סגור
גג עמוד לכלכליסט טק דסקטופ

פרצת אבטחה ב- Callbiz חשפה הקלטות של חברות ומשרדי ממשלה

פרצת אבטחה במערכת של חברת המוקדים הטלפוניים Callbiz חשפה מידע רגיש על יותר מ־2,300 חברות וגופים. ההאקר נעם רותם: "אין שום דרישה מגוף מסחרי שמחזיק מידע רגיש אודות מיליוני אזרחים וזה שורש הבעיה"

פרצת אבטחה במערכות חברת קולביז (Callbiz), שמספקת שירותי השארת הודעות ומוקדים טלפוניים לארגונים, חשפה את כל השיחות שנתקבלו והוקלטו על ידי החברה, כולל של לקוחות ממשלתיים שעוסקים במידע בריאותי וביטחוני רגיש כמו משרד הבריאות ורשות שדות התעופה, וכן שמות משתמש וסיסמאות לא מוצפנות – כך חושף ההאקר והאקטיביסט נעם רותם.
הדיווח מתפרסם רק אחרי שהפרצה תוקנה והשיחות הורדו מהרשת. הפרצה נחשפת במקביל בכלכליסט ובפודקאסט סייברסייבר של רותם ועידו קינן.
בספטמבר טענה קבוצת האקרים שפרצה למאגרי המידע של Voicenter, שמתחרה בקולביז ומספקת שירותים לחברות כמו פרטנר, גט ומובילאיי. ההאקרים הציעו למכירה מידע בנפח של 15 טרה-בייט, שלדבריהם הורד משרתי החברה. "בעקבות הפרצה פנה אליי האקר שמכונה 'אדון צ'וקו', ואמר שהוא התעניין לדעת כמה קל להוציא מידע משירותים כאלו", סיפר רותם. "במקרה של קולביז התשובה היא: מאוד קל. כל שצריך הוא כלי הפריצה המשוכלל דפדפן, וזה הכל. לא צריך שום דבר אחר. מגיע האקר, לקח לטענתו 15 פטה-בייט של מידע מחברת אחת. המתחרים שלה, חברה אחרת, חשופה לפחות באותה מידה, ולא חשבו להגיד, 'זה קרה שם אולי נבדוק מה קורה אצלנו?'. אם פרצו לווייסנטר אולי שקולביז יבדקו אם גם הם חשופים? כשמתחרה שלכם נפרץ, זה לא אמור לעורר אצלכם משהו?"
2 צפייה בגלריה
צילום מסך אתר קולביז
צילום מסך אתר קולביז
צילום מסך, אתר קולביז
הקלות של ההגעה למידע מבהילה. לדברי רותם, קולביז יצרה עמוד אינטרנט, שנגיש בלי סיסמה או הזדהות, ובו מוצגת רשימת לקוחות החברה. אלו כוללים יותר מ-2,300 חברות וגופים, ובהם דלק מוטור, זאפ גרופ, מטריקס, משרדי ממשלה כמו משרד הראש הממשלה, משרד האוצר ומשרד הבריאות, רשות שדות התעופה, רשות החדשנות, רשויות מקומיות, בתי אבות וחברות ציוד רפואי.
כל מי שגלש לעמוד זה נחשף לרשימת הלקוחות המלאה. כדי לגשת למידע המלא של הלקוח ששמור במערכת נדרשה פעולה מסובכת במיוחד. "לוחצים על שם לקוח בעמוד ואז אתה מחובר בשמו ויכול לראות את כל מה שהוא רואה", הסביר רותם. "בלי סיסמה או הזדהות כלשהי. עין מקצועית לא שזפה את הקוד הזה מעולם. ואת כל המידע הזה אפשר לשאוב בצורה אוטומטית באמצעות סקריפט פשוט של כמה שורות קוד קצרות".
המידע כלל את שיחות הטלפון שקיבלו קולביז ועובדיה בשם לקוחות, ובהן לא פעם מידע רגיש. רשות שדות התעופה, למשל, ניתבה לשירות שיחות שעסקו באישורי כניסה לנתב"ג (פרטים מזהים צונזרו). "יש עובדת שנמצאת כרגע בנתב"ג ומחכה להיכנס", נשמע מתקשר, שהזדהה כמנהל מסעדה בנתב"ג, באחת ההקלטות שנחשפו. "יש אפשרות לחבר אותי לכונן לראות מה הסטטוס של זה?" מתקשר אחר, שהזדהה כעובד של רשות שדות התעופה, סיפר: "עובד שלי פרצו לו הלילה הביתה וניקו לו את כל הבית, ובין היתר גם אישור כניסה לנתב"ג".
שיחות מוקלטות של רשויות מקומיות כללו תלונות תושבים. "התלוננתי לפני שלושה שבועות כבר על פח אשפה שבור", אמרה תושבת באחת ההקלטות. "אני הולכת לזרוק זבל וקופצים עלי חתולים. אני בת 71, ולא צריכה לחשוש שקופצים עלי חתולים ועדיין לא החליפו לי פח".
המוקד של משרד הבריאות הקליט שיחות רבות שקשורות להתמודדות עם הקורונה. "אני עובד בחקירות (אפידימיולוגיות) ולא מצליח להתחבר למערכת", התלונן מתקשר אחד. מתקשר אחר סיפר: "אני **** ממעבדה ****. אנחנו מעבדת PCI ויש לנו ריסט לכספת בדיוק עכשיו והסיסמה השתבשה. אני צריך שישחררו לנו את הכספת שמעלים אליה הקבצים של הקורונה". עוד מתקשר אמר: "יש פה מיליון תקלות, לא יודע מה להגיד. המחלקה הזו מתחילה לעבוד היום במצב של קורונה, אחר כך יהיה מאוד קשה להיכנס לשם".
מתקשרת שפנתה לרשות החדשנות ביקשה: "אני שלחתי לפני שלושה חודשים כל הטפסים לסגירת תיק. אני רוצה לדעת שזה באמת נסגר ואין לי שום מחוייבויות, כי החברה נסגרת. לא יהיה עם מי לדבר. אני חייבת לוודא שאין לי שום דבר פתוח מולכם".
מוקד הלוואת זהב של הפיניקס קיבל שיחה ממתקשר שהתעניין במשכנתה הפוכה וביקש לבדוק זכאות ראשונית. שיחה זו כללה פרטים מזהים רבים, לצד פרטים פיננסיים רגישים כמו שווי הדירה שבבעלותו והעובדה שאין עליה משכנתאות או עיקולים. הקלטות רבות אחרות, לחברות שונות, חשפו גם הן פרטים אישיים מזהים של מתקשרים, כמו שמות מלאים, מספרי זהות, כתובת, טלפונים ופרטי כרטיס אשראי.
פרצה נוספת חשפה את כל רשימת המשתמשים בשירות של קולביז, כולל סיסמאות לא מוצפנות. "לא צריך את זה כדי לגשת למידע, אבל אם כבר אז הנה זה שם לנוחות האיראנים ועוזריהם", אמר רותם. "משרד ממשלתי, גוף ביטחוני, גוף שמתעסק במידע רפואי, לא תדרוש שלא ישמרו לך סיסמאות לא מוצפנות? לא תדרוש שאי אפשר יהיה לגשת למידע שלך בלי צורך בהזדהות?"
רותם הוסיף שהפרצה הזו מדאיגה במיוחד לאור מתקפת ההאקרים נגד ווייסנטר. "כל ההבדל בין המקרים הללו הוא זהות מגלי הפרצות", אמר. "העובדה שאין שום דרישה אמיתית משום גוף מסחרי שמחזיק מידע רגיש אודות מיליוני אזרחים ישראלים היא שורש הבעיה. המקסימום שיכולה המדינה לעשות זה לבקש יפה לסגור את החורים. העובדה שאין לה שום יכולת להשפיע על הדרך בה בוחרות החברות לטפל במידע של כולנו, היא זו שמביאה למתקפות שאנחנו רואים יותר ויותר מהן. את המחיר משלמים, כרגיל, אנחנו".
מקולביז נמסר בתגובה: "החברה משקיעה משאבים רבים בכלים טכנולוגיים מתקדמים לשם הגנת ואבטחת המידע שלה ושל לקוחותיה. מנהלי אבטחת המידע של החברה פועלים לילות כימים על מנת לוודא ולהתעדכן כל העת בפתרונות הגנת סייבר מהחדשים והמתקדמים שיש. אנו עומדים בתנאי הרגולציה הנדרשת מבחינת הגנת מידע שנבדקו ואושרו על ידי הרשות להגנת הפרטיות ונמשיך לפעול להיות בחזית הטכנולוגיה הקיימת בנושא. מיד כשאותרה הבעיה הנושא טופל באופן מיידי והפירצה נחסמה ומבדיקה מעמיקה שנערכה הן על ידינו והן על ידי חברה חיצונית אובייקטיבית נמצא שלא התבצעה שום פריצה על ידי גורם זר מלבד פרצה זו על ידי חוקר עצמאי, כך שלא נגרם כל נזק לחברה וללקוחותיה. לצערנו, אנו מודעים לכך שתוקפי סייבר לא ייעלמו וכל מטרתם היא לחבל בפעילות רשתית בכלל ושל חברות ישראליות בפרט ועל כן אנו משדרגים את המערכות שלנו באופן תדיר".