טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

פרטים אישיים של אנשי כוחות ביטחון חשופים באתר של ארגון מקצועי

מומחה אבטחה שדיווח על הפירצה סיפר כי גילה פרטים אישיים רבים של מאות שוטרים, אנשי מג"ב ואנשי שב"ס; הארגון טען כי טיפל בפירצה, אך עד כה הפרטים עדיין חשופים

תגובות

פרטים אישיים של אנשי כוחות הביטחון נחשפו באתר ארגון מקצועי ישראלי, כך גילה דורון אופק, מומחה אבטחת מידע ומנכ"ל SuSE ישראל. בארגון מודעים לפירצה וטוענים כי היא נחסמה, אולם עד כה נראה שהחסימה נעשתה בצורה חובבנית והמידע השייך לשוטרים, אנשי מג”ב ושב”ס, ופוטנציאלית גם של מתנדבי משמר אזרחי עדיין חשוף ונגיש בקלות. זאת למרות שלעת עתה נראה שהאתר עצמו נחסם. שמו של הארגון לא מפורסם לעת עתה, עד לחסימת הפריצה.

המידע מגיע מטפסי הצטרפות לארגון, ועל כן מכיל מידע אישי ומקצועי מפורט שהאנשים מילאו בטפסים הללו – שם מלא בעברית ובאנגלית, תמונה, ת”ז, תאריך לידה, כתובת מגורים, טלפונים (בית, נייד, עבודה, פקס), אימייל, מצב משפחתי, מספר ילדים, שיוך מקצועי (משטרה/מג”ב/שב”ס), מספר אישי, תאריך גיוס, מחוז ומרחב, תאריך פרישה במקרה של גמלאים ופרטי בני זוג שחברים בארגון.

מידע רב כל כך על אדם עלול לשמש גורמים זדוניים לגניבת זהותו ולשימוש בה לביצוע עבירות ביטחוניות ופליליות. הגורמים הזדוניים יכולים אף ליצור קשר עם אותו אדם, להתחזות לארגון המקצועי באמצעות הצגת הפרטים שהוא סיפק לארגון ולהוציא ממנו פרטים אישיים נוספים.

העובדה שהקורבנות הפוטנציאליים הם אנשי כוחות הבטחון היא סכנה פוטנציאלית נוספת, משום שהגורמים הזדוניים יוכלו להשתמש במידע כדי להתחזות לשוטרים מול אזרחים ולנצל את הכוח הזה לבצע עבירות חמורות יותר, וכן יוכל המידע לשמש עבריינים להטריד שוטרים ואת בני משפחותיהם.

טופס שנחשף באתר
חדר 404

“מצאתי (את הפירצה) ממש במקרה, וכשהבנתי שאני מסתכל על משהו שאני לא אמור לראות אז התחלתי להרים דגלים”, אמר לי אופק, שדיווח בקבוצות אבטחת מידע על איתור מאות רשומות של שוטרים וגמלאי משטרה. “אתמול, ממש במקרה, גיליתי אתר שכל המידע בו היה חשוף, והוא החזיק מידע פרטי /אישי (שמוגן מכוח חוק הגנת הפרטיות) על כמות מאד נכבדה של אנשי משטרה”, כתב אופק בשרשור פייסבוק על דיון בכנסת שעוסק בתקנות אבטחת מידע.

"האתר לא שייך למשטרה, אלא לגוף סמך של השוטרים .. אנשי יחידת הסייבר המשטרתית היו בשוק, יועצים משפטים וכו’ .. כולם, ניסו אתמול מהר מהר לסגור את הפרצה", כתב אופק. "להבנתי , בינתיים ‘מיסכו’ (מלשון מיסוך) אותה .. אבל היא לא נפתרה .. עובדים על זה".

בדקתי מידע שאופק סיפק לי, והבדיקה העלתה שאנשי האתר חסמו נקודת גישה בנאלית למדי, אולם המידע עצמו עדיין זמין לכל גולש באמצעים פשוטים מאוד.

בשיחת טלפון עם לשכת מנכ”ל הארגון אמרו “זה בטיפול. היתה תקלה קטנה אבל הכל טופל”

העניין הוא שהפירצה הזאת עדיין קיימת וחושפת פרטים של שוטרים אז רציתי לדעת אם היא…

“לא קיימת. טופלה”.

קיימת.

“היא לא קיימת”.

רואה אותה עכשיו. טפסים זמינים לי כרגע.

“עמי, אני מדברת עם עיתונאי בקשר לאבטחה, הוא אומר שעדיין זה זמין ועדיין זה פרוץ. תעשה רענון, כי מה שאתה רואה זה לא יכול להיות. עשינו עכשיו בדיקה”.

תוכלי להעביר אותי אליו כדי שאני אדבר איתו?

“כבר דיברו איתנו מלה”ב 433. ואנחנו טיפלנו בזה. אין לי יותר מידע לתת לך. זה טופל”.

ראוי לציין ששיחה עם להב 433 בשלב כזה ככל הנראה לא מעידה על חקירה, אלא על התייעצות טכנית בנוגע לסגירת הפירצה. דליפת מידע כזאת עשויה להיחקר בהמשך על ידי רמו”ט (הרשות למשפט טכנולוגיה ומידע במשרד המשפטים), שאמונה על פיקוח ואכיפת חוקי הגנת פרטית.

האתר חזר ואיתו גם הפירצה.

דובר הארגון אמר לי בתגובה: “קודם כל, מי שהעביר את המידע הזה עשה שירות טוב, כי הוא נתן לנו אפשרות לבדוק את העניין ולתקן את זה. היתה תקלה בנושא של אותם אנשים שביקשו לחדש תעודות חבר בארגון. האופציה הזאת עוברת עכשיו שינוי והצפנה. כרגע השירות הזה לא ניתן. נחסם, כדי לבדוק בדיוק מאיפה היתה שם דליפה, וזה עובר איזשהו תהליך של שינוי – כך שנכון לרגע זה, אם תרצה לבקש לחדש תעודת חבר בארגון, תצטרך לעשות את זה באמצעות פקס. כך שהבעיה למעשה נפתרה. הבעיה היתה שולית, זניחה וקטנה. זה לא טופסי הרשמה לארגון, זה טופס שמישהו שרוצה לחדש. והנתונים שמופיעים שם – אני חבר זה וזה, אני מבקש תעודה חדשה”.

אבל היו שם פרטים אישיים מלאים של שוטרים. זה לא פרטים זניחים, אפשר היה להשתמש בהם לגניבת זהות ולהתחזות לאותם אנשים. מעבר לזה, המידע עדיין זמין, הפירצה עדיין קיימת.

“המידע הזה לא זמין יותר, זה נחסם”.

אני רואה אותו מול העיניים כרגע.

“אם אתה אומר ככה, אז תן לי עוד פעם לבדוק עם החברה שמטפלת בזה, כי הם סגרו את זה כבר בבוקר”.

פורסם לראשונה בחדר 404



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות