דליפת הודעות קוליות 🖼️ Thomas Wolter

👂 חברת קולביז, שמשרתת כ-2300 לקוחות, הפקירה הקלטות שיחות לכל גולש וגולשת בפירצת אבטחה שלא הצריכה יותר מדפדפן. בין הלקוחות: עו"דים, רו"חים וגופים ממלכתיים ובטחוניים 💸 וגם: מאגר השעבודים והמשכונות היה פתוח לכל גולשת, להורדה במלואו, בלי תשלום, באמצעות שורת קוד אחת 🐱‍💻 הדיווח בכלכליסט

פירצת אבטחה שההאקר אדון שוקו מצא באתר שירות המענה הטלפוני CallBiz חשפה את מאגר ההקלטות של לקוחות החברה, ובהם גופים עם מידע בטחוני ואסטרטגי רגיש כמו משרד ראש הממשלה, רשות שדות התעופה, משרד הבריאות ומשרד האוצר, רשויות מקומיות וחברות ציוד רפואי, עו"דים ורו"חים.

הפירצה היתה פשוטה להכעיס: עמוד רשת פתוח ללא צורך בפרטי התחברות, עם רשימת 2300 לקוחות החברה. הקלקה על לקוח הכניסה את הגולשת לעמוד הניהול שלו, עם כל הקלטות השיחות זמינות להורדה. סקריפט פשוט היה מאפשר להוריד את כל ההודעות של כל הלקוחות.

פירצה נוספת היתה עמוד עם פרטי ההתחברות של הלקוחות – שם וסיסמה, כאשר הסיסמאות בטקסט גלוי (קלירטקסט), בניגוד לנהלים המקובלים שקובעים שאין לשמור את הסיסמה במלואה, אלא עותק מגובב של הסיסמה, ואין לחשוף אותה לכל אדם בעל כלי הפריצה המשוכלל דפדפן.

הפירצה נסגרה 6 ימים אחרי שמערכת סייברסייבר איסגרה אותה למערך הסייבר. תגובת קולביז:

קולביז משקיעה משאבים רבים בכלים טכנולוגיים מתקדמים לשם הגנת ואבטחת המידע שלה ושל לקוחותיה. מנהלי אבטחת המידע של החברה פועלים לילות כימים על מנת לוודא ולהתעדכן כל העת בפתרונות הגנת סייבר מהחדשים והמתקדמים שיש. אנו עומדים בתנאי הרגולציה הנדרשת מבחינת הגנת מידע שנבדקו ואושרו על ידי הרשות להגנת הפרטיות ונמשיך לפעול להיות בחזית הטכנולוגיה הקיימת בנושא.

מיד כשאותרה הבעיה הנושא טופל באופן מיידי והפירצה נחסמה ומבדיקה מעמיקה שנערכה הן על ידינו והן על ידי חברה חיצונית אובייקטיבית נמצא שלא התבצעה שום פריצה על ידי גורם זר מלבד פירצה זו על ידי חוקר עצמאיי, כך, שלא נגרם כל נזק לחברה וללקוחותיה.

לצערנו, אנו מודעים לכך שתוקפי סייבר לא ייעלמו וכל מטרתם היא לחבל בפעילות רשתית בכלל ושל חברות ישראליות בפרט ועל כן אנו משדרגים את המערכות שלנו באופן תדיר.

שעבודים לכל

סיפור נוסף בפרק הוא גילוי של ההאקר נאור לוי, שחשף פירצת אבטחה במאגר המשכונות והשעבודים של משרד המשפטים. כדי לקבל פרטים על שעבודים ומשכונות של אדם מסויים, צריך להגיש בקשה ולשלם אגרה. אולם כפתור מוסתר באתר מאגר המשכונות איפשר לגשת לכל המידע ולהורידו במלואו, בלי פרטי התחברות ובלי תשלום. גם כאן, סקריפט פשוט היה מאפשר הורדה של המאגר במלואו.

לוי איסגר את הפירצה למערך הסייבר, שהעביר אותה אל יה"ב (היחידה להגנת הסייבר בממשלה), שדיווחה על כך למשרד המשפטים. מתן שני, CISO משרד המשפטים, השיב:

עם קבלת הדיווח ב-13/9 , ביצענו בדיקה מהירה של מעקף התשלום שהתגלה.

צוות הפיתוח התגייס לטיפול מהיר בסגירת מעקף זה.

לאחר ביצוע התיקון והבדיקות הנדרשות, עלתה גירסה מתוקנת לאתר משכונים ושיעבודים, וכעת פרצה זו אינה קיימת.

שוחחתי עם הפצחן המדווח – נאור לוי, והודיתי לו על הדיווח המפורט והאיכותי.

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן; נעם רותם 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Call The Shots של Slynk (PD) וקריינות של קוואמי דה לה פוקס ונועה ארגוב 💵 מוזיקת פרסומת: Bit Bit Loop / Kevin MacLeod CC0; 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404

🔔 קולות: דאקטיילז / דיסני; מארש המוות של שופן / 5inister (CC-BY), Sterio18 (CC0); פייט קלאב / דייוויד פינצ'ר; נעימת המתנה – VHS Dreams / Shane Ivers, silvermansound.com (cc-by); מוזיקה איראנית על סנטור / Peyman Heydarian (CC-BY); סרטון תדמית של קולביז; לכה דודי / סופי רפפורט (CC-BY);  ​​Arpent / Kevin Mcleod CC0 ; Ambient Bongos / Alexander Nakarada 🖼️ תמונה ראשית: ThomasWolter

📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל [email protected] 🗝️ הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר) 📞 הודעות קוליות שילחו אל הקו החם והפריך של סייברסייבר: 055-2-776766 💸 תרומות בפייבוקס או ביט למספר 055-2-776766

כך אפשר להאזין לסייברסייבר: