תגית: פירצת אבטחה

⏲️ איזה שעון בן ח*&#[email protected]! 🏭 שעוני הנוכחות של רנעד שלשלו מידע על מיקום, שעות עבודה ובעיות רפואיות של אלפי עובדים במאות חברות

“אין לי כוח” התנשף עידוק, מזיע כולו. “מה קרה?” שאלתי אותו ממקום מרבצי על הפופים של מפקדת סייברסייבר. “למה אתה מזיז שקי מלח ממקום למקום?”

“כי מישהו צריך לשלם על השרתים”, סינן עידוק, “אז אני עובד במכרות המלח כדי שלכם יהיה כסף לאלכוהול יקר ומאפים טעימים. אני סובל הכל בשבילכם. מזל, נגמרה המשמרת”. ואז עידוק עשה משהו מאוד מוזר: הוא לקח כרטיס והצמיד אותו למכונה מרובעת, שצפצפה בעליזות.

“מה זה?”, שאלתי.

“זה שעון נוכחות, פרחח הייטק יקר שלי. ככה המעביד במכרות המלח יודע שסיימתי לעבוד וכך הוא יוכל להשליש לידי כמה מעות”. ענה עידוק וקרס על הפוף, מזהם אותם בזיעה מעורבת במלח.

שעון הנוכחות, אותו שריד קדמוני למכרות מלח ולמשרדים של המאה ה-20, נובע מדרישות החוק הישראלי ממעסיקים להחזיק תיעוד אמין של שעות העבודה של המועסקים. ברוב חברות ההייטק כבר לא משתמשים בשריד הארכיאולוגי, כיוון שאם אתה לא סומך על העובדים שלך שיעבדו בדיוק 8.75 שעות ביום, איך תוכל להפקיד בידיהם את סודות החברה שלך ומערכות של מיליונים? אבל באקלים הישראליאנה המקומי, שעון נוכחות הוא עדיין מראה נפוץ. אחרת איך המעביד ידע שעידוק לא מתבטל על הפופים במקום להעביר שק מלח מהמכרה אל המשאית?

פתאום נפתחה דלת המטבח, ריח מאפים נעימים התפשט בחלל האוויר ונעם רותם הגיח: “אם כבר העליתם את הנושא”, אמר תוך כדי לעיסת מאפה פציח, “הידעתם שיש מאות חברות ישראליות שמשתמשות במערכת חיצונית של חברת רנעד כדי לנטר את שעות העבודה של העובדים?”

לקוחות של רנעד 🖼️ ranad.co.il
לקוחות של רנעד 🖼️ ranad.co.il

“רגע”, אמרתי, “אז יש חברה ישראלית שיש לה גישה לנתונים של אלפי עובדים, כולל חברות מובילות ממש כמו מכרות מלח מגובשים בע”מ, כשהמידע הזה כולל גם את המיקום ושעות העבודה שלהם?”

“ברור” ענה נעם בחיוך עליז, “אבל אל דאגה! כתוב באתר החברה שעובדים בה 15 מפתחים והיא שמה ב’ראש מעייניה’ (מרכאות במקור) את נושא ההובלה בתחום הפיתוח!”

עמוד על אודות רנעד 🖼️ ranad.co.il
עמוד על אודות רנעד 🖼️ ranad.co.il

“אבל אין בלינקדאין אף מתכנת שמזוהה כעובד שם!”, זעקתי, “והאתר שלהם בכלל לא ב-https!”

אתר רנעד לא מאובטח 🖼️ ranad.co.il
אתר רנעד לא מאובטח 🖼️ ranad.co.il

“שום דבר לא יכול להשתבש פה”, פיזם נעם בעליצות בעודו מנקה פירורי פחמימות מזקנו באמצעות מברשת זקן מוזהבת.

“צריך להקליט עוד פרק?”, רטן עידוק בעייפות.

“תן לי להכין את כלי הפריצה שלי”, אמר נעם, והתחיל לסובב את הידית שטוענת את הגנרטור שמפעיל את הדפדפן.

ואכן, בסריקה מהירה התגלה שכל המכשירים והמערכות של הנוכחות עובדים מול שירות אינטרנט אחד. השירות הזה בעצם מנהל את כל מסדי הנתונים – המכשירים, האפליקציות או התוכנות השונות שולחות לו מידע והוא מכניס את המידע הזה למסד הנתונים שלו.

שירות לכל – *זה* שירות!

בואו נעשה הפסקת שירותים. שירותים הם חלק מהעולם האינטרנטי כבר המון שנים. אנו משתמשים בשירותים כל הזמן: כאשר אנו כותבים טוקבקים, כאשר אנו עושים “לייק”, כאשר אנו מסתכלים על תחזית מזג האוויר באתר החדשות. הכל מונע על ידי שירותים שנמצאים בשרתים שונים.

“שירות”, כפי שהוא נקרא בשפת המפתחים, הוא תוכנה קטנה שיושבת על שרת ויודעת לקבל תנועה. למשל, אשר אנו כותבים טוקבק באתר חדשות כלשהו, הטוקבק מגיע לשירות, שמקבל את הטקסט, בודק לאיזו כתבה הוא מיועד ורושם אותו. כאשר מנהל האתר רוצה למחוק טוקבק או לערוך אותו, הוא ייכנס לתוכנת הניהול של האתר, זו תשלח הודעה אל השירות, תבקש את רשימת הטוקבקים ותציג אותם למנהל. המנהל יוכל לנסות למחוק טוקבק – תוכנת הניהול שלו תשלח הודעה לשירות “מחק את הטוקבק הזה והזה”. השירות יבדוק אם המנהל אכן מורשה לבצע את הפעולה, ואם כן, יבצע אותה עבורו.

רשימת השירותים של רנעד 🖼️ ranad.co.il
רשימת השירותים של רנעד 🖼️ ranad.co.il

זה בדיוק מה שהיה באתר של חברת רנעד. בהבדל קטן אחד. ראשית, כל אפשרויות השירות – כלומר האפשרות לראות את כל רשימות העובדים, לבצע עדכונים, להוסיף הצהרות בריאות – הכל היה מוצג, בממשק גרפי נוח לצפייה, לכל מי שנכנס לכתבות אתר השירות באמצעות כלי הפריצה המשוכלל דפדפן.

ממשק קבלת מידע במערכת רנעד
ממשק קבלת מידע במערכת רנעד

זה כבר חמור. רשימת הפעולות שאדם יכול לעשות בשירות לא צריכה להיות גלויה באופן כזה. נכון, אבטחה באמצעות הסתרה זה לא רעיון טוב, אבל הפקרה באמצעות חשיפה זה גם לא המיקי הכי זוהר בכנסת.

בנוסף, כדי לא להקשות, המערכת לא דרשה כלל סיסמה או שם משתמש בפעולות השונות. כלומר, כל אחת שנכנסה לכתובת ההיא יכולה היתה לעבוד מולה. כך למשל, מי שנכנסה ל”קבל את כל העובדים” והכניסה את מספר החברה של רשת, קיבלה את רשימת העובדים המלאה של זכיינית הטלוויזיה. אבל לא רק את רשימת כל העובדים: מספרי העובד שלהם, מספרי הזהות שלהם, התפקיד שלהם וכו’. סקריפט קצר איפשר לכרות את המידע המעניין הזה, שהוא כמובן משהו שחברות ממש לא רוצות שיסתובב בחוץ.

כדי להוסיף ששון על שמחה, מסתבר שהאישורים הרפואיים ואישורים נוספים, שהוזנו למערכת על ידי עובדים שהעזו לחלות ולא להגיע למכרה המלח של המעביד, היו גלויים לחלוטין. וכשם שאפשר לקרוא, אפשר גם לכתוב. השירות הנפלא של חברת רנעד איפשר לבעל הדפדפן גם לשנות חלק מהנתונים.

אישור רפואי שדלף מהמערכת של רנעד

שירותים המכילים מידע חייבים לבדוק אם מי שמשתמש בהם מורשה לבצע פעולות, בין אם מדובר בקריאה או בכתיבה. אבל האמת היא שגם אם השירות של רנעד היה טורח לבקש סיסמה מפצחנים חמושים בדפדפנים, זה לא היה עוזר. השרת שבבסיסו נמצא השירות הציג את רשימת הקבצים שלו באופן גלוי לכל מי שנכנס ישירות לשם המתחם שלו. ומה היה ברשימת הקבצים? קוד המקור של השירות – דבר שאיפשר לכל תוקפת לבחון את הקוד ולנצל את הפגיעויות הרבות שיש בו. אבל למה צריך את זה, בעצם, כשהשירות שיש על הרשת נותן את המידע לכל מי שיש לו דפדפן?

ואיך מגיעים לכתובת השרת שמכיל את השירות? אם לשרת יש שם מתחם – גוגל תגיע אליו. אם השרת הוא בכתובת IP או שאפילו לא זמין לדפדפן – סורקי רשת יגיעו אליו – כמו שודאן החינמי. במקרה הזה, כתובת ממשק הניהול של רנעד היתה גלויה לכל באמצעות גוגל:

ממשק הניהול של רנעד עירום מול כל הגוגל

“שירות ללא תחרות”, אמר נעם, בעוד אני שוטף את העיניים באקונומיקה אחרי שראיתי חלק מהקוד של רנעד, ומציע: “אולי המסקנה היא להפסיק לעבוד במכרות מלח מודרניים שמחייבים אותך להשתמש בשעון נוכחות”. עידוק מחה: “למה לזרות מלח על הפצעים?”

נעם איסגר הפירצה למערך הסייבר. הם לא חרוצים כמו עידוק שלנו, ורק לאחר מספר ימים מישהו שם התחיל לטפל בעניין. אני מקווה שהוא זכר קודם כל להעביר כרטיס נוכחות.

החוק הראשון של סייברקלאב: אל תספר ללקוחות שנפרצת

אבל זה לא נגמר פה. למרבה הצער, דיווח פשוט לא הספיק, וההתגלגלות של העניין מראה איזה קושי עצום עומד בפני חוקרי אבטחה כשהם מגלים פירצה, אפילו אם היא קלה מאוד להסבר ולהדגמה.

נעםר איסגר את הפירצה למערך הסייבר ב-29 בדצמבר. מערך הסייבר הודיע לו שהעניין בטיפול ושהפירצה נסגרה לאחר כמה שעות, וזה מעולה, חוץ מהעובדה שזה לא נכון – הפירצה עדיין היתה פתוחה לכל אחד. נעםר פנה שוב למערך הסייבר – והם בתורם אמרו לו שזה עדיין בטיפול. הימים חלפו להם, הגענו לינואר 2021 והפירצה – שכאמור חושפת פרטים רגישים ונמצאת גם בידי צד שלישי (אלו שדיווחו לנו) – עדיין גלויה.

זה השלב שבו אני נכנסתי לתמונה. אני עיתונאי ב”הארץ”, והסיפור הזה יוצא בעיתון ככתבה. פניתי לחברת רנעד בבקשה לתגובה במייל. עבר יום ועוד יום ולא קיבלתי מענה. זה חריג. כשעיתונאי פונה אליך בבקשה לתגובה – אתה עונה. רנעד לא ענו. הרמתי טלפון, ענתה לי ״המזכירה של גרשון״, ביקשתי להעביר מיד בקשה לתגובה. היא אמרה שהיא תעביר את הפרטים. עבר יום ועוד יום. הפירצה פתוחה.

שעון נוכחות 🖼️ Hans Eiskonen
שעון נוכחות 🖼️ Hans Eiskonen

עברו שבועיים ללא תגובה, והתחלתי לפנות לקבל את תגובתם של כמה מהלקוחות של רנעד, ובהם ערוץ 13. אז הסתבר לי שרנעד לא טרחו כלל להודיע ללקוחות שלהם שהתגלתה אצלם פירצה. ערוץ 13, יאמר לזכותם המלאה, נחרדו ופעלו מיד לבירור העניין (“המערכת היתה בפיילוט למספר ימים, אולם משנודע לנו על כשל באבטחת המערכת, הפיילוט הופסק לאלתר”, נמסר מהם). גם לקוחות אחרים שפניתי אליהם הגיבו בצורה דומה. או-אז, רנעד נזכרו שיש להם פירצה דחופה שיש לפתור, הפעם בצורת בעיית תדמית וחשיפה לתביעות על רשלנות מקצועית, ועיתונאי שצריך להגיב לו. סוף סוף.

“השמצות לא מבוססות”

תגובת רנעד מה-18.1.2021, ההדגשות שלי:

רנעד טק מאז הקמתה בשנת 2003 עושה מאמצים עילאיים לשמור על נתוני לקוחותיה באופן המאובטח והמקצועי ביותר. בהתאם למידע שהועבר לנו על ידי רשות הסייבר, זיהוי חולשת האבטחה התאפשר אך ורק פנימית על ידי לקוח האפליקציה שהינו איש סייבר, ובאמצעות הרשאה שניתנה על ידנו, בלעדיה לא ניתן היה לחדור מלכתחילה לשרת. להבנתנו, הפרטים המדויקים של החולשה והמידע שהועבר ע”י הלקוח לרשות הסייבר, נותרו בידי רשות הסייבר בלבד. יודגש כי פעלנו לבצע חסימה של המערכות באופן מידי, ובהמשך אף הוצאנו בשבוע שעבר גרסאות חדשות של אפליקציות הנוכחות שלנו. לצורך כך אף שכרנו את שירותיה של אחת מחברות אבטחת המידע המובילות בישראל והיא מלווה אותנו משלב תיקון החולשה שזוהתה, ובהמשך בביצור מערכות המידע של החברה.

עוד נציין, כי צר לנו מאוד שכתב “הארץ” בחר לפנות ישירות לכמה מלקוחותינו ולהצהיר בפניהם מפורשות וללא כל ביסוס כאילו המידע של עובדיהם נמצא בידי גורם שלישי עלום כלשהו, כאשר היה ידוע לו שמדובר בלקוח האפליקציה המסוים שאיתר את החולשה, ואשר הועבר רק לרשות הסייבר. ביכולתן של פניות לא מבוססות כאלה להנחית מכה אנושה על מוניטין של חברה קטנה, לאחר שבנתה אותו בעמל רב במשך שנים. אנו מצפים שעיתון מכובד כ”הארץ” לא ינצל את הכוח התקשורתי העצום שברשותו כדי לפגוע בעסקים הקטנים במדינת ישראל, העסוקים במאמצי הישרדות יומיומיים, ולא ייתן יד להשמצות לא מבוססות.

אני חושב שהתגובה הזו מדברת בעד עצמה – במיוחד החלק של זיהוי חולשת האבטחה שמתאפשר אך ורק על ידי אנשי סייבר. מעכשיו בכל פעם שאני אחפש משהו בגוגל או אשתמש בכלי הפריצה המשוכלל דפדפן, אני אחוש עצמי מאוד מאוד סייבר, כרגיל.

מה אפשר לומר כשאין מה לומר? כלום. אבל בכל זאת – אולי כדאי להתייחס לעובדות: שורת החולשות שהתגלו במערכת היא ארוכה וכואבת. אין ולא יכול להיות שום תירוץ לקחת שלושה שבועות לסגור דליפה שאפשר וצריך לסגור בעשר דקות, גם במחיר של השבתת המערכת. יתרה מזאת – טענת החברה שלא ניתן היה לחדור לשרת בלי אישור של החברה היא פשוט לא נכונה. כל גולשת, מהבית, באמצעות כלי הפריצה המשוכלל דפדפן, יכולה היתה לגשת לכל המידע של כל לקוחות החברה. העובדה שרנעד טוענים אחרת מעלה מספר תהיות מדאיגות מאוד לגבי ההבנה שלהם את מהות הפירצה ואת המציאות, ולחלופין, לגבי בחירתם המודעת להתעלם מהמהות הזו ולתת גרסה של מציאות חליפית שתקטין את ממדי הביזיון. בפועל, מדובר בכשל אחד ארוך ומתמשך, החל מהפיתוח הבעייתי שהתעלם מכל אספקט של אבטחה וכלה בטיפול בגילוי הפרצה שנע בין גרסאות מנותקות מהמציאות לבין שבועות ארוכים שבהם המידע נשאר חשוף למרות שהחברה ומערך הסייבר יודעים שהוא חשוף. לא ככה מנהלים מערכת. לא ככה מנהלים חברה.

עדיין התמודדות טובה יותר מזו של רנעד 🖼️ הרולד לויד בסרט Safety Last!‎

_______________
רן בר-זיק הוא חבר מערכת סייברסייבר. בשעות הפנאי הוא מפתח בחברת Verizon Media, כותב אתר internet-israel.com ועיתונאי בקפטן אינטרנט של “הארץ”; למעסיקים שלו אין קשר למידע ולדעות שמובאים ומובעים כאן

תמונה ראשית: אישעון 🖼️ Gerd Altmann


בלעדי 🧮 חצי מיליון מסמכים של צה”ל, אינטל, תעשייה אווירית וכללית נחשפו בפירצה בתוכנת הנה”ח FINBOT

סייברסייבר ודה-מרקר חושפים: פירצה במערכת הנהלת החשבונות הדיגיטלית הישראלית FINBOT מבית “קו מנחה” חצי מיליון מסמכים רגישים לכל אדם בעל כלי הפריצה המשוכלל דפדפן 🔐 הפירצה תוקנה מספר שעות אחרי האסגרה 🐱‍💻 נעם רותם ועידו קינן

הסייברפריצה המדוברת לחברת הביטוח שירביט, שהתגלתה בחודש האחרון, מתגמדת לעומת פירצת האבטחה שאנחנו בסייברסייבר ואמיתי זיו מדה-מרקר חושפים היום. כחצי מיליון קבלות וחשבוניות, כולל של גורמים רגישים ובהם גופים בטחוניים, היו חשופות לרשת באמצעות כלי הפריצה המשוכלל דפדפן. הגורם לחשיפה הוא תוכנת הנהלת החשבונות הישראלית FINBOT, שסבלה מפירצת אבטחה מביכה. הפירצה תוקנה זמן קצר לאחר אסגרתנו.

פינבוט מציעה “הנהלת חשבונות חכמה ללא ניירת בעזרתה תוכלו להעניק ללקוח שירות יעיל ומתקדם, לדווח לרשויות בקלות ובמהירות ולחסוך בזמן ובכוח אדם”. לפי האתר הרשמי, האפליקציה “קולטת חשבוניות ומסמכים במייל, בצילום ואפילו בווטסאפ ומתרגמת אותם לפקודות יומן”. בין המשתמשים שפינבוט מתגאה בהם באתרה נמצאים מספר משרדי רו”ח, ובהם פירמת רואי החשבון BDO זיו האפט, המדורגת במקום ה-5 ברשימת משרדי רוה”ח המובילים בישראל 2020 לפי מדד Dun’s 100 ומדד BDi Code.

אז הסורק סרק והשוחט שחט, ועלה על חולשה ידועה וכואבת, עליה דיברנו כבר בפרק על מערכות לניהול קוד (“א גיט סייבער”, ע02פ29). החולשה, לאלו מכם שלמרבה היגון לא עוקבים באדיקות אחרי הפודקאסט הפופולרי סייברסייבר, חושפת גישה לקוד המקור של המערכת בשל תכנון לקוי של המבנה שלה. תיקיה חשופה בשם “נקודה גיט” (או נקודה SVN, תלוי במערכת ניהול הקוד) מאפשרת לכל אדם בעל דפדפן גישה למידע אודות הקוד, ולכל אדם בעל טרמינל גישה לקוד עצמו – הכל ללא סיסמאות וללא הגבלות גישה מסוג כלשהו.

בקוד עצמו, שללא ספק לא עבר שום ביקורת אבטחת מידע או בדיקת חדירה, ושום עין של איש מקצוע לא שזפה את זיו חולשותיו, היו שלל כשלים, שהחמור בהם היה הימצאותו של מפתח לסביבת הענן של אמזון. אין שום צידוק ושום תירוץ לשמור מפתח קבוע בקוד, בטח ובטח כשהקוד חשוף ברשת, אבל כדי להוסיף חטא על פשע – המפתח דנן היה מפתח של מנהל המערכת שנתן גישה מלאה לכל סביבת הענן של בעליו.

מפתח קורא לגנב

בואו נעצור רגע ונדבר על מפתחות והשימוש הנכון בהם.

בדרך כלל מפתחות משמשים לביצוע פעולה אחת, ובהשאלה – לפתוח חדר אחד בלבד. למשל: אם אני רוצה לשלוח הודעת סמס – יהיה לי מפתח שמוגבל לשליחת הודעות סמס בלבד. אם אני צריך גם לשמור קבצים בדלי – אוציא מפתח נוסף, או שבכלל אשקול עבודה עם roles (אבל זה כבר סיפור אחר). אם נמשיל את העניין לסביבה מציאותית יותר: יהיה לי מפתח אחד להיכנס לחדר הדואר על מנת לשלוח מכתב, ומפתח אחר לכלוב התיישים כדי להנות מהיאבקות קלה לפני השינה. 

מה שקרה כאן, וזה בדיוק מה שקרה גם במערכת “אלקטור” שחשפה את פרטיהם של כל בעלי זכות הבחירה בישראל (ע02פ16, ע02פ17), זה שמפעילי המערכת התעצלו, אם מבורות ואם מעצלנות, לייצר מפתח יעודי, ופשוט שמו את מפתח המאסטר שמאפשר גישה מלאה להכל.

מפתחות תלויים על קיר 🖼️ עידו קינן
מפתחות לא מוגנים 🖼️ עידו קינן

אתם מבינים לאן זה הולך, נכון?

במפתח הזה אפשר היה לפתוח את כל הדליים, לגשת לכל השרתים, להוריד את כל מסד הנתונים, לפתוח שרתים חדשים, לשלוח הודעות, לכרות ביטקוין, למחוק הכל (כולל הגיבויים) ולבקש כופר, ותכלס – כל מה שתמיד רציתם לעשות אצל הדודה והדוד.

וכאן אנחנו מגיעים למידע של פינבוט. זוכרים את שירביט? אז תחשבו בגדול יותר. מאות אלפי מסמכים של מיטב הגופים הישראלים, החל בצה”ל ובשלל יחידות משרד הביטחון, דרך התעשייה האווירית, קופת חולים כללית, אינטל, הטכניון, מפעלים שונים, וכלה בעשרות אלפי עסקים קטנים ובינוניים, בהם חוקרים פרטיים, מטפלים למיניהם, ותכלס כל סוג של חברה בע”מ או עוסק מורשה, והמסמכים שהם הוציאו ללקוחות שלהם – כולל פרטי הלקוחות עצמם. לא נעים.

(ראו עדכון בסוף הפוסט)

“טעות אנוש; המידע לא דלף”

פינבוט מופעלת על ידי חברת חשבים ה.פ.ס, שהוקמה ב-85′, וכיום היא “החברה הגדולה ביותר בישראל למידע עסקי בעולם הפיננסים ובעולם המשפט”, לפי אתרה הרשמי. חברת האם, קבוצת קו מנחה, סיימה את רכישת פינבוט במרץ 2020 בעיסקה של 2.5 מיליון שקל עבור 70% מהמניות.

קו מנחה, שנמצאת בשליטת יפעת, היא חברה בורסאית שנסחרת לפי שווי שוק של 139 מיליון שקל. לפי אתרה היא “קבוצת ה-SaaS המובילה בישראל בתחומי מידע ושירותים בשוק ההון והפיננסים, משפטים, כספים, הנהלת חשבונות, מיסוי ונדל”ן, וכן שירותי ענן לניהול קשרי לקוחות ומשרדי מייצגים”. 

בדוח השנתי של קו מנחה 2019 ציינה החברה את הסייברסייבר כגורם סיכון מקרו גבוה:

במקרה של פגיעה בחברה כתוצאה מאירוע סייבר כאמור, עלולה החברה לסבול מהשלכות שליליות מהותיות כגון שיבוש בפעילותה השוטפת של החברה או של לקוחות החברה להם מספקת החברה שירותים, שיבוש בפעילותן של מערכות המידע של החברה או השבתתן, פגיעה במוניטין החברה אשר עלולה להשפיע על אמונם של לקוחות החברה, וחשיפה לתביעות משפטיות.

החברה דיווחה עוד כי נערכה למתקפות סייבר שכאלו:

החברה משקיעה מאמצים ומשאבים (ארגוניים, כספיים, מקצועיים ומחשוביים) במטרה להגן על מערך טכנולוגיות המידע שלה ולמזער את סיכוני אבטחת המידע, לרבות: (א) ביצוע תכניות עבודה שנתיות להגנת סייבר; (ב) ביצוע סיקרי סיכונים ובדיקות חוסן; (ג) עריכת הדרכות תקופתיות, הן כלליות והן פרטניות; (ד) הטמעת כלים טכנולוגיים מתקדמים ליישום וביצוע נהלי ומדיניות אבטחת המידע. כמו כן, כחלק ממדיניות אבטחת המידע, החברה אימצה נהלים שונים המותאמים להתמודדות עם סיכונים אפשריים הגלומים במתקפות סייבר, כגון: סיווג וטיפול במידע, תגובה לאירוע אבטחת מידע, הנחיות לעובדים בנושא אבטחת מידע, בקרת גישה, גיבוים ושחזורים, בקרה על כניסת עובדים ומבקרים, טיפול במאגרי מידע, ניהול משתמשים וסיסמאות וכיו”ב. 

אסגרנו את הפירצה ל”קו מנחה” ולמערך הסייבר, והיא תוקנה תוך מספר שעות. יש לציין לטובה את תגובת הנהלת החברה שלקחה אחריות מלאה על העניין ופעלה בצורה חיובית וטובה לסגירת הפרצה במהירות וביעילות. טעויות קורות, זה דרכו של עולם, וארגון נשפט בדרך בה הוא מטפל בהן. במבחן הטיפול, “קו מנחה” מקבלת עשרה מאפים פריכים. סחתיין!

התייחסות לסיכוני סייברסייבר בדוח השנתי של קו מנחה

מנכ”ל קבוצת קו מנחה, שי מגל, מסר בתגובה:

בערב יום ראשון נמסר לנו ממערך הסייבר שאותרה חולשה באבטחת מערכת המידע של החברה. מיד עם העדכון ובסיוע של מי שאיתר אותה, נעם רותם, הפעילה החברה צוות תגובות פנימי (ERT) לטיפול בנושא ופעלה לסגירת החולשה על בסיס המידע שנאסף ועובד.

מתחקיר ראשוני עולה כי בעקבות מעבר שבוצע לאחרונה של מערכות החברה לשרתי הענן של אמזון, ובגלל טעות אנוש של אינטגרטור חיצוני שליווה את המעבר, נומרה חשיפה של קוד המקור. בשום שלב לא דלף מידע רגיש לגורמים שונים, פרט למידע שהגיע לידי דהמרקר. החברה מודה לכל הנוגעים בדבר על הצפת החולשה ומיישמת, באמצעות אנשיה וגורמי מקצוע המייעצים לה, בקרות מפצות נוספות למניעת הישנות המקרה.

עדכון בעקבות הפרסום (14:23)

לאחר פרסום הכתבה כאן ובדה-מרקר, בחברת קו מנחה ביקשו להבהיר שרק חלק מהמידע שדלף שייך להם.

על פי החברה, המידע שלה עוסק בלקוחות פרטיים וחברות קטנות. המידע שנחשף מהגופים הגדולים – צה”ל, ארגונים בטחוניים, הטכניון, קופ”ח כללית ואחרים – שייך לגוף פיתוחי שאיתו קו מנחה עבדו בעבר. המפתח של אותו גוף נשאר בקוד של פינבוט בשגגה, ובנוסף למידע של לקוחות פינבוט חשף גם מידע שאינו קשור לחברה בשום צורה.

ואנחנו שוב נציין לטובה את המקצועיות והרצינות שבהן קו מנחה מטפלים בתקרית.

📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל [email protected] 🗝️ הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר) 📞 הודעות קוליות שילחו אל הקו החם והפריך של סייברסייבר: 055-2-776766 💸 תרומות בפייבוקס למספר 055-2-776766

כך אפשר להאזין לסייברסייבר:                    


הפריצה לשירביט: טרור!!1! הפירצה”ל: *צרצרים*

בניגוד לפרשת שירביט, האייטם הזה לא יגיע לראש החדשות. לא תראו פולואפים מאמצעי תקשורת, דיונים באולפנים או לחץ והיסטריה.

מה קרה: כל גורם שהוא היה יכול להוריד בנחת את הרשימה של כל חיילי צה”ל – בסדיר, בקבע ובמילואים, עם מספרי הזהות שלהם ושמותיהם המלאים, וגם גישה לדיווחי הקורונה שלהם.אני מכיר לא מעט גופים שהיו משלמים על הפירצה הזאת כסף טוב. אפילו רק כדי להביך את ישראל.

למה דליפת המידע הזו, של מאות אלפי פרטי חיילים, לא תגיע לראש החדשות? כי מי שדיווח עליה זו לא קבוצת האקרים אלמונית בטלגרם, אלא אנחנו: נעם רותם, עודד ירון, עידוק ואני, עבדכם הנאמן. אז לא תראו פה מחול שדים תקשורתי של איומים של חשיפה או נזק תדמיתי. רק אייטם פשוט.

האייטם הזה לא שונה מהותית מאייטמים רבים אחרים שאני ואחרים כתבנו וחשפנו וזכו למעט התייחסות מהמדינה. הצבא לפחות תיקן במהירות. גופים אחרים לא עושים את זה. ומי שגילה, אגב, זה לא אני, זה חייל רגיל, שלא משרת ביחידה טכנולוגית כלל וחייב להיות אנונימי כי על גילויים כאלו נכנסים לכלא.

למצולמים אין קשר לכתבה, אבל אולי פרטיהם נחשפו בפירצה 🖼️ david_kochman cc-by-nc-nd

אני, נעם ואחרים שחושפים פירצות סייברסייבר יכולים לספר על יחס מזעזע שאנו מקבלים מהנחשפים. אולי עכשיו, בעקבות השיטסטורם של שירביט, היחס ישתנה. בפרשה הזו, מי שחשף אותה יכול להענש בשלילת חירות. וזה? זה טיפה מפוצץ לי את הראש. אגב, הוא ניסה לדווח, אבל אין במערכת הצבאית מקום לדווח.

כרגיל בפרצות האלו, מדובר בפרצה מטופשת, שמעידה על פיתוח בעייתי, וכל מפתח עם שעתיים נסיון היה עולה עליה. ממשק רגיל, עם API פתוח, על שרת לא צה”לי ולא מוגן. כל מה שתוקף היה צריך לעשות זה לרוץ עליו. איך סקריפט התקיפה נראה? כמו בתמונה המצורפת. אבל נעבור לסדר היום, כי מה כבר קרה?

קוד להורדת רשימת חיילי צה"ל מיישומון הצב"ר הצה"לי
קוד להורדת רשימת חיילי צה”ל מיישומון הצב”ר הצה”לי

מבקר המדינה לא יתערב, רשות הפרטיות תמשיך לנמנם, ועדות הכנסת לא יעסקו בנושא, מהדורות החדשות ידווחו על עוד נופש בדובאי. אתם תקבלו עוד סמס פישינג ולא תבינו למה. הכל טוב. ואני כבר מתחיל להתעייף מזה. יש המוני מקרים ואין מי שיטפל בזה. הכוח שלי והזמן שלי ושל אחרים מוגבל 😔


600 אלף ישראלים נחשפו: תמונות עירום, צ’טים מיניים, כרטיסי אשראי ועוד בפירצת אבטחה חמורה

הכל היה מוכן להשקת העונה השלישית של הפודקאסט הפופולרי סייברסייבר, כשקיבלנו דיווח בתיבת ההדלפות המשוכללת שלנו בדארק-ווב. המדווח.ת, סתיו, אמן.ית פיתוי הדאטהבייסים הזכור מחשיפת פירצת הליכוד-אלקטור, סיפר לנו על שורה של פרצות חמורות במספר פלטפורמות היכרויות ישראליות, החושפות פרטים אישיים מאוד של מעל 600,000 ישראלים וישראליות. פרסמנו את הסיפור במקביל עם עומר כביר בכלכליסט.

<חסות>



סייברסייבר מופק בחסות חברת הסייברסייבר SentinelOne, שמגייסת עובדים ל-50 משרות במשרדיה בתל אביב

לפרטים והגשת קורות חיים לסנטינל וואן התגלצ’ו אל s1.ai/tlv-jobs

<\חסות>
מסמכים צבאיים ותצלומי חיילים 🖼️ דליפת אתרי ההכרויות והזנות הגדולה
מסמכים צבאיים ותצלומי חיילים 🖼️ דליפת אתרי ההכרויות והזנות הגדולה

את הדברים של סתיו אנחנו מביאים כלשונם, כולל ההחלטה לא לאסגר את המידע לפלטפורמות הדולפות או למערך הסייבר הישראלי.

סייברסייבר: באופן טבעי לא נשאל מי את או אתה, זה יהיה בסדר אם נקרא לך “סתיו, אמן פיתוי הדטהבייסים”?
סתיו: “יותר טוב מהכינוי הנוכחי שלי ברשת, אני סבבה עם זה”.

סייברסייבר: על כמה מערכות מדובר בפרצה הנוכחית?
סתיו: “יש שם קרוב למאה אתרים שמופעלים על ידי 4-5 פלטפורמות שונות. חלק מהמפעילים ישראלים, חלק לא, אבל המשתמשים הם כמעט רק ישראלים”.

סייברסייבר: כמה משתמשים נחשפו?
סתיו: “במערכות של הזנות כמה עשרות אלפים, לא רחוק מ-80,000. סה”כ, כולל המערכות של ההיכרויות לצרכים רומנטיים יותר, מעל שש מאות אלף ישראלים”.

סייברסייבר: איזה מידע מצאת שם?
סתיו: “המון. מיילים, טלפונים, סיסמאות, בחלק מהמקרים גם תעודות זהות, כתובות פיזיות, העדפות מיניות, תמונות עירום, הודעות פרטיות בין משתמשים, בקשות לתשלום על מין, לפעמים הוכחות לתשלום, ראיתי צילומי מסך של תשלומי ארנונה שנעשו בתמורה להבטחה למין, צילומי יתרות בחשבונות בנק (כנראה כדי להראות יכולת כלכלית), מסמכים צבאיים (כולל מפות, סידורי פטרולים, משמרות, ועוד), צילומי תעודות זהות ודרכונים, במקרה מסוים אפילו מכתב המראה זכאות לירושה מאישה שנפטרה ימים ספורים לפני שצולם והועלה למערכת. ראיתי קטינים שמציעים את עצמם, והפניות שהם מקבלים, ובאמת כל דבר. אנשים הם משונים, חלקם דפוקים לגמרי”.

מו”מ על שירותי זנות 🖼️ דליפת אתרי ההכרויות והזנות הגדולה

סייברסייבר: כמה מסובכות הפרצות האלה?
סתיו: “כמו שראיתם במידע ששלחתי לכם – אלה פרצות של גן ילדים, וסביר מאוד להניח שהמידע הזה כבר בחוץ בידיים זרות. מה שמטריד הוא פוטנציאל הסחיטה של עובדי ממשלה הנשואים שמחפשים מין מזדמן (וכאלה יש המון); וכמובן הפגיעה שאנשים מקהילות סגורות כמו חרדים או ערבים שכנראה יהיו מוכנים לשלם לא מעט כדי להשאיר את המידע הזה חסוי”.

סייברסייבר: באסגרה שלך כתבת שאתה (או את) לא סומכים על הרשויות בישראל ולכן לא פניתם אליהם עם המידע, וכמו כן ביקשתם מאיתנו לא לאסגר. למה?
סתיו: “בדליפה של מערכת האלקטור היתה לי ציפיה לפעולה משמעותית של הרשויות. עד עכשיו לא קרה עם זה כלום, וכנראה גם לא יקרה. זו היתה נקודת שבר שאחריה הבנתי שאין בישראל באמת רצון או יכולת להגן על האזרחים ברשת. חלק ממפעילי המערכות כאן הם פושעים, מקדמים זנות, ומדיחים אנשים חלשים למכור את גופם. אחרים הם סתם רמאים שמפעילים פרופילים פיקטיביים כדי לפתות אנשים להוציא כסף, ולכן הפתרון גם לא נמצא בלעזור להם לאבטח את המערכות שלהם טוב יותר כדי שימשיכו לרמות אנשים נוספים”.

שיחת וואטסאפ בין חברים באתר 🖼️ דליפת אתרי ההכרויות והזנות הגדולה

סייברסייבר: מה את, או אתה, מתכננים לעשות עם המידע הזה? מידע מאוד מסוכן, מאוד נפיץ, יכול לגרום לנזקים אמיתיים.
סתיו: “עוד לא החלטתי. חלק מהמידע באמת מזעזע, בעיקר הקטינים, אבל גם סוגים אחרים של ניצול אנשים מוחלשים על ידי אנשים חסרי מצפון ומוסר. נראה איך יתפתח הסיפור הזה. הבעיה המרכזית כאן היא שיהיה קשה לפגוע בחלאות בלי שיעופו שבבים גם על הקורבנות שלהם. למשל רב ידוע מאזור הדרום, או עובד בבית חולים לחולי נפש המפתה קורבנות ליחסי מין אלימים, או שוטרים ואנשי ביטחון אחרים, שעל פי חלק מההודעות עשויים לנצל את מעמדם כדי לפגוע. מאוד יתכן שהמידע שלהם ימצא את עצמו בחוץ, אבל כאמור – נראה לאן יתפתח הסיפור”.

סייברסייבר: אם אנחנו כבר מדברים, עושה רושם שזה לא הרודיאו הראשון שלכם ברשת הישראלית. איך הייתם מגדירים את מצב האבטחה שלה?
סתיו: “די מזעזע. עם כל הרעש של מערך הסייבר, מערכות ממשלתיות ואזרחיות רבות פרוצות לחלוטין, ואלה לא מערכות זניחות. למשל, מצבת כח האדם הממשלתית הכוללת עובדים בארגונים שלא הייתם מצפים שיחשפו את רשימת העובדים שלהם – כמו המוסד והשי”ן בית (למשל 03XXXXXX4 או 5XXXXX42; אתם לא חייבים להזכיר את המספרים עצמם, זה רק אם מישהו יפקפק בדברים האלה), או מערכת ביקורת הגבולות, או בנק גדול מאוד שמאפשר גישה למידע של כל החשבונות בו, ואלה רק דוגמאות.

מתנות תמורת מין חברים באתר 🖼️ דליפת אתרי ההכרויות והזנות הגדולה

“התרבות של מכרזים תפורים לחברות שחושבות שאבטחת מידע זו בדיחה מאפשרת כניסה לפחות או יותר כל מערכת גדולה בישראל, ולא נראה שלמישהו באמת אכפת מזה. אז אם כמה מיליוני תמונות של ישראלים בתחתונים או בלעדיהם זה מה שיביא את השינוי – שיהיה”.

סייברסייבר: וואו, זה נשמע קיצוני אפילו יותר ממה שאנחנו מכירים, מה אתה או את מתכננים לעשות עם המידע הזה?
סתיו: “שום דבר. יש לי שום דבר נגד מדינת ישראל, אבל גם אין לי שום אינטרס לעזור לה, בטח אחרי הפיאסקו של אלקטור. אם היה חשוב להם – היו משנים את השיטה שיוצרת את החורים האלה. כל עוד כסף מגיע לפני אינטרסים של האזרחים – שום דבר לא ישתנה”.

חדש! הקו החם והפריך של סייברסייבר!

תגובות לפרק? דיווחים על פירצות ופריצות? מתכוני מאפים? שילחו הודעה קולית

🍕 055-2776766 🐱

(אפשר גם לשלוח תרומות בפייבוקס למספר הזה)

המידע בדליפה שסתיו חשף הוא אישי ופרטי מאוד, וכולל מליוני תמונות פרטיות, רבות מהן תמונות עירום של המון משתמשים, חלקם במדים ועל רקע מפות ומסמכים צבאיים/משטרתיים; כתובות האימייל שאיתן נרשמו – כולל כתובות בדומיינים של משרדי ממשלה, בתי משפט ואף בית המשפט העליון; עשרות מליוני הודעות פרטיות בין המכירים באתר, וכמובן כל פרטי המשתמשים, העדפותיהם הרומנטיות והמיניות, והיסטוריית הקשרים שלהם ברשת.

הרמת המסך הזו חושפת גם דרכי פעולה נכלוליות של מפעילי הפלטפורמות, הכוללים שמירת פרטי אשראי מלאים וגלויים בניגוד לתקן, הקמת פרופילים פיקטיביים לפיתוי משתמשים אמיתיים על מנת להוציא מהם כמה שקלים, קידום זנות, ובמקרים מסוימים אפילו מעורבות של קטינים.

חבילות מזומנים 🖼️ דליפת אתרי ההכרויות והזנות הגדולה
תצלומי חבילות מזומנים כהוכחה לעושר של חברים באתר 🖼️ דליפת אתרי ההכרויות והזנות הגדולה

זו אחת מדליפות המידע החמורות שידעה הרשת הישראלית, בעיקר בגלל רגישות המידע הנחשף, אבל לא פחות בגלל זהות המשתמשים שהמידע הזה שייך להם, חלקם עובדי מדינה, עובדי כוחות הביטחון, או חברים בקהילות דתיות יהודיות ומוסלמיות, החשופים עכשיו לשורה של סכנות, ובהן נידוי חברתי, סחיטה, אלימות ורצח.

סתיו סיכמה זאת היטב: “אל תסמכו על אף אחד, בטח לא עם מידע רגיש שלכם. צילמתם את עצמכם בעירום? תחשבו מאה פעמים לפני שתשלחו את התמונה, כי ברגע שהיא עוזבת את המכשיר שלכם – היא יוצאת משליטתכם וההנחה צריכה להיות שהיא תפורסם ושאלפי אנשים יצפו באיברים שלכם. אם אין לכם בעיה עם זה – מצוין. ובקשר לממשלה שלכם – שם אתם כבר יודעים מה צריך לעשות”.

<חסות>

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו.

אם תיכנסו ל
כאן, או לכתובת המקוצרת Podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.

<\חסות>

מזכים

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן; נעם רותם 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404

🎛️ מיקס: עומר סנש 🐈 קריינות אותות: נועה ארגוב 🎭 שחקנים: רן בר-זיק מ”אינטרנט ישראל“, נעמה לוריא, מיליאנה 🎹 עטיפה מוזיקלית 🔔 קולות: אות מערך הסייבר / martysonic (cc-by-nc); חץ מקשת / robinhood76 cc-by-nc; צה”ל צועד / יואב תלמי, תזמורת משטרת ישראל; פטיש בית משפט / zerolagtime cc-by; פצצת אטום / Hard3eat cc0; הרשת האפלה / danlucaz cc0; הסיפור המרכזי עם אראל סג”ל ובועז גולן / ערוץ 20; סופרקאט one more thing של סטיב ג’ובס / Wyn Nathan Davis; הפגנות נגד ביבי / תומר אפלבאום, עידן דורפמן (1,2,3); נפתלי בנט מדבר על סייברסייברסייבר: INSS, אוניברסיטת ת”א 🖼️ תמונת פרק: עיבוד לתצלום של Israel Captures

📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל [email protected] 🗝️ הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר) 📞 סיגנל, טלגרם, וואטסאפ, סמסים והודעות קוליות שילחו אל הקו החם והפריך של סייברסייבר: 055-2-776766 💸 תרומות בפייבוקס למספר 055-2-776766