סייברסייבר ודה-מרקר חושפים: פירצה במערכת הנהלת החשבונות הדיגיטלית הישראלית FINBOT מבית "קו מנחה" חצי מיליון מסמכים רגישים לכל אדם בעל כלי הפריצה המשוכלל דפדפן 🔐 הפירצה תוקנה מספר שעות אחרי האסגרה 🐱💻 נעם רותם ועידו קינן
הסייברפריצה המדוברת לחברת הביטוח שירביט, שהתגלתה בחודש האחרון, מתגמדת לעומת פירצת האבטחה שאנחנו בסייברסייבר ואמיתי זיו מדה-מרקר חושפים היום. כחצי מיליון קבלות וחשבוניות, כולל של גורמים רגישים ובהם גופים בטחוניים, היו חשופות לרשת באמצעות כלי הפריצה המשוכלל דפדפן. הגורם לחשיפה הוא תוכנת הנהלת החשבונות הישראלית FINBOT, שסבלה מפירצת אבטחה מביכה. הפירצה תוקנה זמן קצר לאחר אסגרתנו.
פינבוט מציעה "הנהלת חשבונות חכמה ללא ניירת בעזרתה תוכלו להעניק ללקוח שירות יעיל ומתקדם, לדווח לרשויות בקלות ובמהירות ולחסוך בזמן ובכוח אדם". לפי האתר הרשמי, האפליקציה "קולטת חשבוניות ומסמכים במייל, בצילום ואפילו בווטסאפ ומתרגמת אותם לפקודות יומן". בין המשתמשים שפינבוט מתגאה בהם באתרה נמצאים מספר משרדי רו"ח, ובהם פירמת רואי החשבון BDO זיו האפט, המדורגת במקום ה-5 ברשימת משרדי רוה"ח המובילים בישראל 2020 לפי מדד Dun's 100 ומדד BDi Code.
אז הסורק סרק והשוחט שחט, ועלה על חולשה ידועה וכואבת, עליה דיברנו כבר בפרק על מערכות לניהול קוד ("א גיט סייבער", ע02פ29). החולשה, לאלו מכם שלמרבה היגון לא עוקבים באדיקות אחרי הפודקאסט הפופולרי סייברסייבר, חושפת גישה לקוד המקור של המערכת בשל תכנון לקוי של המבנה שלה. תיקיה חשופה בשם "נקודה גיט" (או נקודה SVN, תלוי במערכת ניהול הקוד) מאפשרת לכל אדם בעל דפדפן גישה למידע אודות הקוד, ולכל אדם בעל טרמינל גישה לקוד עצמו – הכל ללא סיסמאות וללא הגבלות גישה מסוג כלשהו.
בקוד עצמו, שללא ספק לא עבר שום ביקורת אבטחת מידע או בדיקת חדירה, ושום עין של איש מקצוע לא שזפה את זיו חולשותיו, היו שלל כשלים, שהחמור בהם היה הימצאותו של מפתח לסביבת הענן של אמזון. אין שום צידוק ושום תירוץ לשמור מפתח קבוע בקוד, בטח ובטח כשהקוד חשוף ברשת, אבל כדי להוסיף חטא על פשע – המפתח דנן היה מפתח של מנהל המערכת שנתן גישה מלאה לכל סביבת הענן של בעליו.
מפתח קורא לגנב
בואו נעצור רגע ונדבר על מפתחות והשימוש הנכון בהם.
בדרך כלל מפתחות משמשים לביצוע פעולה אחת, ובהשאלה – לפתוח חדר אחד בלבד. למשל: אם אני רוצה לשלוח הודעת סמס – יהיה לי מפתח שמוגבל לשליחת הודעות סמס בלבד. אם אני צריך גם לשמור קבצים בדלי – אוציא מפתח נוסף, או שבכלל אשקול עבודה עם roles (אבל זה כבר סיפור אחר). אם נמשיל את העניין לסביבה מציאותית יותר: יהיה לי מפתח אחד להיכנס לחדר הדואר על מנת לשלוח מכתב, ומפתח אחר לכלוב התיישים כדי להנות מהיאבקות קלה לפני השינה.
מה שקרה כאן, וזה בדיוק מה שקרה גם במערכת "אלקטור" שחשפה את פרטיהם של כל בעלי זכות הבחירה בישראל (ע02פ16, ע02פ17), זה שמפעילי המערכת התעצלו, אם מבורות ואם מעצלנות, לייצר מפתח יעודי, ופשוט שמו את מפתח המאסטר שמאפשר גישה מלאה להכל.
אתם מבינים לאן זה הולך, נכון?
במפתח הזה אפשר היה לפתוח את כל הדליים, לגשת לכל השרתים, להוריד את כל מסד הנתונים, לפתוח שרתים חדשים, לשלוח הודעות, לכרות ביטקוין, למחוק הכל (כולל הגיבויים) ולבקש כופר, ותכלס – כל מה שתמיד רציתם לעשות אצל הדודה והדוד.
וכאן אנחנו מגיעים למידע של פינבוט. זוכרים את שירביט? אז תחשבו בגדול יותר. מאות אלפי מסמכים של מיטב הגופים הישראלים, החל בצה"ל ובשלל יחידות משרד הביטחון, דרך התעשייה האווירית, קופת חולים כללית, אינטל, הטכניון, מפעלים שונים, וכלה בעשרות אלפי עסקים קטנים ובינוניים, בהם חוקרים פרטיים, מטפלים למיניהם, ותכלס כל סוג של חברה בע"מ או עוסק מורשה, והמסמכים שהם הוציאו ללקוחות שלהם – כולל פרטי הלקוחות עצמם. לא נעים.
(ראו עדכון בסוף הפוסט)
"טעות אנוש; המידע לא דלף"
פינבוט מופעלת על ידי חברת חשבים ה.פ.ס, שהוקמה ב-85', וכיום היא "החברה הגדולה ביותר בישראל למידע עסקי בעולם הפיננסים ובעולם המשפט", לפי אתרה הרשמי. חברת האם, קבוצת קו מנחה, סיימה את רכישת פינבוט במרץ 2020 בעיסקה של 2.5 מיליון שקל עבור 70% מהמניות.
קו מנחה, שנמצאת בשליטת יפעת, היא חברה בורסאית שנסחרת לפי שווי שוק של 139 מיליון שקל. לפי אתרה היא "קבוצת ה-SaaS המובילה בישראל בתחומי מידע ושירותים בשוק ההון והפיננסים, משפטים, כספים, הנהלת חשבונות, מיסוי ונדל"ן, וכן שירותי ענן לניהול קשרי לקוחות ומשרדי מייצגים".
בדוח השנתי של קו מנחה 2019 ציינה החברה את הסייברסייבר כגורם סיכון מקרו גבוה:
במקרה של פגיעה בחברה כתוצאה מאירוע סייבר כאמור, עלולה החברה לסבול מהשלכות שליליות מהותיות כגון שיבוש בפעילותה השוטפת של החברה או של לקוחות החברה להם מספקת החברה שירותים, שיבוש בפעילותן של מערכות המידע של החברה או השבתתן, פגיעה במוניטין החברה אשר עלולה להשפיע על אמונם של לקוחות החברה, וחשיפה לתביעות משפטיות.
החברה דיווחה עוד כי נערכה למתקפות סייבר שכאלו:
החברה משקיעה מאמצים ומשאבים (ארגוניים, כספיים, מקצועיים ומחשוביים) במטרה להגן על מערך טכנולוגיות המידע שלה ולמזער את סיכוני אבטחת המידע, לרבות: (א) ביצוע תכניות עבודה שנתיות להגנת סייבר; (ב) ביצוע סיקרי סיכונים ובדיקות חוסן; (ג) עריכת הדרכות תקופתיות, הן כלליות והן פרטניות; (ד) הטמעת כלים טכנולוגיים מתקדמים ליישום וביצוע נהלי ומדיניות אבטחת המידע. כמו כן, כחלק ממדיניות אבטחת המידע, החברה אימצה נהלים שונים המותאמים להתמודדות עם סיכונים אפשריים הגלומים במתקפות סייבר, כגון: סיווג וטיפול במידע, תגובה לאירוע אבטחת מידע, הנחיות לעובדים בנושא אבטחת מידע, בקרת גישה, גיבוים ושחזורים, בקרה על כניסת עובדים ומבקרים, טיפול במאגרי מידע, ניהול משתמשים וסיסמאות וכיו"ב.
אסגרנו את הפירצה ל"קו מנחה" ולמערך הסייבר, והיא תוקנה תוך מספר שעות. יש לציין לטובה את תגובת הנהלת החברה שלקחה אחריות מלאה על העניין ופעלה בצורה חיובית וטובה לסגירת הפרצה במהירות וביעילות. טעויות קורות, זה דרכו של עולם, וארגון נשפט בדרך בה הוא מטפל בהן. במבחן הטיפול, "קו מנחה" מקבלת עשרה מאפים פריכים. סחתיין!
מנכ"ל קבוצת קו מנחה, שי מגל, מסר בתגובה:
בערב יום ראשון נמסר לנו ממערך הסייבר שאותרה חולשה באבטחת מערכת המידע של החברה. מיד עם העדכון ובסיוע של מי שאיתר אותה, נעם רותם, הפעילה החברה צוות תגובות פנימי (ERT) לטיפול בנושא ופעלה לסגירת החולשה על בסיס המידע שנאסף ועובד.
מתחקיר ראשוני עולה כי בעקבות מעבר שבוצע לאחרונה של מערכות החברה לשרתי הענן של אמזון, ובגלל טעות אנוש של אינטגרטור חיצוני שליווה את המעבר, נומרה חשיפה של קוד המקור. בשום שלב לא דלף מידע רגיש לגורמים שונים, פרט למידע שהגיע לידי דהמרקר. החברה מודה לכל הנוגעים בדבר על הצפת החולשה ומיישמת, באמצעות אנשיה וגורמי מקצוע המייעצים לה, בקרות מפצות נוספות למניעת הישנות המקרה.
עדכון בעקבות הפרסום (14:23)
לאחר פרסום הכתבה כאן ובדה-מרקר, בחברת קו מנחה ביקשו להבהיר שרק חלק מהמידע שדלף שייך להם.
על פי החברה, המידע שלה עוסק בלקוחות פרטיים וחברות קטנות. המידע שנחשף מהגופים הגדולים – צה"ל, ארגונים בטחוניים, הטכניון, קופ"ח כללית ואחרים – שייך לגוף פיתוחי שאיתו קו מנחה עבדו בעבר. המפתח של אותו גוף נשאר בקוד של פינבוט בשגגה, ובנוסף למידע של לקוחות פינבוט חשף גם מידע שאינו קשור לחברה בשום צורה.
ואנחנו שוב נציין לטובה את המקצועיות והרצינות שבהן קו מנחה מטפלים בתקרית.
📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cyber@cybercyber.co.il 🗝️ הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר) 📞 הודעות קוליות שילחו אל הקו החם והפריך של סייברסייבר: 055-2-776766 💸 תרומות בפייבוקס למספר 055-2-776766
כך אפשר להאזין לסייברסייבר: 
עידו קינן הוא משהו באינטרנט. נעם רותם הוא חוקר סייבראבטחה. יחד עם הוא מגיש יחד עם עידו קינן את סייברסייבר, פודקאסט פופולרי על האקרים ומאפים
