אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
כשל באתר קרנות השוטרים איפשר חשיפת פרטים אישיים צילום: יריב כץ

כשל באתר קרנות השוטרים איפשר חשיפת פרטים אישיים

בגלל ליקוי באתר ניתן היה לדעת האם פלוני הוא שוטר, שוטר לשעבר, מתנדב במשטרה או איש שב"ס - רק באמצעות הזנת מספר תעודת הזהות שלו; בעקבות פניית "כלכליסט" תוקן הכשל

27.02.2018, 21:44 | עומר כביר

כשל תכנוני באתר קרנות השוטרים אפשר לכל אדם לדעת האם אזרח ישראלי הוא שוטר, שוטר לשעבר, מתנדב במשטרה או איש שב"ס, פשוט באמצעות הזנת מספר תעודת הזהות שלו - כך חושף המתכנת הבכיר והבלוגר רן בר-זיק. בעקבות פניית "כלכליסט" תוקן הכשל.

קראו עוד בכלכליסט

קרנות השוטרים הוא מועדון חברים של משטרת ישראל. לצד שוטרים פעילים יכולים להצטרף למועדון גם גמלאים של המשטרה, מתנדבי המשמר האזרחי ועובדי שב"ס. אתר המועדון מרכז מידע נרחב על ההנחות והמתנות שלהן זכאים חברי המועדון, כאשר הכניסה אליו היא באמצעות מספר תעודת זהות וסיסמה.

הכשל שזיהה בר-זיק מצוי בהליך שחזור הסיסמה באתר. על מנת לשחזר סיסמה נדרש השוטר להזין מספר תעודת זהות וכתובת אימייל הרשומה במאגר, כאשר אם כל הפרטים נכונים מקבל השוטר קישור למייל על מנת לאפס את הסיסמה.

במקרה שהוקשה תעודת זהות שגויה או תעודת זהות של אזרח שאינו שוטר, לצד כתובת מייל מומצאת (למשל cookie@isa.dog) יציג האתר הודעת שגיאה "משתמש אינו קיים במאגר". ואולם, לפי בר-זיק, אם תוזן לצד אותה כתובת מייל תעודת זהות של שוטר יציג האתר את ההודעה הבאה: "כתובת המייל אינה תקינה, אך המשתמש קיים במאגר". באופן זה ניתן בקלות להבין איזה מספר תעודת זהות שייך לשוטר ואיזה לאזרח מהשורה.

ניידת משטרה, צילום: יריב כץ ניידת משטרה | צילום: יריב כץ ניידת משטרה, צילום: יריב כץ

תעודות זהות אינן נתון סודי ולאור דליפתם של מאגרי מידע רבים לאורך השנים, דוגמת מרשם האוכלוסין ופנקס הבוחרים, אין קושי לגורמים שמעוניינים בכך לאתר מספרי תעודת זהות עדכניים של כל אזרחי ישראל. לפי בר-זיק, אין לאתר הגנה נגד ביצוע מספר רב של ניסיונות שחזור סיסמה בזה אחר זה (למשל באמצעות Captcha או חסימת כתובת IP).

כתוצאה מכך, ארגון פשיעה יכול בקלות, באמצעות שכירת שירותיו של מתכנן לא מיומן במיוחד, ליצור סקריפט שיריץ מול האתר את כל מספרי תעודת הזהות של אזרחי ישראל וכך לבנות מאגר מידע נרחב של שוטרים, מתנדבים או קרוביהם, כולל כתובתם (מרשם האוכלוסין דלף עם כתובות של אזרחים ומידע רגיש נוסף).

בתנועה לזכויות דיגיטליות התריעו שמדובר בכשל אחד במערך של כשלים שמאפיינים את אבטחת מאגרי המידע בישראל. "שוב גילינו כי עוד מאגר מידע בישראל פרוץ וכי כל הדרכים להגן על הפרטיות שלנו מופקרות", אמר היועץ המשפטי של התנועה, עו"ד יהונתן קלינגר. "ראינו תקלות כבר במאגרי מידע שאמורים להיות מאובטחים, ראינו שתהליכי קבלת ההחלטות שאמורים להתקיים בכל הנוגע לאבטחת מאגרים לקויים במיוחד, וראינו כמה מסוכן לתת מידע למדינה. אנחנו מקווים שבחודשים הקרובים יחל גל של תביעות ייצוגיות כנגד מאגרי מידע שדלפו וכנגד הגורמים האחראים לכך, כיוון שכל עוד הרגולטור לא מעניש אנשים אלו, אנחנו מצפים שהציבור יעשה זאת".

מקרנות השוטרים נמסר בתגובה: "במאגרי קרנות השוטרים מצויים כלל עמיתי החברה ומקבלי השירותים של הקרנות ולא רק שוטרים פעילים. הבדיקה איתרה אפשרות מסוימת לזהות שייכות לקרנות השוטרים בלבד, וזאת באמצעות שילוב בדיקות ייחודי. יחד עם זאת, וכשגרת עבודה, במידה ומאותרות פרצות כלשהן מערך המחשוב פועל מיידית לסגירתן. במקרה הנוכחי שונו ההודעות ומעתה תתקבל הודעה אחידה לטעות בפרטים".

ממשטרת ישראל נמסר: "חברת קרנות השוטרים היא חברה פרטית, וככזו אתר החברה מופעל באמצעות נציגי החברה ולא באמצעות משטרת ישראל".

תגיות