שוב זה קרה: נחשף מידע מחשבוניות של נהגים בכביש 6

בפעם השנייה בתוך פחות מארבע שנים נתפסה "דרך ארץ הייווייז", הזכיינית של כביש 6, בעקבות עבירה על חוקי הפרטיות בישראל. מהודעת רשות הפרטיות עולה כי אתר החברה איפשר לכל בעל ידע מינימלי למצוא בקלות חשבוניות של משתמשי הכביש במקטע של דרך ארץ. 

פרצת אבטחה באתר של "דרך ארץ", זכיינית כביש 6 | צילום: דרך ארץ

הפרטים שדלפו כוללים מידע אישי, לרבות שם פרטי ומשפחה, סכומי תשלום, מיקום הרכב, תאריכי ושעות נסיעות. מיותר לציין שמדובר במידע יקר ערך לגורמים זדוניים ואף לגורמי סייבר שיכולים דרך נתונים אלה לגזור פרטים נוספים על המשתמש, רכבו, המקומות שאליהם הוא נוסע, שעות הנסיעה וכו'. זה מידע שקל מאוד לנצל לפעולות סחיטה למשל. ואלו דברים שקרו בעבר עם נתונים פרטיים גם בישראל. 

על פי רשות הפרטיות, בשל העובדה ש"דרך ארץ הייווייז" לא תיעדה כנדרש את הגישה למערכותיה, לא ניתן לדעת במדויק במשך כמה זמן גורמים בלתי מורשים יכולים היו לגשת למערכות החברה. לא ברור אם פרטים נגנבו, או אפילו מי זכה לגישה לפרטים אלה גם מתוך החברה עצמה. 

מהמידע שהעבירה החברה לרשות עולה כי בעמוד ששמו "תשלום חשבוניות" באתר החברה ניתן היה לקבל גישה לחשבוניות הלקוחות באמצעות הזנת מספר ת.ז, לחיצה על כפתור "אין לי את מספר החשבונית", בחירה באפשרות "מספר לוחית רישוי" ולאחר מכן הזנת מספרים אקראיים על מנת לנחש את מספר רישוי הרכב. אותה פרצה תועדה כבר ב-2018 על-ידי ההאקר והאקטיביסט נעם רותם ונשלחה לחברה לאחר שפרטיה פורסמו בתקשורת. למרות זאת, נראה כי הנושא לא זכה לטיפול ראוי.

בהתאם לכך, קבעה הרשות להגנת הפרטיות כי החברה לא החזיקה באמצעי הגנה מתאימים במועד האירוע. כמו כן, ממצאי הליך הפיקוח שביצעה הרשות מעלים, כי החברה מיפתה באופן חלקי את הסיכונים האפשריים בתחום אבטחת המידע, אך לא פעלה לאורך פרק זמן של למעלה משנה לתיקון הליקויים שנמצאו במבדקי החדירות. 

מרשות הפרטיות נמסר בנוסף שמאגר אבטחת המידע של "חברת דרך ארץ הייווייז" ברמת אבטחה גבוהה, ועל מאגרים ברמה זו חלות כלל תקנות הגנת הפרטיות (אבטחת מידע). בהתאם לממצאי הפיקוח קבעה הרשות, כי החברה הפרה את הוראות חוק הגנת הפרטיות ותקנותיו וכן דרשה מהחברה לבצע מספר פעולות מתקנות. 

מחברת דרך ארץ מפעילת כביש 6 נמסר כי "הנושא טופל בהתאם לדרישות המחמירות ביותר".