תגית: פירצה

טרור? אנטישמיות? שירביט היא כולה עוד פריצה ברשת הישראלית המחוררת

בימים האחרונים נחשפת פעולת סחיטה מעניינת של חברת הביטוח "שירביט" על ידי קבוצת האקרים המכנה את עצמה "בלאק שאדו". מכיוון שהמון מומחים בעיני עצמם החליטו לשתף את הציבור בדעתם, חשבתי לעצמי – היי, גם אני מומחה בעיני עצמי, אולי גם אני אשתף את הציבור בדעתי! אז הנה השנקל שלי על מה שמתרחש, שאולי יתנגש מעט עם חלק מהתזות שנזרקות באוויר על ידי אחרים.

זה לא טרור

אז אמ;לק: תפסיקו לקרוא לכל דבר "טרור", זה מביך. בתור אדם שמכיר בצורה אינטימית עד כדי חוסר נוחות את מצב האבטחה ברשת הישראלית, המידע שנחשף על ידי "הצללים השחור" הוא לא יוצא דופן או רגיש במיוחד. לו ארגון טרור היה רוצה לעשות "פיגוע תודעתי" כמו שאוהבים כל מיני יוצאי ארגונים אפלים לכנות את זה, אני יכול לחשוב על לפחות עשר מטרות טובות יותר, פתוחות יותר, קלות יותר, ועם השלכות קשות יותר על החברה הישראלית, מאשר חברת ביטוח אחת. כשכל תעשיית הסייבר הישראלית מבוססת על יוצאי ארגונים ממשלתיים אפלים כאלה, כל נפיחה מצטיירת כמו פיגוע טרנס-גלקטי, כי זה פשוט הדבר היחיד שהם מכירים. 

בשנים האחרונות מצאתי אני, יחד עם כמה מידידי הטובים, מאות מערכות ישראליות פתוחות, חלקן ממשלתיות,  חלקן שייכות לגופים גדולים משמעותית מ"שירביט", ועדיין הארץ שקטה. למה? כי פשוט סיפרנו להם על הבעיה כדי שיוכלו להמשיך ולטאטא אותה מתחת לשטיח. *כל* ההבדל עכשיו הוא שמי שמצא את המערכת ניחן בחוש עסקי מפותח יותר ובמקום לקוות לאיזה בורקס כאות תודה מהחברות הפרוצות, שלא מגיע אף פעם, אגב, החליטו לנקוט עמדה נחושה יותר ולדרוש תשלום עבור הרשלנות הזו. זה הכל.

סאטושי הם לא יראו ממני 🖼️ פרסומת של שירביט

כאשר מצאנו את עצמנו במערכות של חברות גדולות יותר מ"שירביט" יכולנו לעשות בדיוק את אותו הדבר, אבל בחרנו לדווח. כאשר מצאנו את עצמו במערכת של שירות בתי הסוהר עם מידע אישי ורגיש על אלפי עובדים ביטחוניים, יכול לעשות את אותו הדבר, אבל בחרנו לדווח. כאשר מצאנו את עצמנו במערכות רפואיות רגישות מאוד – בחרנו לדווח. כאשר מצאנו את עצמו במערכות של משרדי ממשלה – בחרנו לדווח. כאשר מצאנו את עצמו במערכות פיננסיות מכובדות – בחרנו לדווח. 

ואלה באמת לא פרצות שדורשות תחכום מיוחד, אלא היכרות בסיסית עם דרכי הפעולה של אנשי פיתוח ותפעול עצלנים. "יצאה גרסה חדשה? אבל היום יום שלישי וסוף השבוע ממש מתקרב, נדחה את העדכון למתישהו אחר", "להקליד סיסמה מסובכת כל פעם שאני רוצה להיכנס למערכת? מה אני, איכר? 1234 זה קל ונעים", וכן הלאה. במקרה של "שירביט" רשימת הכשלים ארוכה ומביכה, החל משרת VPN עם חולשות ידועות בנות כשנתיים שלא עודכן כי תירוצים, גרסת שרת דוא"ל לא מעודכנת, המשך בטביעת רשת גדולה משמעותית מהנדרש, כולל חשיפה של שרתי פיתוח ובדיקות לרשת הציבורית, ניהול גיבויים לא נכון, והרשימה עוד ארוכה. הם לא יוצאי דופן, הם פשוט נתפסו הפעם עם הסנדלים על האוזניים, כי סייברסייבר זו בעיה רק כשהיא הופכת לבעיה. עד אז תנו לגאון הצעיר משמונה גרביים משכורת מנופחת כי הוא זורק ביטויים אניגמטיים כמו "פרוקסי" לאוויר, ואף אחד לא רוצה להתווכח כדי לא להצטייר כלא מבין בסייברסייבר, חלילה.

משא ומתן בקולחוז

וזה מוביל אותנו לעניין הבא: ניהול המו"מ עם הפורצים. קהילת הסייברסייבר רוחשת ובוטשת עם שלל דעות אם צריך לנהל מו"מ או לא צריך לנהל מו"מ כאילו אנחנו בקולחוז, וכאילו מדובר באירוע בודד שיש להסכים על דרך הטיפול בו לטובת הכלל. זו אכן ראיית עולם קסומה ומכובדת, אך למרבה הצער היא לא מאוד מחוברת למציאות. המקרה הזה הוא מקרה זניח יחסית (עם כל הכבוד לעוסקים בדבר, ויש כבוד, לחלקם). הפורצים יודעים את זה, ולכן לא מתכופפים סנטימטר.

העניין כאן הוא לא "שירביט", אלא הארגון הבא בתור שרואה את הסצנה המביכה הזו ומצקצק. כשתיגמר הסאגה הזו עם המידע של כולנו בחוץ ועם השלכות קשות על המשך קיומה של חברת הביטוח הישראלית, מנהל הארגון הבא בתור (שכבר מוכן במגירה) ישלם כמו כבש מנומס כי הוא לא רוצה להיות במצב של "שירביט". ככה מנהלים מודל כלכלי איתן, והאמירות המגוחכות של "זה טרור כי הם לא רוצים באמת כסף" מצביעות על חוסר הבנה בסיסי מאוד של התעשייה הזו, ולמרבה הצער והאימה – אלה האנשים שמקבלים כסף, והרבה ממנו, כדי לנהל אירועים מסוג זה.

וגם לא התקנת עדכוני אבטחה 🖼️ פרסומת של שירביט
וגם לא התקנת עדכוני אבטחה 🖼️ פרסומת של שירביט

אירוע הסחיטה הבא כבר מוכן. זה לא טרור, וזו לא עוגת בננות, זו סחיטה ישנה וטובה. עושה רושם שהפריצה ל"שירביט" החלה כבר לפני מספר חודשים, ונכון להניח שזה לא רק שם. הדרך בה מתנהלים הסוחטים היא בדיוק הדרך בה הם צריכים להתנהל בהתאם למודל שאנחנו מכירים היטב ממדינות אחרות.

העובדה שבארץ עדיין לא היה אירוע ציבורי בקנה מידה כזה היא קוריוז, ועדיין אין בו שום דבר מיוחד לעומת עשרות ומאות מקרים דומים ברחבי העולם. יש פירצה, אם בשל רשלנות של הארגון הנפרץ או בשל מיומנות מיוחדת של הארגון הפורץ, ומכאן הדברים מתנהלים. אם הפורצים יתכופפו – הם מאותתים שיש פה ברירה. אם לא יתכופפו – אולי לא יקבלו כסף הפעם, אבל הפעם הבאה תהיה קלה יותר משמעותית. זו אסטרטגיה מוכרת, וניסיון לתלות עליה תיאוריות מופרכות שמתאימות לראיית העולם הביטחונית ממנה באים רבים מהמומחים הישראלים – מיותרת.

אז מה צריך לעשות

וכאן אנחנו מגיעים לשאלת מיליון הדולר, שכמו כל דבר מתחלקת לכמה חלקים: מדיניות, מדיניות, ומדיניות.

ראשית, יש להכיר בכך שלא מדובר באירוע בודד, וודאי וודאי לא באירוע חריג. כשמבינים את זה, יש לעצור רגע, ולהניח תשתית לאומית לטיפול במקרים כאלה. רק השנה *דווחו* יותר ממאתיים אירועי כופרה בישראל, וסביר להניח שבפועל היו הרבה יותר. אז נהדר ש"מערך הסייבר" מוציאים עלונים שמטרתם לחנך את הציבור (ברצינות, זה חשוב), אבל חסר פה נדבך משמעותי – והוא מדיניות מו"מ עם סחטנות כזו.

קל להשליך את ההחלטה על המנכ"ל האומלל של ארגון שכל המידע שלו נמצא בידיים של סחטנים, אבל זה רק יעודד מתקפות נוספות. חוק האוסר תשלום כופר, למשל, יניח תשתית אחרת למשא ומתן, ואולי ישכנע פורצים להתמקד במדינות אחרות, שם קל יותר להוציא כספים. המחיר לא יהיה פשוט, אבל שוב – מי שרוצה את המידע שלנו – יקח אותו, זה באמת לא מסובך. מי שרוצה לעשות ממנו כסף בדרכים נכלוליות – זה כבר סיפור אחר, ובזה אפשר לטפל.

באג באתר הסלולרי של שירביט 🖼️ פרסומת של שירביט
באג באתר הסלולרי של שירביט 🖼️ פרסומת של שירביט

דבר נוסף שמומלץ מאוד לכל ארגון לעשות – הוא להגדיר מדיניות ניהול אירועים כאלה. ארגון שיש לו תוכנית מגירה למה לעשות ביום שמתקבלת דרישה כזו – לא ייתפס עם חותלות ורודות ושירים של "טקטרוניקס" ברקע. תכנית כזו תקיף גיבויים (ושיוריות בכלל), עדכון גרסאות, בדיקות חדירה רבעוניות לכל הפחות, קווי מתאר לניהול מו"מ, ועוד רשימה ארוכה של דברים שיש לעשות כדי להיות מוכנים ליום שבו מתקבלת הודעה כזו. זה לא דבר יקר, אבל זה דבר נחוץ, וזה תהליך שחייב להיות מובל על ידי המנכ"ל ושחשיבותו תהיה ברורה לכל עובדי החברה.

אגב, כחלק ממדיניות ארגונית כזו אפשר להקים גם תכניות "באונטי" שיאפשרו לחוקרי אבטחה מנומסים לדווח על פרצות ולקבל תמורתן כמה שקלים. זה עובד בכל העולם, ואין שום סיבה שזה לא יעבוד גם אצלנו. כרגע אני מודע לתכנית באונטי רק בחברה ישראלית אחת, וזה חבל.

דבר אחרון

יחד עם ידידי אנחנו נתקלים בשלל תגובות מהארגונים להם אנחנו מאסגרים את הפרצות שאנחנו מגלים, החל מהתעלמות טוטאלית (וסגירה של החור בשקט, כאילו לא היה שם מעולם) ועד איומים בתביעות, במשטרה, ובעירוב שב"כ שיקח אותנו למרתפיו. זו לא הדרך, כי אם ככה מתייחסים לאנשים עם כוונות טובות, אין פלא שבסוף באים צללים שחורים.

 אחותי, בטלי גם את כרטיס האשראי שלך 🖼️ פרסומת של שירביט
בטלי גם את כרטיס האשראי שלך 🖼️ פרסומת של שירביט

בתקופה האחרונה, בעקבות מספר מקרים מאכזבים מאוד בטיפול הלקוי מצד הארגון הדולף וביחס לו זכיתי, פשוט הפסקתי לדווח כמעט לחלוטין, למרות שהרשימות עדיין ארוכות מאוד. בעקבות דליפות מידע משמעותיות מאוד כמו זו של מערכת ה"אלקטור" – שלא קרה איתן כלום – הבנתי שאין פה באמת רצון לתקן, אלא יש בעיקר רצון לטאטא את הבעיות מתחת לשטיח. הפצעתם של "הצללים השחורים" היא פועל יוצא של המדיניות הזו, כי כאמור – מה שלא לומדים בכח, לומדים בהרבה יותר כח.

ישראל לא ממציאה פה כלום, ופרט ללצווח "טרור" או "אנטישמיות" בכל פעם שקורה פה משהו לא נעים שקורה בכל יום בכל מקום אחר בעולם, זה מעבר למביך. בראייה מפוכחת יש להודות שהעובדה שאירוע ציבורי כזה קורה רק עכשיו ולא קודם היא ברכה, ושצריך לצפות לעוד הרבה כאלה. כאמור, מהיכרות אינטימית עם הרשת הישראלית – ארגון פשיעה עם מספיק עזוז יכול לעשות פה מיליארדים, והפוקוס שמקבל האירוע ב"שירביט" רק יקדם את הנושא. לכשעצמי, אני שוקל ברצינות השקעה בתעשיית הפופקורן, כי הולך להיות מעניין מאוד.

הודעת ההשבתה באתר שירביט

הכופר של אובר: מה קורה כשבאג באונטי משמש לתשלום דמי שתיקה?

באג באונטי – bug bounty במקור – הן תוכניות שבהן ארגון מציע להאקרים למצוא אצלו פירצות אבטחה, לאסגרן בצורה אתית ואחראית ולקבל פרס, בדרך כלל כספי. הדבר נועד למסד את היחסים בין ההאקרים לארגונים, ולאפשר להם לעבוד יחד בלי חשש לפריצות והדלפת מידע מצד ההאקרים ולהליכים משפטיים מצד הארגונים. אחד הארגונים שמפעילים תוכנית באונטי הוא אובר, ששילמו לצמד האקרים 100 אלף דולר על גילוי פירצת אבטחה. זה מה שהם רוצים שנחשוב, בכל אופן.

אובר, פלטפורמת התיווך בין נהגי מוניות ונהגים פרטיים לבין נוסעים, נפלה קורבן לפריצה בשנת 2014, כשהאקרים מצאו את המפתחות לחשבון ה-AWS (שירותי רשת של אמזון) של אובר, וגנבו משם פרטים על 50 אלף נהגים. במרץ 2016 השיקו בחברה תוכנית באג באונטי.

שמונה חודשים לאחר השקת הבאונטי קיבל סמנכ”ל האבטחה של אובר דאז, ג’ו סאליבן, אימייל מהאקר שהזדהה בשם ג’ון דאוז בכתובת johndoughs@protonmail.com בשירות האימייל המוצפן והמאובטח פרוטון מייל. מצאתי פירצת אבטחה חמורה אצלכם, סיפר "דאוז", וגם עשיתי דאמפ של הדאטהבייס שלכם ומידע נוסף. בדיקה של צוות אבטחה של אובר העלתה כי ההאקרים השתמשו בפרטי גישה גנובים לגשת לקוד המקור של אובר בגיטהאב, שם מצאו פרטי גישה של דלי AWS והשתמשו בהם להוריד את המידע על לקוחות ונהגי אובר.

סאליבן המבוהל, שכבר היה עמוק בתוך חקירה של ה-FTC (רשות הסחר הפדרלית) על הפריצה מ-2014, מיהר לסמס למייסד ומנכ"ל אובר, טראוויס קלניק, שהוא צריך לדבר איתו על משהו רגיש. השניים קיימו מספר שיחות טלפון, ואחריהן קלניק כתב לו:

צריך להיות בטוחים מה יש לו [להאקר; ע”ק], רגישות/חשיפה של זה ו-ודאות שהוא באמת יכול להתייחס לזה כמצב 🐜 באונטי […] המשאבים יכולים להיות גמישים לצורך סיום הסיפור אבל אנחנו צריכים לתעד זאת בקפדנות.

סמס ממנכ"ל אובר טראוויס קלניק אל סמנכ"ל האבטחה ג'ו סאליבן, 15.11.2016

בעצה אחת של קלניק וסאליבן, ההאקרים קיבלו הצעה לפרס באונטי שמן בגובה 100 אלף דולר, בתמורה למחיקת כל המידע שהורידו ושתיקתם הנצחית, מגובה בהסכם סודיות (NDA). כלומר: לא באונטי, אלא כופר, דמי שתיקה. ההאקרים חתמו בשמותיהם הבדויים, ואובר העבירו להם את הסכום בביטקוין. רק בינואר 2017 הצליחו אובר לגלות את זהותם הארצית של ההאקרים, ושלחו אליהם אנשי אבטחה, להחתים אותם שוב על מסמך הסודיות, הפעם בשמותיהם האמיתיים.

קלניק וסאליבן הסתירו את העיסקה מהנהלת החברה, מה-FTC ומ-57 מיליון המשתמשים ו-500 אלף הנהגים שמידע עליהם נחשף להאקרים – עבירה על החוק בכל מדינות ארה"ב, שמחייב לדווח לאנשים על דליפת מידע מזהה אישי (PII) אודותיהם.

קלניק, שכפי שאפשר לראות הוא לא אדם שראוי לעמוד בראש חברה, נאלץ להתפטר מתפקידו בעקבות שורת שערוריות ודיווחים על סביבת עבודה רעילה. דארה חוסרושאהי החליף אותו באוגוסט 2017, הדירקטוריון של אובר עלה על סיפור הפריצה וסאליבן עוד הספיק לשקר לחוסרושאהי בנושא. חודשיים לאחר מכן, המנכ"ל חוסרושהאי פרסם רשמית ופומבית את דבר הפריצה, התנצל בפני הציבור על "הכשלון שלנו" ופיטר את סמנכ"ל האבטחה סאליבן ועו"ד מהצוות שלו. בעקבות שורת תביעות של התובעים הכלליים של כל מדינות ארה"ב, אובר חתמו על הסכם פשרה ושילמו 148 מיליון דולר.

עם חשיפת הפרשה, סאליבן המפוטר עמד על גירסתו שהתשלום היה פרס באונטי לגיטימי. אולם בכתב האישום שהוגש נגדו השבוע בבית המשפט המחוזי של מחוז צפון קליפורניה, על שיבוש הליכי משפט ואי מניעת פשע, התובעים חולקים על הטענה הזאת. ומפרטים: ההאקרים אמרו שיש בידיהם מידע ודרשו תשלום של שש ספרות; סכום הפרס גבוה מכל אחד מעשרות פרסי הבאונטי שהחברה חילקה לאורך השנים, שממילא מוגבלים ל-10 אלפים דולר לפרס; הנהלת החברה (מלבד המנכ"ל קלניק) לא נחשפה לפרטי הפריצה ולהחלטה להתייחס אליה כבאונטי; ההאקרים נדרשו לחתום על הצהרה שקרית שלפיה לא השיגו ולא שמרו עותק של המידע על המשתמשים והנהגים; והם נדרשו לשמור על סודיות מוחלטת לגבי הפירצה, בניגוד למדיניות הרגילה של הבאג באונטי, שהתירה להאקרים לפרסם את הגילויים שלהם בתיאום עם החברה ואחרי שהפירצה נסגרה.

ג'ו סאליבן באתר אובר

ההאקרים של אובר המשיכו לסחיטת חברות נוספות על ידי פריצה וגניבת מידע. הם נתפסו, הועמדו לדין ובשנה שעברה הודו באשמה, וכעת ממתינים לגזר דינם. אבל הנזק שהם וסאליבן הסבו לאובר מתגמד לעומת הנזק שהם עלולים לגרום לכל הקונספט של באג באונטי, כך לפי משפטנים שהתראיינו לוויירד בנושא. אפילו האקרי כובע לבן בעלי אתיקה וכוונות טובות עלולים לעבור על החוק בזמן שהם מחפשים פירצות במסגרת באג באונטי. זו הסיבה שתוכניות באונטי מכילות סעיפים שבהם הארגון מעניק להאקרים חסינות. אבל לאור כתב האישום של סאליבן, מנהלי אבטחה עלולים להבין שכדי להסיר מעצמם אחריות פלילית, הם צריכים להקטין ראש ולהקריב את ההאקרים לרשויות האכיפה על כל טעות קטנה.

ההאקרים, מצדם, לא ירצו להסתכן בפלילים ויזנחו את תוכניות הבאונטי, כשהם מפנים את השטח להאקרי כובע שחור, שיחפשו פירצות אבטחה בלי להתחשב בכללים ובאתיקה, ויסחטו את הארגון: שלם או שנמכור את הפירצה למרבה במחיר.


התפרסם במקור בגירסה שונה בפינה "האחראי על האינטרנט" בגלצ:
🚗 הפריצה מ-2016 ממשיכה לרדוף את אובר 🛩️ הטיסמולטור של מיקרוסופט בונה מחדש את תל אביב 📻 האחראי על האינטרנט בגלצ 22.8.2020


אפשר את פרטי חשבון הבנק שלך? לא משנה, ניקח כבר מביטוח לאומי

היה זה ערב יום קיצי ושלו במפקדת סייברסייבר. השמש הטילה צללים ארוכים. נעםר נחר בשלווה על הערסל, מחבק שק של קמח. לוקאר היה עסוק במרדף אחרי אינספור צאצאיו. עידוק עבד כמובן (מישהו צריך לפרנס) ואני? אני חלמתי בהקיץ על ויסקי. לפתע השלווה הופרה בקול סירנה. אזעקת הסייברסייבר הופעלה! וההתרוצצות החלה. למה הופעלה אזעקת הסייבר? מכתב מאזרח בשם דני חזוב שגילה פרצה חמורה ושלח אותה אלי. מה הפירצה? פירצת אבטחה ביזיונית לחלוטין בביטוח לאומי או, איך שאנו בעולם הסייבר קוראים לה, יום חמישי. פרסמתי אותה הבוקר ב"הארץ".

הכירו את ממשק קבלת המענקים של ביטוח לאומי, המקום שבו כל אדם יכול לבדוק אם חשבונו בביטוח לאומי מעודכן, על מנת שיוכל לקבל את מענק הקורונה המיוחד. אם החשבון שלו לא מעודכן, אותו אזרח יכול לעדכן את פרטיו.

דף עדכון פרטי חשבון בנק לקבלת מענק 🖼️ אתר המוסד לביטוח לאומי

מן הסתם, ממשק זה מוגן באמצעות זיהוי בשני אמצעים. האמצעי הראשון הוא מספר תעודת זהות. האמצעי השני הוא תאריך ההנפקה. תאריך ההנפקה הוא נתון שיותר ויותר רשויות עושות בו שימוש והוא נתון שמוטבע על תעודת הזהות. כאשר האזרח צריך להזדהות, הוא מקליד את שני הנתונים האלו, והאתר מבצע הצלבה ביניהם לפי הנתונים ממשרד הפנים. מספר הזיהוי תואם לתאריך ההנפקה כפי שמופיע במרשם האוכלוסין? כנראה שהמזדהה הוא האזרח. זו גם הסיבה מדוע כל כך חשוב לא להפיץ את צילום תעודת הזהות שבו יש את תאריך ההנפקה לכל דיכפין. כי משתמשים בו לזיהוי בלא מעט מקומות. ובממשק של ביטוח לאומי האזרח נדרש להקליד את שני האמצעים האלו כיאה וכיאות. 

אך היתה בעיה אחת, ממש קטנה, קטנטנה – האתר של ביטוח לאומי לא בדק תאריך ההנפקה של התעודה. כלומר בדקו שהזנת את התאריך, אי אפשר היה להתקדם ללא הזנת תאריך, אבל התאריך לא הוצלב אל מול מספר תעודת הזהות. וכך, על מנת לקבל גישה לפרטים המוכמנים, כל מה שתוקף היה צריך לעשות זה להזין את מספר תעודת הזהות של המטרה ותאריך *כלשהו*. זה הכל. אם מספר חשבון הבנק מוזן במערכת, אני יכול לקבל גישה אליו. וזה? פתח לשעשועים רבים.

למרבה השמחה, היתה CAPTCHA מוטמעת במערכת. לרוע המזל, היא לא היתה מוטמעת מספיק טוב. מנגנון ההגנה של האתר (הנקרא WAF) חסם גישה של headless browsers לאתר, ומנע כרייה נוחה באמצעות שורת פקודה בלבד, אבל לא מנע מכורים אוטומטיים מבוססי דפדפנים לעבוד. לוקאר הכין סקריפט סלניום והפעיל אותו על תעודות הזהות של חברי סייברסייבר. אף מנגנון לא חסם אותו, אפילו שהוא עבד מאותו IP (אבל כן חסם כתובות IP מחו"ל, כי כידוע אין האקרים בישראל, ובוודאי שאין האקרים בחו"ל שיודעים להשתמש בכתובות IP ישראליות).

באופן תיאורטי, גם תוקף שעבד בסקיילים גבוהים היה יכול לשתות מאגר שלם בנחת. כמובן תוקף שתוקף מטרות ספציפיות, חוקר פרטי, סתם מטרידן או קריפ היה יכול לדעת עליכם את חשבון הבנק שלכם. מה אפשר לעשות עם חשבון הבנק שלכם? על כך בפרקים הבאים.

דיווחתי מייד למערך הסייבר וקיבלתי מענה תוך כעשרים דקות, כמיטב המסורת. מצד שני, מענה לא אומר שזה תוקן. רק בשבע בבוקר קיבלתי הודעה מדובר ביטוח לאומי שהעניין תוקן ואכן בבדיקה שערכתי עם מספר תעודת הזהות שלי ותאריך הנפקה שגוי, קיבלתי את ההודעה המיוחלת: "הנתונים שהוזנו אינם תואמים את הנתונים הקיימים בביטוח לאומי".

עכשיו אפשר לחזור לבטלה במפקדת סייברסייבר, לפחות עד הפעם הבאה.

"נערכו בדיקות חוסן ואבטחה כדי למנוע שימוש לרעה במידע"

תגובת המוסד לביטוח לאומי:

לפני כשבועיים בלבד, הוכרזה התכנית "מענק לכל אזרח" שרק אתמול אחר הצהריים החקיקה לגביה בכנסת הושלמה, דבר שהצריך פיתוחים מחשוביים והיערכות בזמן אפס. בביטוח הלאומי עובדים במתכונת חירום מאז חודש מרץ כדי לשלם למאות אלפי תושבים דמי אבטלה וכן את מענקי הקורונה בתוך ימים בודדים.
אתמול אחר הצהריים, לפני העלאת האתר הייעודי לרישום חשבונות הבנק לאוויר, נערכו בדיקות חוסן ואבטחה כדי למנוע שימוש לרעה במידע. זאת ועוד, לאחר הכנסת הפרטים על ידי האזרחים באתר, מתבצעות הצלבות ואימות נתונים בתוך המערכת.
מרגע שנחשפנו לתקלה היא טופלה באופן מיידי, הנגישות למידע נחסמה לחלוטין, נערכה בדיקה לגבי היקף ניצול הפירצה ובפועל לא נמצאה פעילות חריגה.

(צילום ראשי 🖼️ קובי גדעון, לע"ם)