מסמכים שפרסם התוקף | צילום מסך
חשש שנחשפו נתונים של 7 מיליון ישראלים במתקפת סייבר
מתקפת ראש השנה: האקר טוען כי הצליח לגנוב מידע על 7 מיליון אזרחים ישראלים מתוך אתר התשלומים המוניציפאלי CITY4U שמופעל על ידי חברת אוטומציה החדשה מקבוצת one. המידע המלא מוצע למכירה ופרטים מתוכו פורסמו בפורומים שונים ברשת. האם אנו עדים לאירוע הפגיעה בפרטיות החמור בתולדות ישראל? החברה: "בבדיקות שנערכו עד כה, לא זוהתה כל חדירה למערכת"
פרשת שירביט חוזרת בגלגול חדש? פושע סייבר בשם Sangkancil טוען כי גנב נתונים של כ-7 מיליון אזרחים ישראלים בפריצה לאתר הרשויות המקומיות CITY4U. אם הוא אומר אמת, מדובר באירוע הפגיעה בפרטיות החמור ביותר בישראל אי פעם.
קראו עוד בכלכליסט:
מאתמול מפרסם התוקף מספר גדול של מסמכים כהוכחה לדבריו, בהם תעודות זהות, רישיונות נהיגה וחשבונות ארנונה של ישראלים, באירוע שמזכיר את מאפייני התקיפה על חברת הביטוח שירביט בחודש דצמבר האחרון. המסמכים מתפרסמים בקבוצת טלגרם ובמספר פורומים של הדלפות, בהם הפורום שבו פרסם ההאקר DarKrypt את המסמכים שנגנבו לאחרונה מאוניברסיטת בר אילן.
לפי ההודעה שפרסם התוקף הוא הצליח לחדור למספר עיריות ורשויות מקומיות, ולגנוב מידע על כ-80 אחוזים מאזרחי ישראל. המידע מוצע למכירה בסכום שאינו מפורט. כמו כן התוקף פרסם שני קבצים מרוכזים עם נתוני שמות אזרחים באזור השרון ותל אביב, המידע כולל את השם המלא, שם האב, תאריך לידה ומספר הטלפון. לדבריו, יש בידיו מידע על נכסי הנדל"ן של האזרחים, ומסמכים נוספים. השבוע נחשף ב-ynet כי מספר אתרים בישראל מכילים חולשה שלא טופלה במערכת ההגנה שלהם. אחד האתרים האלה הוא אתר חברת "אוטומציה החדשה" שמפעילה את אתר CITY4U.
פרסום המסמכים מלווה בהודעות קנטרניות מצידו של התוקף. בהודעה ראשונה הוא הצהיר: "הצלחתי בהשגת גישה למידע רגיש של הרשויות המקומיות בישראל, המתינו למידע נוסף". לאחר מכן פרסם הודעה בה נאמר: "מספר רשויות מקומיות בישראל נפרצו. מידע על הרכוש והזהות של יותר מ-90 אחוזים מאזרחי ישראל הועלה לפורום למכירה. המידע כולל מידע על זהות האזרחים והרכוש שלהם. נתונים כמותיים ומסמכים. 7 מיליון רשומות עם מסמכים מצורפים".
בהמשך הוא פירסם הודעה שמסבירה את עיתוי הפרסום: "ועכשיו, זו ההפתעה הראשונה שלי לכבוד ראש השנה היהודי, תהנו", ולהודעה מצורף קובץ גדול של פרטי אזרחים. והתוקף מבטיח: "המתינו, עוד הפתעות צפויות בקרוב". הפרסומים בקבוצת הטלגרם הביאו מאות עוקבים ישראלים והתוקף הצהיר כי יפרסם מידע נוסף כשהערוץ שלו יגיע ל-2,000 עוקבים. מספר העוקבים ממשיך לעלות במהירות והוא הגיע ל-1,200 היום (יום ב') בצהריים.
האם שמו שם הפורץ יכול להעיד שהוא ממלזיה? Sang Kancil הוא שם שלקוח מאגדות-עם ממלזיה ואינדונזיה. מדובר בדמות של צבי זעיר ("צבי עכבר" או שברוטאן), שבפקחותו ובשנינותו גובר על אויביו ומתחמק מנסיונות ללוכדו. באחרונה היו מספר מתקפות של האקרים מאלזיים על אתרים בישראל, במטרה לגרום להם נזק וזאת כחלק מתמיכתם במאבק הפלסטיני. עם זה, ההתנהגות הקנטרנית והניסיון לבייש את הגנת הסייבר הישראלית מאפיינים מתקפות סייבר איראניות.
אתר CITY4U מופעל על ידי חברת אוטומציה חדשה, בבעלות וואן טכנולוגיות הבורסאית, והוא נותן שירותי מחשוב ל-60 אחוזים מהרשויות המקומיות, בהן 12 מהעיריות הגדולות בישראל וכן לתאגידי מים, חברות עירוניות ואיגודי ערים. השירותים כוללים גבייה, פיננסיים, שכר ומשאבי אנוש, חינוך, חניה, הנדסה ומיפוי GIS. "הלקוח מקבל את כל השירותים מספק אחד מקצה לקצה, שלוקח על הכול אחריות, מה שנותן ללקוחות ביטחון, שקט נפשי וטכנולוגיה מתקדמת תחת קורת גג אחת" נכתב באתר החברה.
גורם בתחום הגנת הסייבר העריך כי ריכוז המידע בידי אוטומציה החדשה מוכר מזה זמן על ידי מערך הסייבר, משרד הפנים ורשות הגנת הפרטיות כסיכון משמעותי ואולם לא נעשו פעולות כדי לחייב את החברה בהקמת מערכת הגנת סייבר חזקה. הפריצה הנוכחית מתבררת כפגיעה אנושה בפרטיות של אזרחים רבים בישראל, ויש חשש כי יימצאו קונים רבים למידע, בין השאר מקרב פושעים העוסקים בגניבת זהויות ובסחר בכרטיסי אשראי גנובים, ואף מחברות שמבצעות הפצות הודעות ספאם בטלפון וחברות שיווק ישיר.
ממערך הסייבר לא נמסרה תגובה. מרשות הגנת הפרטיות נמסר כי הנושא מוכר לרשות ונבחן על ידה. מומחית ההיערכות למתקפות סייבר, עינת מירון, אמרה בתגובה: "הגיע הזמן שהרשות להגנת הפרטיות תבקש מאתנו סליחה. יום כיפור הקרוב הוא רק תירוץ".
הפריצה למערכת המידע של העיריות בישראל אינה הראשונה מסוגה. פריצה דומה התרחשה בעיריית הרצליה ורשויות נוספות בשנה שעברה ומומחים אף מעלים חשד כי מדובר בנתונים שנגנבו באותה פריצה. יצויין כי ב-2018 חשף ההאקר נעם רותם פירצה במערכות המידע של חברת אוטומציה החדשה, שאפשרה גישה למאגרי מידע ובהם תשלומים לעיריות, ארנונה, דו"חות חנייה, הליכי אישור בנייה - ובמקרה אחד, אף איפשרה לשנות חלק מהמידע.
המלצת מערך הסייבר הלאומי למקרה של דליפת תעודת הזהות היא להנפיק תעודת זהות חדשה חכמה. כמו כן, במקרה של אירוע דלף מידע ייתכן שימוש בנתונים למתקפת דיוג ממוקד באמצעות דוא"ל, SMS או VISHING. לכן מומלץ לא ללחוץ על לינקים או צרופות המתקבלות בהודעות אלא להיכנס בצורה יזומה לחשבון על ידי הקלדת כתובת האתר או שימוש במנוע חיפוש, אין לתת פרטים לגורם המחייג אליכם גם אם יש לו מידע שכביכול קיים בחברה כיוון וייתכן שמדובר במתחזה. מומלץ לחייג באופן עצמאי אל החברה לבירור.
חברת אוטומציה החדשה מקבוצת one בתגובה: "החברה מתחקרת את הטענות לדלף מידע ממערכת City4U מאז פורסמו לראשונה בערב החג, ונמצאת בקשר שוטף עם מערך הסייבר הלאומי. בבדיקות שנערכו עד כה, לא זוהתה כל חדירה למערכת ולא מן הנמנע שמדובר במידע ישן ומוגבל בהיקפו. ככלל, יש לציין כי מערכת City4U מחזיקה נתונים של כמה מאות אלפי ישראלים לכל היותר, ולא בסדרי הגודל שהזכיר התוקף בהודעתו.
"אוטומציה החדשה משקיעה משאבים רבים באבטחת מידע והינה מוסמכת תקן אבטחת המידע ISO 27001. החברה עורכת באופן תדיר סקרי סיכונים ומבדקי חדירה, ומקיימת בקרות שוטפות של חדירות המערכות שלה לפריצות סייבר. אנו ממשיכים בחקירת האירוע ונעדכן ככל שיהיו ברשותנו ממצאים חדשים".