מידע על תלמידים וחיסוניהם הופקר ביישומון קורנה שמשרד החינוך בכלל לא מכיר 2021-04-18
כללי
Comments Off
הפקרת מידע במערכת מגן קורונה 
אמ;לק: עוד מערכת קורונה ממומנת מכספי ציבור הפקירה את פרטיהם האישיים והרפואיים של אלפי קטינים ישראלים והוריהם בפירצת אבטחה מביכה. בונוס: בתי-ספר דרשו מהורים לרשום אליה את ילדיהם, אבל היא לא הוגשה לתהליך אישור אבטחה של משרד החינוך - ובכלל פותחה עבור מכרז של משרד הבריאות לבתי אבות, כשהספק מקבל תשלום פר בדיקה. הפרק המלא:

לפני כשבוע שלח בית-הספר של הבת שלי הודעה הדורשת מההורים להירשם למערכת קורונה חדשה בשם "מגן חינוך". להודעה צורף לינק לטופס שבו נדרשים ההורים למלא שלל פרטים אישיים אודותיהם ואודות בתם או בנם הקטינים.

הדומיין שהוזכר בהודעה היה reg.ecovid19.co.il, לא דומיין ממשלתי רשמי שהייתם מצפים שיהיה בשימוש אפליקציה רשמית של משרד החינוך. בראשו מתנוסס לוגו של חברה מסחרית בשם "טרגט מרקט" מקבוצת אמן מערכות, שעוסקת בכלל בפרסום וארגון כנסים, כמו למשל "כנס ישראל היום" עם בנימין נתניהו, פרויקט "לא לדאוגוסט" של מירי רגב, ושאפילו זכתה להתייחסות בדיוני ועדות הכנסת, יחד עם פרויקטים כגון כנס סייבר בשנת 2018, מרתון ירושלים, טקס המשואות הממלכתי לשנת 2020, ועוד.

דף הבית של מערכת מגן קורונה
דף הבית של מערכת מגן קורונה

גיגול שטחי העלה כמה קישורים רשמיים לתכנית באתרי משרד החינוך, כמו זה וזה, עם סרטון שמבטיח שהבדיקות בתכנית יתבצעו עם "מטוש דק, רך ונעים".

***

אימייל להורים על מערכת מגן קורונה
אימייל להורים על מערכת מגן קורונה

הפניה עצמה הרימה מספר דגלים אדומים, וכמה מההורים בבית הספר החליטו לסרב, בין השאר מתוך חוסר אמון במערכת. חוסר האמון הזה זכה לגושפנקה משמעותית כאשר איש QA בשם איליה קנטרמן דיווח ל🎵מערך הסייבר🎶 שהמערכת חושפת לכל אדם החמוש בדפדפן את כל פרטי ה-API.

רשימת ה-API של מערכת מגן קורונה
רשימת ה-API של מערכת מגן קורונה

API הוא ממשק שמקל על מפתחים להתממשק למערכת: הוא אומר להם אילו פרמטרים צריך לשלוח (קלט), ומה הם צריכים לצפות לקבל בחזרה (פלט). קחו, למשל, את הטופס שבו אמורים ההורים למלא את פרטי ילדיהם. המפתחים יכולים לדעת בדיוק איזה מידע עליהם לשלוח על מנת להכניס את המידע למסד הנתונים של החברה. אבל בזכות שקיפות ה-API, כולם יכולים לדעת את זה ולחטט שם, כולל חוקרי אבטחה מונעי מאפים. וזה בדיוק מה שעשינו.

ברפרוף על התיעוד גילינו שכל מה שצריך כדי לקבל את רשימת ה"מוסדות" (בתי הספר, מקומות העבודה, ואפילו בתי-הכלא), יש לכוון את כלי הפריצה המשוכלל דפדפן לכתובת המסתיימת ב"getMosadList", ורשימה מלאה של מעל 5000 מהם מוצגת על המסך:

מידע על מוסדות הרשומים במערכת מגן קורונה
מידע על מוסדות הרשומים במערכת מגן קורונה

קריאות דומות איפשרו גישה לרשימות אחרות, כל זה בלי צורך בהזדהות ובאמצעות דפדפן בלבד. כל עוד המידע היה "כללי" בלבד, אפשר היה לפטור את העניין באנחה: אנחנו רואים דברים חמורים מזה בכל הימים שמתחילים ברי"ש, שי"ן או חי"ת. אך למרבה האימה, זה לא נגמר שם.

שימו עצמכם רגע בנעלי מתכנני המערכת שזכתה במכרז הממשלתי לנהל את המידע הרפואי והאישי של מאות אלפי תלמידים בישראל. האם לרגע אחד הייתם אומרים "אבטחה? מי צריך את זה בכלל?". ברצינות – יש איזשהו מצב בעולם שאתם מעורבים בפרויקט כזה ומחליטים לאפשר גישה למידע המוכמן בו בלי לקחת בחשבון את אבטחת המידע? בניגוד לכל אינטואיציה והגיון בריא, אם תשאלו את כל מי שהיה מעורב בפרויקט הממשלתי הזה, התשובה לשאלה הזו היא "כן", או במילותיו האלמותיות של אהוד מנור: "אם זו אבטחה, אז למה היא לא טובה?"

וכך בדיוק היה: בעזרת דפדפן בלבד אפשר היה לקרוא לנקודת גישה במערכת שפשוט הקיאה החוצה את פרטי כל התלמידים, ההורים, מצבם הרפואי, ואפילו חיווי אם הם סירבו להיבדק. עיניכם הרואות: מספרי זהות, שמות מלאים, שכבה וכיתה, שמות מלאים של ההורים (פלורליסטי מצידם שלפחות קראו להם הורהאחד והורהשתיים), ומצב רפואי – האם בריא/ה, האם מחוסן/ת, והאם סרב/ה להבדק. ומה לגבי הסכמת ההורים לשמירת פרטי ילדיהם הקטינים? החיווי לכך מופיע לכאורה כפרמטר בשם parentPermission, שמעלה את התהייה: אם המידע מופיע במערכת, משתמע שההורים נתנו הסכמה, ולכן אין צורך להציג את הפרמטר הזה; ואם המידע מופיע במערכת למרות שההורים לא נתנו הסכמה – בשביל מה בכלל שאלו אותם?

הזוי ככל שזה נשמע, ככה בחרו בא.מ.ן מערכות ליישם את הפתרון הזה, וככה יצא כל המידע הרפואי והאישי של תועפות קטינים ישראלים למרשתת, במהלך שמוציא שם רע גם לקולחוז האבטחה הלקויה הידוע כ"מדינת ישראל".

פרטים אישיים שהופקרו במערכת מגן קורונה
פרטים אישיים שהופקרו במערכת מגן קורונה

כשראינו את חומרת המצב, מיד פנינו למנהל אבטחת המידע במשרד החינוך, שאול בן שושן, שהופתע והזדעזע מעצם קיומה של היישומון הזה, שלדבריו לא עבר שום תהליך של אישור אבטחה מול משרד החינוך, ושלו היה מוגש לבדיקה כזו – לא היה עולה לאוויר במצבו, ובטח ובטח שלא היה מתפרסם להורים כמיזם רשמי של משרד החינוך.

אבל כאן רק מתחילה הסאגה: מסתבר שהמערכת הזו בכלל נולדה בחטא, ללא מכרז מסודר, ולמעשה, על פי תנאי המכרז, היא בכלל לא אמורה לפעול בבתי ספר. המכרז שהוציא משרד הבריאות (ולא משרד החינוך) הוא בכלל תחת תכנית "מגן אבות ואמהות" לבתי אבות, והחברה מקבלת מהמדינה סכום של כך וכך שקלים על כל בדיקה שהיא מבצעת. 

ההחלטה הזו מעלה שורה של שאלות קשות: מדוע ואיפה הוחלט להרחיב את המכרז גם לבתי ספר? באיזו סמכות? איפה תנאי המכרז החדש? איפה הגדרות המערכת המחשובית הסופר-רגישה, שאוספת מידע אישי ורפואי רגיש מקטינים וגם מהוריהם? איפה ההרשאה החוקית לשמור מידע על קטינים ללא אישור הוריהם, אותו פרמטר parentPermission שראינו במערכת?

סעיף הקנס במכרז מערכת מגן אבות ואמהות
סעיף הקנס במכרז מערכת מגן אבות ואמהות

עיון מעמיק יותר במכרז מגלה שיש התייחסות לענייני אבטחת המידע, ואפילו קנסות על הפרתם. אי עמידה בדרישות אבטחת המידע – 500 ש"ח למקרה. בהתחשב בכך שמספר ה"מקרים" המתועד להפרות האלה נמדד באלפים רבים – הנזק לחברה יכול להימדד בתועפות רבות של שקלים שיכולים לחזור אחר כבוד לקופת המדינה, ולעזור לא.מ.ן מערכות לחשב מסלול מחדש בנושא אבטחת מידע.

האם זה יקרה? ובכן, מהצצה בחלון, שמצביעה על כך שחזירים טרם למדו לעופף, התשובה היא ככל הנראה "לא".

עבדנו על הסיפור הזה יחד עם עודד ירון מקפטן אינטרנט. ממשרד החינוך נמסר לו בתגובה: "מדובר בחברה שעובדת עם משרד הבריאות ועל כן יש לפנות אליהם לקבלת תגובה".

זו מערכת שמופעלת בבתי ספר מטעם משרד החינוך – אין לכם שום חלק בזה?

"לא".

תגובת טרגט מרקט מקבוצת אמן מערכות לא התקבלה עד מועד הפרסום.

ההיבט המעודד בסיפור העצוב הזה הוא האקטיביזם ההורי. בבית-הספר של בתי, הרוב המוחלט של ההורים סרב לשתף פעולה עם המיזם עוד לפני שנודע שהוא דלף את פרטי כל התלמידים שנרשמו אליו, ועל כך יש לברך – אנשים מתחילים להפעיל שיקול דעת ולהתנגד ליוזמות הזויות, יקרות, ומופרכות כמו זו, והבקשה להעביר מידע אישי רפואי ופרטי לחברה מסחרית בדומיין שאינו ממשלתי פתאום נראה להם לא תקין. חוסר האמון הזה עשוי להפוך את הקערה על פיה, ולאלץ גופים שמבקשים מידע אודותינו לזכות באמון שלנו לפני שנסכים לשתף איתם פעולה. אז הדרך עוד ארוכה – אבל הכיוון מסתמן כחיובי.

ההיבט המייאש בסיפור, מלבד עצם הפירצה והפקרת המידע, היא ששוב אנחנו, מגישי פודקאסט פופולרי וצנוע על האקרים ומאפים, נאלצים להיות הילד עם האצבע בסכר שקופץ על הרימון צועק "המלך הוא עירום" בשלל קלישאות ססגוני, ולהצביע על כשלים סופר-חמורים בהתנהלות ממשלתית בתחום אבטחת המידע – כי פשוט אין שום מבוגר אחראי במדינה שתפקידו להגן עלינו, האזרחים.

זה שוב הזמן לשאול שאלות קשות לגבי תפקיד הגופים האמונים על כך במדינה ועל התקציבים ההזויים המופנים אליהם אם זה השירות שאנחנו מקבלים מהם. ואולי זה גם הזמן להכניס את אבטחת המידע קצת יותר ברצינות למכרזים שמוציאה המדינה, ולא להסתפק בהצהרת החברות שטוענות שהן לוקחות את זה מאוד ברצינות. כי מי שנדפק פעם אחת, כבר לא יכול להיגמל מזה.

נעם רותם הוא חוקר סייבראבטחה. הוא מגיש יחד עם עידו קינן את סייברסייבר, פודקאסט פופולרי על האקרים ומאפים