אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
פירצה במערכת תווי חניה חשפה מידע אישי של מאות אלפי ישראלים

פרסום ראשון

פירצה במערכת תווי חניה חשפה מידע אישי של מאות אלפי ישראלים

לכלכליסט נודע שליקוי במערכת הנפקת תווים שמשמשת את עיריות ראשון לציון, עפולה ולב השרון איפשרה גישה למידע רגיש; בין היתר, היו יכולים פושעי סייבר להשיג סריקות תעודות זהות ורשיונות רכב, מה שהיווה סכנה לגניבת זהות, הטרדה ועוד

03.10.2019, 11:37 | עומר כביר

פירצה במערכת שמשמשת רשויות מקומיות, ובראשן ראשון לציון, להנפקת תווי חנייה אפשרה לגורמים עוינים לזכות בגישה למידע אישי של מאות אלפי אזרחים; בין היתר איפשרה הפירצה השגת כתובת פיזית, כתובת מייל, מספר טלפון ואפילו צילום באיכות גבוה של תעודת הזהות – כך חשף כלכליסט הבוקר. 

קראו עוד בכלכליסט

המידע על הפירצה הועבר לכלכליסט על ידי תושב ראשון לציון, מפתח תוכנה שאינו איש אבטחת מידע וגילה אותה במקרה. המידע אומת בידי ההאקר והאקטיביסט נעם רותם. כלכליסט דיווח למערך הסייבר ולרשויות שנפגעו, והפירצה נחסמה.

חניה ברחוב חניה ברחוב חניה ברחוב

תווי חנייה, שמאפשרים לתושבים לחנות ללא תשלום בכחול לבן ובאזורים שמוגבלים לתושבי השכונה בלבד, הם כיום רכיב הכרחי בערים רבות, בעיקר כאלו שסובלות ממצוקת חנייה. אף שלא מעט רשויות מקומיות עושות שימוש במערכות פנימיות לקליטה ועיבוד פרטי של תושבים שמבקשים להנפיק תו, יש רשויות שמסתייעות לצורך כך בחברות חיצוניות. שלוש מהן – ראשון לציון, עפולה ולב השרון – מנפיקות תו חנייה באמצעות המערכת של חברת לולהטק. החברה מתמחה במערכות פיקוח מבוססות סלולר שמיועדות לעובדי שטח כמו פקחי חנייה, ולפי אתרה עובדת עם יותר מ-40 רשויות מקומיות, ובהן עיריית תל אביב.

גם ראש העיר ברשימה

הפירצה שזוהתה נוגעת רק למערכת הנפקת תווי החנייה שמפעילה לולהטק. לצורך הנפקת תו חנייה מתבקשים התושבים למלא שורה של פרטים אישיים: שם מלא, כתובת מדויקת (למשלוח התו), מייל, טלפון, מספר תעודת זהות ומספר רישיון רכב. ואולם מסתבר שמידע זה לא מוגן כלל וכלל וניתן להגיע אליו בקלות מחרידה: כל שצריך לעשות הוא להזין בדפדפן כתובת אתר שכוללת בסיומה את מספר תעודת הזהות או רישיון הרכב. "עם הזנת של מספר רכב או מספר תעודת זהות בלבד מקבלים את פרטי התושב המלאים", אמר לכלכליסט התושב שגילה את הפירצה. "בנוסף לפרטים כמו כתובת פיזית, כתובת מייל ומספר טלפון, הזנת מספר תעודת הזהות בלבד תציג לקבל גם את מספר הרכב - ולהיפך". 

חמור מכך, מתוך מסך הפרטים שמתקבל אפשר גם להגיע בקלות לסריקות באיכות גבוהה של תעודת הזהות ורישיון הרכב – פריט מושך במיוחד לגנבי זהות שיכולים לנצל אותו לביצוע פעולות כמו פתיחת חשבון בנק על שם הקורבן, לקיחת הלוואות או ביצוע עסקאות בשמו. המידע שנשמר גם כולל פרטים אישיים של תושבים שביקשו תווי חנייה בעבר, אך לא חידשו אותם מאז וכבר אינם מתגוררים בעיר. אני, למשל, הצלחתי לאתר במאגר של ראשון לציון את פרטי האישיים באמצעות הזנת מספר תעודת הזהות שלי, אף שאני לא מתגורר בעיר כבר קרוב לעשור. חוקר הסייבר הצליח למצוא שם את פרטיו האישיים של ראש העיר ראשון לציון, רז קינסטליך (שתו החנייה שלו, אגב, לא בתוקף).

רז קינסטליך, צילום: גיא קרן רז קינסטליך | צילום: גיא קרן רז קינסטליך, צילום: גיא קרן

למערכת אין שום הגנת Brute Force, כלומר אפשר להגיש מספר רב של בקשות ללא שום מגבלה. תיאורטית, גורם עוין יכול לכתוב תוכנה שתריץ מול המערכת את כל מספרי הזהות הקיימים (מידע שדולף לרשת בקביעות) או את כל מספרי הרכב האפשריים וכך לקצור בקלות מידע אישי מדויק, גם אם לא תמיד עדכני, על מאות אלפי ישראלים; בראשון לציון מתגוררים יותר מרבע מיליון איש, בעפולה כ-52 אלף ובלב השרון קרוב ל-24 אלף. 

השימושים הזדוניים מגוונים: החל ממתן תשתית לפשעי גניבת זהות ופישינג נרחבים, עבור באפשרות של גורמים מפוקפקים להגיע לזהות של אזרחים כאשר כל שצריך זה מספר הרכב שלהם, ועד אפשרות להטריד ולהתעלל ביריבים במסגרת סכסוך אישי.

"אם תושב מסתכסך עם השכן שלו ורוצה לבטל לו את התו, הוא יכול להתקשר למוקד ולבקש לבטל את התו", העריך התושב. "במוקד מבקשים מספר רכב ומספר תעודת זהות וזהו. אפילו את השם הם לא ביקשו ולאחר שהקראתי מספר רכב הם בעצמם חשפו את שם התושב כדי לוודא שזה אני". הפירצה, אגב, התגלתה כמעט במקרה. "החלפתי רכב ורציתי לחדש את תו התושב שלי", סיפר התושב שגילה אותה. "כשנכנסתי לאתר הוא נראה לי ויזואלית שונה לגמרי מהאתר שבו יצרתי את תו התושב מלכתחילה. חשדתי. הבעיה העיקרית שלי היתה שהאתר נמצא בכתובת ההזויה תחת הדומיין lolamuni.com, שבכלל לא קשור לאתר העירייה ושאני נדרש להזין באתר הזה פרטי כרטיס אשראי. לפני הזנה של פרטי כרטיס האשראי ניסיתי לוודא כמה לגיטימי האתר והסתבר לי שזה האתר הלגיטימי שבו גם יצרתי את התו לראשונה - רק שהעיצוב עודכן. זה פחות או יותר השלב בו גם שמתי לב לפרטים חשודים בקוד המקור של האתר וניסיתי לבדוק אם אני יכול לקבל מידע של מישהו אחר". 

תגובות לפרסום

לולהטק: "מיד עם קבלת הפנייה הנושא טופל. לא נגרם נזק ללקוחותינו או לרשומים באתר. אנו מחויבים לשמור על המידע של לקוחותינו, האבטחה היא הדבר החשוב לנו ביותר, ואנו עושים הכל על מנת שלא יקרו מקרים כאלו בעתיד".

החברה לביטחון וסדר ציבורי בראשון לציון: "אנו רואים את הנושא בחומרה. יתקיים בירור מול החברה המעניקה את השירותים ונפיק לקחים בהתאם. חשוב לציין כי הפרצה נסגרה במיידי".

עיריית עפולה: "מיד עם קבלת הפניה מכלכליסט, פנינו לחברת לולהנט המנהלת את המערכת עבורנו ואלה ציינו כי הנושא כבר טופל. לדבריהם, לא נגרם כל נזק ללקוחות או לרשומים באתר״.

המועצה האזורית לב השרון העבירה לכלכליסט את התגובה שנמסרה מלולהטק ולא שלחה תגובה עצמאית משלה.

שיתוף בטוויטר שיתוף בוואטסאפ שיתוף בפייסבוק שיתוף במייל

תגיות



7 תגובות לכתיבת תגובה לכתיבת תגובה

7.
לחוקק חוק ולאכוף.
בגלל חוסר מודעות טכנולוגית של מקבלי ההחלטות, מתרחש דבר כזה. ביום שיבינו שהנזק של סיבר שווה לנזק של פצצה או פיגוע יהפוך הדבר לחמור יותר. איך רשות מקומית כמו שמופיעות בכתבה זו מתקשרות בהסכם עם חברה איטרנטית למתן שרותים שבהם יש גישה ומתן גישה לפרטי האזרחים, האם עובדי החברה נבדקו לגבי עבר פלילי, האם יש להם סיווג ביטחוני מינימלי? וכל זאת עוד לפני שמתיחסים לפתרון וההצעה הטכנולוגית. אני מניח שבבחירת החברה עמד רק המחיר ולא שיקולים של אבטחת מידע, מערכת ידידותית לאזרח. אגב האם נחשפו כאן גם כ. אשראי?
אדם  |  15.10.19
6.
משטרות תנועה ברחבי העולם ייצרו אפלקציה שמאפשרת לתת דו״ח למכונית ולדעת מידע על הנהג
שאתה יוצא מהמכונית או האופנוע לרגלי. והאפלקציה תעלה 500$ לכל שוטר. ולמשרד התחבורה ובתי המשפט ואפילו לעורכי דין לתנועה וזה מודיע לאיייפון בMassages או לאנדרואיד באפלקציות שדיברתי עליהן קודם לMassages בפטנט. בפטנט חשוב מאוד.
מנכ״ל אפל  |  04.10.19
4.
חלמאות
דבר ראשון בפיתוח תוכנה ו/או אפליקציה יש לתת את הדעת על אבטחת מידע והגנה על המידע במערכת. בחירת לולהטק על ידי רשויות עפולה, ראשון , לב השרון ואחרים מעידה על חוסר הבנה מינימלי ו/או חוסר איכפתיות של אותם גורמים שברשויות שחתמו את החוזה עם חברת לולהטק. נקודה שניה , חוק מאגרי מידע, חברת לולהטק למעשה מנהלת מאגר מידע על אזרחים והיא כפופה לחוק מאגר מידע. בהתנהלותה עד חסימת הפירצה, לא במיוחד פעלה לפי חוק מאגרי המידע. איפה הממונה על מאגרי המידע בישראל ???
אבי  |  03.10.19
לכל התגובות