשה דרכים נוספות לחיזוק ההיבטים הרלוונטיים בהתחשב במקרה המתואר לעיל, ותדאג לבצע התאמות נוספות, ככל שיידרשו.
החברה פעלה, פועלת ותוסיף לפעול למען לקוחותיה בכלל וביחס להיבטי הגנת הפרטיות ואבטחת המידע בפרט.
תגובת מג.ע.ר לאסגרה
התגובה הזאת היא המשכו של הביזיון באמצעים אחרים: הדיווח לא היה אנונימי; המפתח והסוד הוצגו במפורש בצילומסך ששלחנו למערך הסייבר; תמונות וקבצי מידע ליטרלי מכילים נתונים; סדרת הפעולות הטכנולוגיות הייחודיות הן כשתי הקלקות עכבר בדפדפן; ו-11 יום לסגירת פירצה כזאת הן 11 יום יותר מדי, גם אם מתעלמים מכך שהיא היתה צריכה להתגלות עוד לפני שהאתר הושק.
בנוסף, מאחר שהפירצה זמינה ופשוטה כל כך, לא בלתי סביר להניח שהאקרים שמפעילים כלים אוטומטיים לאיתור פירצות כאלו כבר שמו את ידיהם על המידע, דבר שאפשר לבדוק בקבצי הלוג של בסיס הנתונים. למרות זאת, מגער טוענים כי לא היתה חשיפה של המידע והחולשה לא נוצלה לרעה. לא מגער ולא מערך הסייבר הוציאו הודעה לציבור על פוטנציאל השימוש לרעה במידע שהיה נגיש לכל גולשת – גניבת מידע, גניבת כסף וגניבת זהות.
<חסות>
VPN הוא כלי חשוב ושימושי (יש לנו פרק על VPN שמסביר הכל). ProtonVPN הוא שירות ה-VPN האהוב עלינו, ואפשר לקנות אותו כאן, או בכתובת המקוצרת cybercyber.co.il/vpn
אימייל מוצפן מקצה-לקצה במנוחה ובתנועה חשוב לשמירה על הפרטיות שלנו. פרוטון מייל מבטיח לא לשמור שום מידע מיותר על החשבון שלכם, למעט המינימום המחוייב בחוקי הפרטיות הנוקשים של שווייץ; ובזכות ההצפנה מקצה-לקצה אין להם אפשרות לראות את תוכן המיילים שלכם. לרכישה כאן, או בכתובת המקוצרת cybercyber.co.il/mail
כל רכישה דרך הלינקים הללו מכניסה לנו כמה שקלים – דרך נחמדה להגיד לנו תודה ולסייע להמשך הפעילות שלנו.
<\חסות>
פרוייקט המיחזור המלזי
בנוגע לדאמפ של @SANGKANCIL_MY, התאריכים בקבציו הביאו מומחי סייבר לשער שמדובר בפריצה ממוחזרת.
האני״ זה הסתרה. מדובר באותו קמפיין איראני מתמשך, אלה חומרים מהפריצה לערית הרצליה בדצמבר 2020. בזמנו ההשערה היתה שזה נעשה גם על ידי פוקסקיטנס. מסכים לגבי זה שאין פה אייטם. סך הכל נסיון של מדינה זרה לייצר רעש וחוסר בטחון מתמשך בציבור בישראל.
— Omri Segev Moyal (@GelosSnake) September 7, 2021
האוטומציה החדשה מסרו בתגובה לפרסומים של ההאקר המלזי: "חברת אוטומציה החדשה מתחקרת את הטענות לדלף מידע ממערכת City4U מאז פורסמו לראשונה בערב החג, ונמצאת בקשר שוטף עם מערך הסייבר הלאומי. בבדיקות שנערכו עד כה, לא זוהתה כל חדירה למערכת ולא מן הנמנע שמדובר במידע ישן ומוגבל בהיקפו. ככלל, יש לציין כי מערכת City4U מחזיקה נתונים של כמה מאות אלפי ישראלים לכל היותר, ולא בסדרי הגודל שהזכיר התוקף בהודעתו. אוטומציה החדשה משקיעה משאבים רבים באבטחת מידע והינה מוסמכת תקן אבטחת המידע ISO 27001. החברה עורכת באופן תדיר סקרי סיכונים ומבדקי חדירה, ומקיימת בקרות שוטפות של חדירות המערכות שלה לפריצות סייבר. אנו ממשיכים בחקירת האירוע ונעדכן ככל שיהיו ברשותנו ממצאים חדשים".
__________________________
תמונה ראשית: "גרמניה – פיצוץ מבוקר, 1996" (פרט) 🖼️ © יוליאן רוזפלדט ופיירו שטיינלה; מוצג בתערוכת "הווה מתמשך: חדש באמנות עכשווית" במוזיאון ישראל
תמונת פרק: Metropolis 🖼️ שרון פזנר (cc-by-nc)