נחשפה פרצת אבטחה קריטית במערכות הרשויות המקומיות בישראל

פרצת אבטחה חמורה באוטומציה החדשה (לשעבר החברה לאוטומציה), שמפעילה את מערכי המחשוב והשירותים המקוונים של מרבית הרשויות המקומיות בישראל, חשפה עשרות מאגרי מידע שכוללים פרטים רגישים; בין היתר, נחשפו כמו תשלומים לעיריות, פרטי רישום למוסדות חינוך, תשלום דו"חות חנייה והליכי קבלת אישור בנייה.

"נגיד את זה בעדינות, כל המערכת מאוד לא מאובטחת", אמר ל"כלכליסט" האקטיביסט וההאקר נעם רותם, שזיהה את הפרצה. "אין מצב שהיא עברה מבדק חדירה אחד". הפרצה תוקנה טרם פרסום הכתבה.

אוטומציה החדשה מספקת שירותי מחשוב לכ-70 עיריות, רשויות מקומיות ומועצות דתיות בישראל, בהן ערים גדולות דוגמת חיפה, ראשון לציון ובאר שבע. החברה, שבבעבר היתה בבעלות מרכז השלטון המקומי נמצאת משנה שעברה בבעלות מלאה של חברת ה-IT הישראלית One1, שרכשה את השליטה בה ב-2014.

אף שבשנים האחרונות נכנסו לשוק חברות שמתחרות בה באספקת שירותי מחשוב לרשיות מוניציפליות, היא עדיין נחשבת לשחקנית המרכזית בתחום. בין השירותים שמספקת החברה לעיריות נמנים תשלומים ארנונה, חשבון מים, דו"חות חנייה ואגרות עירוניות נוספות, ניהול רישום לבית ספר ולגנים, וניהול ממוחשב של הליך הפקת אישור בנייה במנהל ההנדסה.

100 אלף תעודות זהות

מסתבר שחלק ניכר מהמידע שניהלה אוטומציה החדשה בעבור עיריות היה חשוף ברשת. "הפרצה מאוד פשוטה", הסביר רותם. "הזרקת SQL למאגר מידע. זו הפרצה הכי בסיסית. אני מחפש אתגר, אבל אני לא צריך להתאמץ כי זה פשוט שם. זיהיתי 52 מאגרי מידע שונים על אותו שרת. לא הכל פתוח בצורה קלה, אבל הייתי שם רק דקות ספורות לפני שדיווחתי להם והצלחתי להוציא יותר מ-100 אלף תעודות זהות. לא חיטטתי יותר מדי כי הפרצה חמורה מדי מכדי להשאיר אותה חשופה אפילו לכמה שעות".

לדברי רותם, בזמן הקצר שחדר למערכת הוא הצליח לאתר סיסמאות מנהל מערכת לא מוצפנות של מנהל ההנדסה, שאפשרו לו לגשת למסמכים שנשלחו ולעקוב אחרי פעולות שביצעו 30 אלף איש שזוהו לפי מספר תעודת הזהות שלהם. "אפשר היה לשנות את הסטטוס של כל דבר ולאשר לך מה שאתה רוצה", הוסיף.

במאגרי מידע אחרים זיהה רותם רישומי תשלומים שביצעו 70 אלף איש, גם הם מזוהים לפי תעודת הזהות שלהם: "מדובר על כל התשלומים שבוצעו במערכת, מי ביצע אותם וכמה הוא שילם. אם היה לי את מספר תעודת הזהות שלך, הייתי יכול לבדוק אם אתה מופיע שם וכמה שילמת".

"בניגוד למקומות אחרים", ציין רותם, "ניהול ההרשאות היה קצת יותר אחראי ולא היו הרשאות מלאות לכל מסדי הנתונים אלא רק לחלק מהם. זה לא טוב, אבל יותר טוב ממה שיכול להיות. לדוגמה, לא היתה לי גישה למאגר המידע של עיריית צפת".

תגובת החברה:

"אתמול ב-19:00 לערך זוהתה חולשת אבטחה בשרת המספק שירותי הנדסה לתושבים בשתי רשויות. מיד החל נוהל תחקור וטיפול, ובוצע תיקון, הן ברמת קוד התוכנה והן ברמת מעגלי האבטחה הנוספים הקיימים בחברה. החברה עובדת תחת תקן PCI ולפיכך במערכות החברה לא נשמרים נתוני אשראי כלל. האוטומציה החדשה פועלת תחת נהלי אבטחת מידע בתקן 27001 ומפעילה מעגלי הגנה טכנולוגים מגוונים. כתוצאה מכך זמני התגובה והטיפול היו מהירים וממוקדים".