מידע רגיש: האקרים חשפו פרצת אבטחה במערכת כביש 6

פרצת אבטחה במערכת שליחת הודעות ה־SMS של כביש 6 חשפה מיליוני הודעות שנשלחו ללקוחות במחצית השנייה של 2018. ההודעות כללו מידע רגיש על הלקוחות, כמו קישור בין מספר הרכב לשם ומספר הטלפון של בעליו. בנוסף, נחשפו הודעות כניסה לכביש של כלי רכב הכלולים ב"רשימת איתור" – רכבים שהמשטרה או כוחות הביטחון ביקשו סיוע באיתורם. הפרצה אותרה על ידי ההאקרים נעם רותם ויובל אדם, והיא נחשפת ב"כלכליסט" לאחר שנסגרה והמידע הבעייתי הוסר מהרשת.

לא מדובר בפרצה הראשונה שזוהתה בשנה האחרונה במערכת כביש 6. באוגוסט שעבר גילה רותם שפרצה חמורה באתר של מפעילת הכביש אפשרה לתוקפים לקבל גישה לחשבוניות של נוסעים בכביש, באמצעות שינוי כתובת העמוד בדפדפן.

"יכול לשמש פושעים"

כביש 6 מופעל על ידי חברת דרך ארץ, שאחראית על תחזוקתו ותפעולו השוטף, כולל גביית אגרת הנסיעה מהמשתמשים בכביש. לצורך ייעול הקשר עם ציבור הנהגים, וכן כדי להעביר הודעות תפעוליות לעובדי החברה, התקשרה דרך ארץ עם חברת CellAct הישראלית, שפיתחה מערכת למשלוח המוני ואוטומטי של הודעות SMS.

כביש 6 | צילום: אורן אגמון

ההאקרים רותם ואדם מפעילים באופן שוטף כלי סריקת אתרים במטרה לאתר פרצות אבטחה, ובמקרה הצורך להתריע לגביהן בפני הגורמים הרלבנטיים. "מדובר בכלי שסורק אזורים גדולים מאוד ברשת ומחפש חולשות ומציף את הדברים המעניינים יותר מבחינת התוכן וההיקף", אמר רותם ל"כלכליסט". "נניח כמות גדולה של מספרי טלפון, או של סיסמאות לא מוצפנות, ואז אנחנו פונים לגופים השונים לצורך סגירת החורים".

אחת הסריקות שערכו רותם ואדם זיהתה בשרתים של CellAct קבצי אקסל שמכילים את כל הודעות ה־SMS שנשלחו מדרך ארץ ללקוחות ולעובדים בין מאי 2018 לינואר 2019. לדברי רותם מדובר ב־2.9 מיליון הודעות שנשלחו ל־824 אלף מספרי טלפון. מרבית ההודעות היו הודעות שירות ללקוחות, כשהמעניינות שבהן היו אלו שעדכנו על שיוך מספר רכב לחשבון משתמש, וכללו את שם ומספר הטלפון של הנמען.

"החיבור של שמות ומספרי טלפון למספר הרכב זה מידע שלא אמור להיות חשוף", אמר רותם. מידע כזה יכול, למשל, לשמש חוקרים פרטיים שמנסים להתחקות אחרי אדם כלשהו. פושעים יכולים לגשת לחניון ארוך הטווח בנתב"ג, ולהשתמש במידע כדי לזהות בעלי רכבים שנמצאים בחו"ל, לאתר את כתובתם באמצעים אחרים ולפרוץ בידיעה שהבית ריק.

נועם רותם, האקר מחשבים | צילום: אוהד צויגנברג

"אגב, גם הטלפון שלי מופיע שם עם הודעה שקיבלתי", הוסיף רותם. "אני אדם שמשתדל לשמור על הפרטיות שלי. לא נותן את הפרטים שלי לחברות מפוקפקות, ומשתדל מאוד לא להופיע בשום רשימות שאני לא חייב להופיע בהן. לכן הופתעתי והתרגזתי לגלות את הפרטים שלי שוכבים על שרת לא מאובטח כך שכל אדם עם דפדפן יכול לגשת ולקחת אותם, ולא רק את הפרטים שלי, אלא גם את אלה של מאות אלפי ישראלים נוספים".

"להריץ אותם"

הודעות אחרות שנמצאות במאגר הן הודעות תפעוליות שנשלחו לעובדי כביש 6, כמו דיווחים על פגר חזיר שנמצא בכביש או תאונה שאירעה. המידע יקר הערך כאן הוא רשימת הטלפונים של העובדים שמקבלים הודעות מסוג זה. "אתה יכול לשלוח הודעה לכל הרשימה, להגיד שאיפשהו בדרום קרה משהו, ולהקפיץ מערכת שלמה", אמר רותם. "אתה יכול להריץ אותם כל היום עם התרעות שווא כדי שלא יהיו במקום שבו אתה רוצה לעשות כל מיני דברים".

סוג ההודעות המסקרנות ביותר שמצא רותם הן אלו קשורות לרכבים שנמצאים ברשימת האיתור. "יש טריגר לרכבים מסוימים, שכאשר הם מזוהים על ידי המצלמות בכניסה וביציאה מהכביש נשלחת הודעה לשורת נמענים כי רכב ש'נמצא ברשימת האיתור' זוהה בנתיב כזה וכזה בשעה כזו וכזו", מסביר רותם. מדובר במידע רגיש מאוד שאסור לחשוף מסיבות רבות. למשל, אם המשטרה מחפשת מישהו, היא לא בהכרח מעוניינת שידע על כך כי הדבר עלול לחבל בסיכוייה לאתרו.

מדרך ארץ נמסר בתגובה: "מדובר בתקלה שאירעה אצל ספק חיצוני של החברה והנושא נמצא בבדיקה מעמיקה מולו. אנו רואים חשיבות עליונה בשמירה על פרטי המשתמשים ונפעל ללא פשרות כדי למנוע הישנות מקרים דומים".

מ־CellAct נמסר: "קובץ שהכיל הודעות SMS של כביש 6 בתקופה האמורה הועבר בצורה לא מאובטחת לשרת חיצוני הפתוח לאינטרנט. מבדיקה שעשינו עולה כי שני גורמים בלבד נחשפו לקובץ. לא זוהתה כל פריצה לאף אחת ממערכות החברה. הנהלים חודדו לגבי העברת קבצים באופן לא מאובטח".