חשיפת כלכליסט

אתרי הבנקים חשופים לפרצה חמורה במערכת הצפנת מידע

באג חדש מאפשר להאקרים ליירט ולפצח מידע מוצפן שמועבר על ידי לקוחות הבנקים באתרי האינטרנט שלהם. הבנקים דיסקונט, הפועלים, מזרחי טפחות והבינלאומי חשופים כולם לפרצה. בויזה כאל היא תוקנה בעקבות פניית כלכליסט

10.12.2014, 06:43 | רפאל קאהאן ותומר ורון

בנקים, חברות כרטיסי אשראי וחברות ביטוח בישראל חשופים לפרצת אבטחה חמורה, המאפשרת להאקרים לשאוב נתונים של לקוחותיהם ולפרוץ להם לחשבונות - כך עולה מבדיקה שביצע "כלכליסט". בעיית אבטחת המידע שהתגלתה בימים האחרונים מאיימת על כ־10% מהאתרים בעולם.

לעמוד כלכליסט-טק לחצו כאן

קראו עוד בכלכליסט

באג שמכונה POODLE TLS מאפשר להאקרים ליירט ולפצח מידע מוצפן שנשלח בין הדפדפן במחשב של המשתמש לאתר האינטרנט שבו הוא גולש. הסכנה היא בעיקר למשתמשי אתרי בנקים, כרטיסי אשראי ופיננסים, אשר מהווים מטרות נחשקות עבור האקרים בעולם. הבעיה שזוהתה רק בימים האחרונים היא המשך לתקלה ישנה יותר שכבר טופלה, אך הבאג בגרסתו החדשה חמור יותר מפני שהוא הרבה יותר פשוט לניצול עבור האקרים.

רוב הבנקים חשופים לפרצה

אתרים מאובטחים רבים משתמשים במערכת הצפנה הנקראת TLS, והבאג האמור התגלה בגרסת 1.2 שלה. התקלה הקודמת התגלתה לפני כשלושה חודשים במערכת אחרת, SSL, והנוכחית מתמקדת ב־TLS שהשימוש בה התרחב בעקבות התקלה הקודמת.

התקלה פורסמה באתר חברת Qualys שמבצעת בדיקות אבטחת מידע עבור חברות בינלאומיות כגון פייזר, BP, PwC, ג'נרל מוטורס וסיסקו. אתמול פרסמה החברה כלי המאפשר לבצע בדיקה לאיתור הבאג באתרים שונים, ובבדיקות הראשוניות נמצא כי אפילו אתר בנק אוף אמריקה היה חשוף לו. גם אתרי חברת הטכנולוגיה VMWare וחברת הייעוץ Accenture נמצאו מועדים לפורענות.

מבדיקה שביצענו ב"כלכליסט" תוך שימוש בכלי של Qualys נבדקו אתרים של הבנקים, חברות כרטיסי האשראי וחברות הביטוח בישראל. התוצאות מדאיגות בלשון המעטה: אתרי בנק דיסקונט, בנק הפועלים, בנק מזרחי טפחות והבנק הבינלאומי חשופים כולם לבאג, בעוד בנק לאומי ובנק יהב נמצאו בטוחים. זאת ועוד, אתרי ישראכרט וכאל אונליין נמצאו חשופים, בעוד אתר לאומי קארד מאובטח, אך בעקבות פניית "כלכליסט" באתר כאל אונליין טופלה הבעיה והפרצה נחסמה.

הבנקים עדיין לא התעדכנו

ברוב הגופים שהתגלו כחשופים לפרצה החדשה עדיין לא הגיבו אתמול לנושא, אלא התייחסו לאבטחה מול הפרצה הקודמת. מבנק דיסקונט נמסר בתגובה כי "Qualys מוכיחה בבדיקתה כי חוזק הצפנים של בנק דיסקונט הנו בסטנדרטים הגבוהים ביותר (תמיכה ב־TLS 1.2) מבין הבנקים הגדולים בישראל. הבנק מבצע ניתוח ומעקב שוטף אחר סיכוני אבטחת מידע וסייבר ונותן מענה בהתאם, ובכלל זה לאיום המתואר על ידכם".

מישראכרט נמסר כי "כבר לפני כמה שבועות התקבל מידע מחברות האשראי הבינלאומיות כי התגלה באג בפרוטוקול SSL גרסה 3. החברה החלה באופן מיידי בפעולות להחלפת הפרוטוקול, התהליך אמור להסתיים כבר בימים הקרובים. אמש התקבל מידע ממרכז הדיווחים על באג נוסף ב־TLS גרסה 1.2, אך ישראכרט לא משתמשת בגרסה זו מול לקוחותיה".

בנק הפועלים מסר כי "הבנק מקבל עדכונים שוטפים על פגיעויות ברכיבים שונים, ומטפל בהן באופן שוטף על פי הגדרת הספקים השונים".

מבנק מזרחי טפחות נמסר כי "הבנק מקיים באופן רציף ושוטף בקרות בענייני אבטחת מידע והגנה על אתר הבנק. באחת מהן, שהתקיימה לפני כמה חודשים, אותרה על ידי הבנק פרצה בדרגת חומרה נמוכה בעלת סיכויי התממשות זעירים ונדירים. בימים אלה הבנק משלים את הטיפול בנושא והפרצה תיסגר. יודגש כי מערך אבטחת המידע של הבנק מכיל כמה שכבות הגנה הפועלות בו זמנית, ומבטיחות הגנה ושמירה מיטבית על לקוחות הבנק ופרטיהם".

מהבנק הבינלאומי נמסר כי "בבדיקת אבטחת מידע עולה כי לא קיימת פירצה כזו באתר הבנק".

מבנק הפועלים נמסר, "הנושא טופל כבר אתמול".

לתגובות על הכתבה ליחצו כאן