סגור

בלעדי לכלכליסט
האקרים שתלו קבצים בשרתים של חברת סינאל

הפריצה לשרתים של חברת ניהול השכר, שנחשפה בכלכליסט, שימשה לשתילת קבצים על ידי שלוש קבוצות האקרים, שתיים מהן עוינות לישראל. סינאל: "המקרה אותר וטופל באופן מיידי"

קבוצות האקרים חדרו למערכות המחשוב של סינאל (Synel) הישראלית והצליחו להשתיל קבצים בשרתים של החברה לפחות בשלוש הזדמנויות שונות כך גילה ל"כלכליסט" ההאקר והאקטיביסט נעם רותם.
אף שהקבצים עצמם היו בלתי מזיקים, הימצאותם מעלה חשש אמיתי שתוקפים אחרים, מתוחכמים יותר, יכלו לנצל את הגישה לשרת על מנת לבצע מתקפה נגד המערכות של לקוחות סינאל.
ביום שישי חשף כלכליסט את קיומה של פרצת אבטחה חמורה במערכות סינאל, שמספקת שירותי ניהול שכר וכוח אדם לכמה מהחברות הגדולות במשק. הפרצה חשפה מידע רגיש של לקוחות, שכולל פרטי גישה והתחברות למערכות שמנהלת בעבורן החברה, ומידע אישי מזהה על מאות אלפי עובדים של מאות לקוחות.
עתה, מתברר שהפרצה גם נוצלה בפועל במטרה לשתול קבצים בשרתי סינאל על ידי שלוש קבוצות האקרים שונות, שתיים מהן ידועות כעוינות לישראל. המידע החדש מתפרסם במקביל בכלכליסט ובפודקאסט "סייברסייבר" של נעם רותם ועידו קינן.
סינאל מספקת שירותים כמו ניהול נוכחות, בקרת כניסה, סליקה פנסיונית ותשלום שכר, ולצד שירותי תוכנה גם משווקת מוצרי חומרה כמו שעוני נוכחות ביומטריים. עם לקוחותיה נמנים גופים כמו רפאל, התעשייה האווירית, בנק דיסקונט, בתי חולים, מכללות ומגוון חברותמסחריות מוכרות כמו דומינו'ס פיצה, אלקטרה ואיסתא.
המידע הראשוני על הפרצה התקבל בדיווח שהועבר לרותם. "הדיווח הפנה אותנו לשרת ששייך לסינאל ובו המון קבצים שככל הנראה לא היו אמורים להיות נגישים ברשת ללא זיהוי", סיפר לכלכליסט. "יתרה מכך, השרת היה כל כך לא מאובטח שהוא חשף את רשימת הקבצים לכל אדם החמוש בדפדפן, ואפילו גוגל אינדקס איתר את רשימת הקבצים. יש שם כמות נאה של קבצים הנגישים ללא שום צורך בהזדהות. חלק מהקבצים מכילים סיסמאות וקוד מקור של שירותים שונים, וחלקם קבצים שמיועדים להורדה על ידי לקוחות. שמות הלקוחות גם הם מופיעים שם לנוחות התוקפים".

סיסמאות וקודים חשופים

בין שאר הפרטים שהיו נגישים על השרת היו פרטי ההתחברות למערכת הדו"חות של סינאל שמכונה הרמוני (harmony), פרטי התחברות לחשבון ג'ימייל של החברה, פרטי התחברות לשרת המייל של סינאל, פרטי התחברות לשרתים ופרטי התחברות לשירות רישיונות השימוש שלה.
בסינאל טענו בתגובה הראשונית כי מדובר בשרת FTP שמיועד להפצת גרסאות עדכון של מערכות החברה ללקוחותיה. לדברי החברה, השרת אינו מוגן בכוונה ואין בו מידע רגיש או פרטי של סינאל או מי מלקוחותיה. הסיסמאות שנמצאו בשרת, נטען, הן סיסמאות דמה בלבד.
הדברים האלו התגלו כלא מדויקים לחלוטין, לאחר שהתברר שהסיסמאות הן סיסמאות התחברות פעילות שמאפשרות לקבל גישה לשירותים השונים של סינאל. בנוסף, באחד מקובצי הוורד שאוחסנו בשרת, מצא רותם את מה שהוא מכנה "הדובדבן בקצפת" של הפרצה: הסבר איך לבצע שאילתות ישירות למאגרי הנתונים השונים שמנהלת סינאל, ללא צורך בשום הזדהות ועל ידי שימוש בדפדפן בלבד.
"בכמה מסמכי וורד שנמצאו בשרת הפתוח הם מסבירים בדיוק מה צריך לשלוח על מנת להריץ שאילתות על מסד הנתונים, בלי שום צורך בהזדהות", אמר. "באמצעות דפדפן בלבד אפשר לשלוח כל שאילתה כאילו ישבת ליד מסוף מסד הנתונים ותקתקת על המקלדת שלו. אפשר לשלוף את רשימת החברות, ומתוך כל חברה את רשימת העובדים, הכוללת את כל הפרטים הנגישים למערכת שכר: תעודת זהות, שם מלא, טלפון, מייל, מצב משפחתי, מספר ילדים, תחילת עבודה, אחוזי משרה, משכורות האם יש או אין טביעות אצבעות ועוד".

נמצאו 3 קבצים שתולים

לדברי רותם, מערכת הרמוני מאפשרת גישה ל־870 חברות ישראליות, בהן: אלקטרה, שלל חברות ביטוח, פזגז, אמות, בנק לאומי נדל"ן, סנונית, טויוטה, שוקה, חיפה פולימרים, קדומים, סופר אלונית, לומניס, יפעת, התעשייה האווירית, כפר הים, יובלים, עמישב, קרונוס סייברטק, Kaymera של דן חלוץ, BSR, בית ברל, דומינו'ס פיצה ואיסתא.
"שליפה של רשימת עובדי דומינו'ס פיצה, למשל, מחזירה רשימה 11,500 עובדים עם מספרי תעודת זהות ופרטים נוספים", מבהיר רותם. "נראה שגם עובדים שעבדו זמן קצר ועזבו נמצאים במערכת, ונחשפו במסגרת חור האבטחה העצום הזה".
מידע כזה יכול לשמש תוקפים לביצוע מתקפות פישינג נגד עובדים שפרטיהם נחשפו. למשל, אם התוקף יודע מי הועסק בחברה כלשהי, מה שמו, כתובת האימייל ומספר הזהות שלו הוא יכול להתחזות לנציג ממחלקת כוח האדם בחברה, להגיד שלעובד מגיע כסף שלא שולם לו, ולהשתמש בפרטים המזהים שהוא כבר מחזיק עליו על מנת לשכנע אותו להעביר פרטים נוספים כמו מספר כרטיס אשראי.
לחילופין, יכול תוקף להשתמש בפרטים כדי להתחזות לעובד בחברה ולפנות אליה בניסיון להוציא ממנה מידע רגיש.
בדיקה נוספת שביצע רותם העלתה ממצא מדאיג במיוחד שנחשף כעת: מתברר כי שלושה קבצים הועלו לשרתים על ידי שלוש קבוצות האקרים שונות, המוקדם ביותר כנראה מ־2010 והמאוחר ביותר מ־2015.
לדברי רותם הקבצים שהועלו, קובץ TXT אחד ושני קובצי HTML, אינם מסוכנים בפני עצמם, אך עצם הימצאותם על השרת בעייתית במיוחד. "זה אומר שהיתה להם גישת כתיבה לשרת, ואולי יכולת להחדיר קבצים שנטענו בהמשך לרשתות פנימיות של ארגונים", אמר.
1 צפייה בגלריה
מימין: ארז בוגנים מנכ"ל סינאל וההאקר והאקטיביסט נעם רותם
מימין: ארז בוגנים מנכ"ל סינאל וההאקר והאקטיביסט נעם רותם
מימין: מנכ"ל סינאל ארז בוגנים וההאקר האקטיביסט נעם רותם. התוקפים שתלו מסמכים במערכות המידע
(צילומים: אוהד צויגנברג, יובל כהן)
"אם מצאנו שלושה מקרים, סביר שהיו הרבה יותר שלא מצאנו. אם מישהו יודע מה השרת הזה ומה הפונטציאל שלו? אני לא יודע. אבל אני יכול להגיד בוודאות גבוהה מאוד ששלוש קבוצות, שתיים מהן בוודאות עוינות לישראל, קיבלו גישת כתיבה לשרת הזה", הוסיף רותם.
גישה זו מסוכנת במיוחד, שכן השרת המדובר משמש את סינאל להפצת עדכוני תוכנה ללקוחותיה. גורמים עוינים יכולים לנצל גישה מסוג זה על מנת להזין לשרת קבצים זדוניים שיורידו לקוחות, ודרכם לקבל שליטה ברשתות הפנימיות שלהם.

סינאל: קמפיין השחתה

מדובר בווקטור תקיפה שמכונה מתקפת שרשרת אספקה, ושמזכיר מאוד את מתקפת הסייבר שבוצעה בשנה שעברה על שורה רחבה של גופי ממשל פדרליים וחברות מסחריות בארה"ב. שם הצליחו תוקפים להשתלט על שרת עדכונים של ספקית תוכנה, SolarWinds, לשנות את הקבצים שהורידו לקוחות לשרתיהם, וכך לפרוץ למערכותיהם. רשימת הגופים שנפגעו במתקפה זו אדירה, וכוללת את משרד ההגנה, משרד האנרגיה, המשרד לביטחון המולדת, משרד המשפטים, סיסקו, אנווידיה וחברת הסייבר FireEye.
"הפוטנציאל למתקפה מסוג זה קיים גם במקרה זה", הזהיר רותם. "לכן מומלץ בחום לעשות בדיקות בכל הרשתות שיש בהן את התוכנה של סינאל".
מסינאל נמסר בתגובה: "מדובר בהעלאת מספר קבצים שבוצעה כחלק מקמפיין השחתה רב לאומי לפני מספר רב של שנים. המקרה אותר וטופל דאז באופן מיידי על ידי סינאל. כמו כן, באותה עת, לא התבצע כל שינוי בקבצי מערכת או קבצי התוכנה של סינאל. שרת זה לא שימש, באותה העת כאשר היה פעיל, לפעילות מסחרית של סינאל מול לקוחותיה, ולא עיבד מידע של לקוחות סינאל ועובדיהם.
"סינאל מבקשת לציין, כי למידע החדש הנ"ל שהוצג בפניה על ידי כלכליסט, אין כל קשר לדיווח של סינאל מלפני מספר ימים לבורסה לניירות ערך שבתל אביב ולכתבה הקודמת שפורסמה בכלכליסט לאחר הדיווח ביום שישי האחרון. לנוכח בקשת כלכליסט את תגובת סינאל בעניין, מבקשת סינאל להבהיר כי בימים האחרונים מבצעת סינאל בדיקה מקיפה לכלל מערכותיה בליווי מומחי סייבר מחברת Profero, ובתוך כך, מנסה לאתר פרצות נוספות, במידה וישנן. למותר לציין, כי שרת זה הוצא מכלל פעילות. סינאל לא תחסוך בשום אמצעי בכדי להבטיח את רמת אבטחת המידע הגבוהה ביותר עבור לקוחותיה ועובדיהם".