🌡ī¸ קי×Ĩ חם בשופרסל – האקרים ני×Ēקו א×Ē המקרר 2023-08-15
מגזין
Comments Off
סני×Ŗ של שופרסל דיל đŸ–ŧī¸ Hovev (נחל×Ē הכלל)

האקרים מרוש×ĸים הש×Ēלטו מרחוק ×ĸל מקרר בסני×Ŗ של שופרסל, כיבו או×Ēו והרסו סחורה ב×ĸשרו×Ē אלפי שקלים. כבר ב-2019 ה×Ēר×ĸנו מפני פיר×Ļה במ×ĸרכו×Ē שליטה ובקרה של מקררים ×Ē×ĸשיי×Ēיים. שופרסל: מקרה חריג ונקוד×Ēי, ללא נזק מהו×Ēי, דליפ×Ē מיד×ĸ ופגי×ĸה בפרטיו×Ē

× ×ĸם רו×Ēם, ×ĸידו קינן – סייברסייבר

האקרים מרוש×ĸים, שכפי הנראה אינם חובבי פחמימו×Ē, פר×Ļו למקררים ×Ē×ĸשיי×Ēיים ברש×Ē הקמ×ĸונאי×Ē שופרסל וגרמו לנזק של ×ĸשרו×Ē אלפי שקלים, כך נוד×ĸ לפודקאסט הפופולרי סייברסייבר. כבר לפני ארב×ĸ שנים וח×Ļי ה×Ēר×ĸנו ×ĸל פיר×Ļה שאיפשרה מ×Ēקפה דומה ×ĸל אלפי מקררים ×Ē×ĸשיי×Ēיים ב×ĸולם, כולל בסניפי סופרמרקטים בישראל.

בחודש ׊×ĸבר חדרו האקרים למ×ĸרכ×Ē שליטה ובקרה של מרכזיי×Ē קירור באחד הסניפים הגדולים של שופרסל ב×Ēל אביב. דרך המ×ĸרכ×Ē ה×Ļליחו ההאקרים להש×Ēלט ×ĸל המקררים, שיבשו א×Ē פ×ĸילו×Ēם והביאו לקלקול מזון בשווי מאו×Ē אלפי שקלים.

מר׊×Ē שופרסל נמסר ב×Ēגובה: "מדובר במקרה חריג שבו בו×Ļ×ĸה חדירה נקוד×Ēי×Ē למרכזיי×Ē קירור בסני×Ŗ. החדירה והפיר×Ļה שהובילה לכך זוהו, או×Ēרו וטופלו במהירו×Ē ×ĸל ידי הגורמים הרלוונטיים בחברה. שופרסל פו×ĸל×Ē ×ĸל פי חוק, ומכיוון שלא נגרם נזק מהו×Ēי ולא היה קיים כל חשש לדליפ×Ē מיד×ĸ או פגי×ĸה בפרטיו×Ē, שופרסל לא נדרשה להודי×ĸ ×ĸל כך לרשויו×Ē הרלוונטיו×Ē".

דיברנו ×ĸל פיר×Ļו×Ē אבטחה במקררים ומכשירים ×Ē×ĸשיי×Ēיים אחרים בפודקאסט סייברסייבר:
{פ39} הסייברמ×Ēקפה ×ĸל המים בישראל היא רק ק×Ļה הקרחון 🌊

כאמור, כבר ב×Ēחיל×Ē 2019 ה×Ēר×ĸנו מפני חולש×Ē אבטחה במ×ĸרכ×Ē שו"ב של מקררים ×Ē×ĸשיי×Ēיים, שחשפה למ×Ēקפה דומה יו×Ēר מ×ĸ׊ר×Ē אלפים מקררים ברחבי ה×ĸולם, בהם מספר סניפי סופרמרקטים בישראל.

מ×ĸרכ×Ē השו"ב, מ×Ēו×Ļר×Ē חבר×Ē Resource Data Management הסקוטי×Ē, מאפ׊ר×Ē לגש×Ē לממשק הניהול דרך האינטרנט, ל×ĸקוב אחר הטמפרטורה במקררים ובמקפיאים ה×Ē×ĸשיי×Ēיים, לקבל ה×Ēראו×Ē ×ĸל שינויים ולב×Ļ×ĸ פ×ĸולו×Ē, כולל שינוי הטמפרטורה, מ×ĸבר למ×Ļב הפשרה ו×ĸוד. המ×ĸרכ×Ē מו×Ēקנ×Ē ברש×Ēו×Ē סופרמרקטים, חברו×Ē פארמה וב×Ēי חולים באסיה, אירופה, אוסטרליה ו×ĸוד. בין המש×Ēמשים: ר׊×Ēו×Ē המרכולים מרקס אנד ץפנץר ואוקדו, חבר×Ē הפארמה CCM Duopharma Biotech Berhad ובי×Ē חולים בבריטניה. בישראל, המ×ĸרכ×Ē הי×Ēה מו×Ēקנ×Ē ב×ĸשרו×Ē סניפי סופרמרקטים של מספר ר׊×Ēו×Ē, בהן גם ר׊×Ēו×Ē אר×Ļיו×Ē גדולו×Ē (אך לא בשופרסל).

במחקר ׊×ĸרכנו, × ×ĸם רו×Ēם ורן ל' בשי×Ēו×Ŗ א×Ēר Safety Detective, ה×Ēגלו במ×ĸרכ×Ē מספר חולשו×Ē אבטחה:

  • כל המ×ĸרכו×Ē היו מחוברו×Ē לאינטרנט באמ×Ļ×ĸו×Ē פרוטוקול HTTP לא-מאובטח, ברוב המקרים דרך פורט 9000
  • המ×ĸרכו×Ē היו זמינו×Ē ל×Ļפייה בלי ×Ļורך בשם וסיסמה
  • בכל המ×ĸרכו×Ē היה ׊ם-מ׊×Ēמ׊ בריר×Ē-מחדל, שהוגדר ×ĸל ידי הי×Ļרן ולא הוחל×Ŗ ×ĸל ידי המש×Ēמשים, וסיסמ×Ē בריר×Ē-המחדל 1234
  • א×Ē המ×ĸרכו×Ē הפרו×Ļו×Ē ני×Ēן היה לא×Ēר דרך מנו×ĸ החיפוש היי×ĸודי שודאן, אבל חלקן היו זמינו×Ē גם בחיפוש גוגל

מ׊מ×ĸו×Ē הדבר היא שני×Ēן היה למ×Ļוא מ×ĸרכו×Ē כאלו, ל×Ļפו×Ē בהן באמ×Ļ×ĸו×Ē כלי הפרי×Ļה המשוכלל דפדפן, ובלחי×Ļ×Ē כפ×Ēור והזנ×Ē ׊ם וסיסמה דיפולטיביים לב×Ļ×ĸ פ×ĸולו×Ē ×ĸם פוטנ×Ļיאל נזק ×ĸ×Ļום.

דיווחנו ×ĸל הפיר×Ļה לי×Ļרני×Ē RDM, שה×Ē×ĸלמה מפניי×Ēנו באימייל, ולפניי×Ēנו בטוויטר השיבה שאין שום ב×ĸיה ושהם מבקשים שלא נפנה אליהם יו×Ēר. בהמשך השיבה החברה ׊א×Ē הא×Ļב×ĸ המאשימה יש להפנו×Ē למש×Ēמשים, שאמורים להחלי×Ŗ יוזר וסיסמה ×ĸם ה×Ēקנ×Ē המכשיר. הוד×ĸנו גם למ×ĸרך הסייבר הלאומי ×ĸל הפיר×Ļה.

סני×Ŗ של שופרסל שלי đŸ–ŧī¸ Rakoon cc0
סני×Ŗ "שופרסל שלי". ×Ļילום המחשה, הסני×Ŗ המ×Ļולם לא קשור לנאמר בכ×Ēבה đŸ–ŧī¸ Rakoon cc0

×ĸידו קינן ונ×ĸם רו×Ēם הם מגישים שו×Ēפים של הפודקאסט הפופולרי סייברסייבר. הידי×ĸה ה×Ēפרסמה בגירסה שונה בגיקטיים đŸ–ŧī¸ ×Ēמונ×Ē ׊×ĸר: סני×Ŗ "שופרסל דיל". ×Ļילום המחשה, הסני×Ŗ המ×Ļולם לא קשור לנאמר בכ×Ēבה đŸ–ŧī¸ Hover (נחל×Ē הכלל)