$
חדשות טכנולוגיה

בלעדי לכלכליסט

פרצה חמורה באתר רשות האכיפה והגבייה חשפה מיליוני דוחות תנועה ופרטים של נהגים

חוקרי סייבר ישראלים מצאו שניתן היה להקליד מס' דוח תנועה לגבייה ולקבל את פרטי המקרה ללא צורך באימות נוסף של זהות המבקש. בין הפרטים שנחשפו היו מס' הרכב, בעל הרכב, מקום העבירה והיקף הקרן וריבית הפיגורים

רפאל קאהאן 14:1927.08.20

חולשה באתר רשות האכיפה והגבייה אפשר לכל מי שבידיו מס' דו''ח משטרה לתשלום לקבל את כל הפרטים של האירוע, כולל פרטי בעל הרכב, מס' הרישוי, פירוט מלא של הדו''ח והיקף הקרן והריבית. מערכת תשלום הדוחות אמנם צוידה במנגנון לאימות הבקשה Captcha אך זה משמש רק לאישור שהמבקש אינו בוט או אפליקציה אלא אדם אמיתי. אך גם מניפולציה של המנגנון על ידי האקר אפשרה לעקוף את ההגנה היחידה שבה צוייד האתר.

אם היה בידיכם מס' דו''ח, כל מה שהייתם צריכים זה להקליד אותו באתר כדי לשלם את הקנס. חוקר הסייבר סהר אביטן, מחברת הסייבר הישראלית Security Joes, הסביר לכלכליסט שמדובר בפרצה חמורה כי המניפולציה שנדרשה כדי לקבל דו''חות נוספים היתה קלה מאוד ליישום עבור מי שזיהה אותה. בעגה המקצועית מדובר בפרצה שנקראת IDOR, או Insecure Direct Object Reference. מדובר בחולשה במנגנון בקרת הגישה שמאפשר למשתמש להזין פרטים שאינם שלו ולקבל גישה לאובייקטים או נתונים שאינם מיועדים לו.

מערכת תשלומי הדוחות של רשות האכיפה והגבייה היתה פרוצה מערכת תשלומי הדוחות של רשות האכיפה והגבייה היתה פרוצה צילום: חיים זיו

 

במקרה הנוכחי היה מדובר בהקלדה של מס' הדו''ח בלי אמצעי זיהוי נוסף כגון מס' ת''ז למשל או מס' רשיון נהיגה. תוקף מתוחכם יותר יכול אפילו להתחזות למשתמשים נוספים באופן אוטומטי על ידי כתיבת סקריפט תוכנה שמזין מס' גדול של מספרים. אמנם מנגנון ה-Captcha היה אמור למנוע מס' גדול של ניסיונות ולחסום אותם, אך גם כאן ניתן היה לעקוף את ההגנה ולקבל עד כ-40 דוחות בדקה. מיותר לציין שגורם זדוני היה יכול לעשות נזק הרבה יותר גדול ושים את ידיו על פרטים רגישים של אזרחי המדינה.

 

חוקרי החברה בדקו את הפרצה ואימתו את התקלה. הם חשפו אותה למערך הסייבר הלאומי שבתורו וידא את תיקונה המלא. חשוב להבין שמדובר בפרצות שאולי נראות על פניהן כלא מזיקות ברובן, אך למעשה הן בעייתיות מאוד. "הם תיקנו את ה-captcha והוסיפו מזהה לבקשת הדוח", הסביר לכלכליסט עידו נאור מייסד החברה. עוד הסביר אביטן שהשילוב בין מס' הרכב, פרטי הבעלים ופרטי המקרה מהווים מידע יקר ערך עבור האקרים וסוחרי מידע. ככל שמידע מאומת מועבר לסוחרי נתונים הוא נמכר לצד שלישי ומשמש לבניית פרופיל אישי שבהמשך ניתן לנצל למטרות פרסום לא מורשה או אפילו למטרות פליליות כגון זיוף רשיונות רכב, נהיגה או חמור מכך.  

 

מרשות האכיפה והגבייה נמסר בתגובה: "אכן אותרה במהלך אוגוסט פגיעה באתר התשלומים הממשלתי בממשל זמין שמארח את הרשות. בעת קבלת ההודעה בוצעו מספר תיקונים והסתרת מידע אישי על ידי הרשות, וזאת למניעת חשיפת המידע באתר שנמצא בממשל זמין."

בטל שלח
    לכל התגובות
    x