במשך שנים מתריעים מתנגדי המאגר הביומטרי, בהם מומחי אבטחת מידע וארגוני זכויות אדם, על הסכנה הטמונה במאגר ידע רב ערך כל כך, שחשוף כל כך לפריצה. הבוקר חושף המתכנת והבלוגר, רן בר-זיק, כי כל אחד, ללא ידע טכני משמעותי, יכול לשלוף בקלות רבה פרטים רגישים על כל מי שמבקש להוציא דרכון ביומטרי או תעודת זהות ביומטרית.
כשהמאגר הביומטרי נכנס לתוקף, כל אזרח נדרש להזמין תור במשרד הפנים לשם הוצאת תעודה ביומטרית. לפני העידן הביומטרי, היינו יכולים פשוט להופיע בסניף של משרד הפנים כדי להוציא תעודת זהות או דרכון חדש, אבל כיום בזמן הרישום באתר, המערכת מציגה את השעות והימים הזמינים מהם אפשר לבחור מועד. מיד אחרי הבחירה מקבלים הודעת SMS עם הפרטים של התור.
השירות הזה נשמע מאוד יעיל, נוח ומתקדם - אך הבעיה, לדברי בר-זיק, היא "שאבטחת המידע הלקויה של המאגר הביומטרי לא פוסחת גם על שירות הסמסים ולכל אחד יש גישה לסמסים שנשלחים לכלל האזרחים. וכשאני אומר כל אחד, אני מתכוון לכל אחד. הסמסים נשלחים באמצעות משרד הפנים דרך שרת לא מאובטח ברמה שכל ילד בן 17 יכול לגשת אליו, וזה בדיוק מה שקרה. באמצעות הקלדת שורה אחת בקונסולה ניתן לגשת מידית ובזמן אמת לסמסים שנשלחו כולל מספרי הטלפון. כך כל אחד יכול לדעת מתי כל אדם בישראל מבקש תיעוד ביומטרי, מה מספר הטלפון שלו ומתי נקבע לו תור".
לדברי בר-זיק המקרה הזה מראה את רמת האבטחה שיש במשרד הפנים ובמאגר הביומטרי בפרט. "אחד הדברים הבסיסיים שכל מתכנת סביר יודע הוא לאבטח - ולו ברמת הסיסמה - כל שרת שפתוח לרשת, ובמיוחד שרת שמעביר פרטים כאלו. אם בזה הם כושלים, בהגנה מפני מתקפות שילד בן 11 יכול לבצע, מה קורה כשצריך ליישם אבטחה משמעותית יותר?". בנוסף מסביר בר-זיק כי המידע הזה יכול לשמש עבריינים להתחזות למשרד הפנים ולסחוט פרטי אשראי בטלפון. "יש סיכוי סביר שהמידע כבר נאסף, קל לעלות על הפרצה הזו ואין לנו שום דרך לדעת מי אוסף את המידע הזה".
עוד מוסיף בר-זיק כי "כל מה שצריך זה רק להאזין - הכול פתוח. מעולם לא ראיתי שרת שפתוח לרשת בצורה כזו; זה כל כך רשלני וחורג מפרקטיקות מקובלות".
מדוברות רשות האוכלוסין במשרד הפנים נמסר כי "הפרטים נשלחו לקבלן משנה של רשות האוכלוסין לצורך שליחת SMS לאזרחים, לדברי ספק השירות התקלה זוהתה לפני מספר ימים והשרת המדובר אינו זמין יותר, רשות האוכלוסין מתייחסת בחומרה רבה לאירוע. אנו נמצאים בשלבי תחקור האירוע ובחינת המשך העבודה עם הספק".
לגבי תגובת משרד הפנים אמר בר-זיק כי "הם פשוט שמו את השרת מאחורי VPN - זה מה שהם היו צריכים לעשות מההתחלה".
>> לעוד כתבות מעניינות - עקבו אחרינו גם בפייסבוק.