סניף של שופרסל דיל 🖼️ Hovev (נחלת הכלל)

האקרים מרושעים השתלטו מרחוק על מקרר בסניף של שופרסל, כיבו אותו והרסו סחורה בעשרות אלפי שקלים. כבר ב-2019 התרענו מפני פירצה במערכות שליטה ובקרה של מקררים תעשייתיים. שופרסל: מקרה חריג ונקודתי, ללא נזק מהותי, דליפת מידע ופגיעה בפרטיות

נעם רותם, עידו קינן – סייברסייבר

האקרים מרושעים, שכפי הנראה אינם חובבי פחמימות, פרצו למקררים תעשייתיים ברשת הקמעונאית שופרסל וגרמו לנזק של עשרות אלפי שקלים, כך נודע לפודקאסט הפופולרי סייברסייבר. כבר לפני ארבע שנים וחצי התרענו על פירצה שאיפשרה מתקפה דומה על אלפי מקררים תעשייתיים בעולם, כולל בסניפי סופרמרקטים בישראל.

בחודש שעבר חדרו האקרים למערכת שליטה ובקרה של מרכזיית קירור באחד הסניפים הגדולים של שופרסל בתל אביב. דרך המערכת הצליחו ההאקרים להשתלט על המקררים, שיבשו את פעילותם והביאו לקלקול מזון בשווי מאות אלפי שקלים.

מרשת שופרסל נמסר בתגובה: "מדובר במקרה חריג שבו בוצעה חדירה נקודתית למרכזיית קירור בסניף. החדירה והפירצה שהובילה לכך זוהו, אותרו וטופלו במהירות על ידי הגורמים הרלוונטיים בחברה. שופרסל פועלת על פי חוק, ומכיוון שלא נגרם נזק מהותי ולא היה קיים כל חשש לדליפת מידע או פגיעה בפרטיות, שופרסל לא נדרשה להודיע על כך לרשויות הרלוונטיות".

דיברנו על פירצות אבטחה במקררים ומכשירים תעשייתיים אחרים בפודקאסט סייברסייבר:
{פ39} הסייברמתקפה על המים בישראל היא רק קצה הקרחון 🌊

כאמור, כבר בתחילת 2019 התרענו מפני חולשת אבטחה במערכת שו"ב של מקררים תעשייתיים, שחשפה למתקפה דומה יותר מעשרת אלפים מקררים ברחבי העולם, בהם מספר סניפי סופרמרקטים בישראל.

מערכת השו"ב, מתוצרת חברת Resource Data Management הסקוטית, מאפשרת לגשת לממשק הניהול דרך האינטרנט, לעקוב אחר הטמפרטורה במקררים ובמקפיאים התעשייתיים, לקבל התראות על שינויים ולבצע פעולות, כולל שינוי הטמפרטורה, מעבר למצב הפשרה ועוד. המערכת מותקנת ברשתות סופרמרקטים, חברות פארמה ובתי חולים באסיה, אירופה, אוסטרליה ועוד. בין המשתמשים: רשתות המרכולים מרקס אנד ספנסר ואוקדו, חברת הפארמה CCM Duopharma Biotech Berhad ובית חולים בבריטניה. בישראל, המערכת היתה מותקנת בעשרות סניפי סופרמרקטים של מספר רשתות, בהן גם רשתות ארציות גדולות (אך לא בשופרסל).

במחקר שערכנו, נעם רותם ורן ל' בשיתוף אתר Safety Detective, התגלו במערכת מספר חולשות אבטחה:

  • כל המערכות היו מחוברות לאינטרנט באמצעות פרוטוקול HTTP לא-מאובטח, ברוב המקרים דרך פורט 9000
  • המערכות היו זמינות לצפייה בלי צורך בשם וסיסמה
  • בכל המערכות היה שם-משתמש ברירת-מחדל, שהוגדר על ידי היצרן ולא הוחלף על ידי המשתמשים, וסיסמת ברירת-המחדל 1234
  • את המערכות הפרוצות ניתן היה לאתר דרך מנוע החיפוש הייעודי שודאן, אבל חלקן היו זמינות גם בחיפוש גוגל

משמעות הדבר היא שניתן היה למצוא מערכות כאלו, לצפות בהן באמצעות כלי הפריצה המשוכלל דפדפן, ובלחיצת כפתור והזנת שם וסיסמה דיפולטיביים לבצע פעולות עם פוטנציאל נזק עצום.

דיווחנו על הפירצה ליצרנית RDM, שהתעלמה מפנייתנו באימייל, ולפנייתנו בטוויטר השיבה שאין שום בעיה ושהם מבקשים שלא נפנה אליהם יותר. בהמשך השיבה החברה שאת האצבע המאשימה יש להפנות למשתמשים, שאמורים להחליף יוזר וסיסמה עם התקנת המכשיר. הודענו גם למערך הסייבר הלאומי על הפירצה.

סניף של שופרסל שלי 🖼️ Rakoon cc0
סניף "שופרסל שלי". צילום המחשה, הסניף המצולם לא קשור לנאמר בכתבה 🖼️ Rakoon cc0

עידו קינן ונעם רותם הם מגישים שותפים של הפודקאסט הפופולרי סייברסייבר. הידיעה התפרסמה בגירסה שונה בגיקטיים 🖼️ תמונת שער: סניף "שופרסל דיל". צילום המחשה, הסניף המצולם לא קשור לנאמר בכתבה 🖼️ Hover (נחלת הכלל)