כ"ה כסלו התשפ"ה
26.12.2024

פירצה במאגר רשות האוכלוסין חשפה מידע על אזרחים בתור לתעודות ביומטריות

החוקר רן בר זיק הראה כי ניתן לאתר את מועד התור, מיקומו ומספר הטלפון של בעליו • עם זאת, לא ניתן לראות את מספר תעודת הזהות של האזרח או את שמו • התקלה טופלה

מאגר ביומטרי. צילום: מרים אלסטר, פלאש 90
מאגר ביומטרי. צילום: מרים אלסטר, פלאש 90



בכל הקשור למאגר הביומטרי, המדינה מבטיחה חומות גבוהות של הגנה על מידע אישי של האזרחים, וזאת על אף אזהרות של חוקרי אבטחת מידע לאורך השנים שלפיהן "אין מאגר שאינו פריץ".

והנה, חוקר אחד הצליח לגלות כי מערכת התורים של רשות האוכלוסין להנפקת תעודות ביומטריות, הנשלחים לאזרחים בהודעות SMS, חשופה לרשת האינטרנט ודולפת מידע.

החוקר, רן בר זיק, הראה כי ניתן לאתר את מועד התור, מיקומו, ומספר הטלפון של בעליו. עם זאת, לא ניתן לראות את מספר תעודת הזהות של האזרח או את שמו. הפירצה נסגרה אחרי תהליך הסגרה (תהליך לסגירת הפירצה בטרם פרסום לציבור אודותיה) שבוצע מול משרד הפנים.

"הסמסים נשלחים באמצעות משרד הפנים דרך שרת לא מאובטח כלל. כמה לא מאובטח? ברמה שכל ילד בן 17 יכול לגשת אליו - וזה בדיוק מה שקרה" - כך כתב בר זיק בבלוג שלו אודות הפירצה. "למה זה כל כך חמור? משתי סיבות עיקריות: זה מלמד על רמת האבטחה שיש במשרד הפנים בכלל ובמאגר הביומטרי בפרט. אחד הדברים הבסיסיים שכל מתכנת סביר יודע הוא לאבטח, ולו ברמת הסיסמה, כל שרת שפתוח לרשת, ובמיוחד שרת שמעביר פרטים כאלו. אם בזה הם כושלים, בהגנה מפני מתקפות שילד בן 11 יכול לבצע, מה קורה כשצריך ליישם אבטחה משמעותית יותר?; שנית, אפשר להשתמש בפרטים האלו לניסיונות פישינג וסחיטה. למשל, דמיינו את תסריט השיחה הבא:

'הלו?'

'שלום, מדבר מושיקו ממשרד הפנים. אני רואה שזומן לך תור ללשכה של בני ברק בשעה שמונה וחצי בבוקר ביום שלישי, 11 בינואר'.

'אכן כן! למה התקשרתם?'

'אנחנו יכולים לחסוך לך את ההגעה, אנא מסור לי את מספר תעודת הזהות שלך ומספר כרטיס האשראי, ונדאג שהדרכון יישלח אליך בדואר'.

התגלית של בר זיק היא חלק מפסיפס רחב יותר. הוא ביצע מחקר סריקה בכלים סטנדרטיים על טווח כתובות IP באינטרנט הישראלי, והופתע לגלות מאגרי מידע רבים החשופים לרשת - הן מאגרים ממשלתיים הן של חברות מסחריות, כולל למשל רשימת פציינטים במרפאה בצפון, רשימת לקוחות של חברות מסחריות, ועוד.

הממצאים הנוספים יפורסמו בהמשך בהדרגה, אחרי תהליך הסגרה.
מרשם האוכלוסין מאגר ביומטרי משרד הפנים מידע חסוי

art

'בחדרי' גם ברשתות החברתיות - הצטרפו!

הוספת תגובה

לכתבה זו טרם התפרסמו תגובות

תגובות

הוסיפו תגובה
{{ comment.number }}.
{{ comment.date_parsed }}
הגב לתגובה זו
{{ reply.date_parsed }}