פיקוד העורף הגל השקט

הגדרת ישובים להתרעה
      הגדרת צליל התרעה

      נושאים חמים

      פרצת אבטחה במערכת כרטיסי ההסעדה סיבוס נחשפה: במאגר מאות אלפי עובדי המדינה

      חוקר אבטחה פרטי ואקטיביסט מצא פרצת אבטחה במערכת כרטיסי ההסעדה סיבוס. הפרצה אפשרה גישה למאגר הלקוחות בלבד ולא לכרטיסי האשראי. בחברה סגרו את חור האבטחה, הרגיעו את המשתמשים ומסרו כי המידע לא דלף

      אמש חשף נועם רותם בחשבון הטוויטר שלו כי מצא פרצת אבטחה במערכת של חברת סיבוס המספקת פתרונות לשירותי ארוחות והסעדה בארגונים כבר למעלה מ-20 שנה. נועם רותם, חוקר אבטחה פרטי ואקטיביסט מצא את פרצת אבטחה שבאמצעותה ניתן היה לגשת לפרטיהם של מאות אלפי הלקוחות שביניהם נמצאים גם עובדי המדינה. הרשימה לא כללה כרטיסי אשראי אלא רק פרטי קשר, ושלושת ספרות האחרונות בגב הכרטיס. סיבוס זכו במכרז של עובדי המדינה, כך שכל מאגר העובדים נמצא בשרתי החברה. בעבר חשף רותם פרצה באתר של שב"ס שבו לטענתו, הגורמים בשב"ס לא דיברו עמו כלל, למרות פניותיו. "לא הייתה להם דרך לדעת מי נכנס למערכת, הדרך היחידה שלהם לדעת הייתה רק באמצעותי והם לא שאלו אותי בכלל. אין להם מושג אם המידע הזה נמצא בידיים של מישהו אחר שהוא לא אני", סיפר רותם.

      "ברגע שזיהיתי שם חולשה באחת מנקודות הגישה שלהם, קיבלתי גישה ישירה למסד הנתונים שהוא כלל 14 מסדי נתונים שונים. גם פנימיים כמו קמפיינים שהם מריצים, הנהלת חשבונות, ניהול קרדיטים ומנגנון הלקוחות, כלומר כל השירות לקוחות. הכל ישב על אותו המקבץ", סיפר לנו נועם. "אז ראיתי שיש לי גישה להכל, הורדתי איזושהי סכמה של איך הדברים נראים, מה יש שם. הצלחתי לנצל הגדרות אבטחה שהיו לקויות ולקבל גישה למערכת ההפעלה עצמה. ברגע שהגעתי לשם, הבנתי שזהו: ההשתלטות הסתיימה ויותר גבוה מזה אי אפשר להגיע. פניתי אליהם, ידעתי אותם על החור הזה והיה איזשהו אתגר לעשות כי היו בעיות בתקשורת ונאלצתי לשלוף את המייל של המנכ"ל ממסד הנתונים שלהם ולפנות אליהם ישירות".

      אפליקציית סיבוס (צילום מסך)
      "בתוך מאגר הנתונים של החברה נמצאים פרטיהם של מאות אלפי עובדי המדינה". (צילום מסך)

      מאגר הלקוחות הגדול של החברה מנה בין היתר כאמור, גם את פרטיהם של עובדי המדינה. "סיבוס או סודקסו זכו במכרז של עובדי המדינה, אז בעצם גם המידע של עובדי המדינה שנמצא על אותו אתר בעצם, גם הוא היה באותו מסד נתונים. אני לא לקחתי את המידע הזה אבל אם מישהו אחר עשה את זה אז אין לי דרך לדעת. לפי מה שראיתי הם לא שומרים את מספר כרטיס האשראי, הם כן שומרים פרטים מזהים אחרים כמו תוקף, ארבע ספרות ודברים דומים. מי שמטפל להם בסליקה זו חברה חיצונית, כך שמספר כרטיס האשראי לא נמצא אצלם, כמו שצריך להיות".

      סיבוס (צילום מסך)
      "ברגע ששמעו על הפרצה, בחברה טיפלו במהירות ובזריזות בנושא". (צילום מסך)

      רותם חיפש דרך ליצור קשר עם המנכ"ל או גורם אחר ודיווח בחשבון הטוויטר שלו שדף היצירת קשר לא תקין. כדי ליצור קשר, הוא פשוט שלף את המייל של המנכ"ל מהרשימות ושלח לו הודעה על התקלה. "שלחתי לו במוצאי שבת את המייל ובראשון בבוקר הוא ענה. הוא הפנה אותו לאחראי ואז המנכ"ל הבין את חומרת העניין. מהרגע הזה הם טיפלו בנושא בצורה יוצאת מן הכלל, הם פנו אליי, דיברו איתי והבינו את היקף הבעיה".

      מה עומד מאחורי הפרצות האתיות?

      "הרציונל שלנו זה העלאת מודעות לנושא הפרטיות ברשת ולחשיבות של אבטחה של שירותים ברשת. כמו שאפשר לראות, בארץ לא לוקחים את זה מספיק ברצינות. זה משהו שאנחנו פועלים כדי לעלות את המודעות ולנסות לייצר איזשהו שינוי. יש לא מעט פעמים שגם אני וגם אחרים קיבלנו איומים, גם משפטיים וגם פיזיים. אבל זה נושא חשוב מדי כדי להשאיר אותו ככה. שוב אני בא באמת בצורה הכי ישרה ואני לא מסתתר, אני לא לוקח את המידע, אני לא סוחט, אני לא לוקח מהם שקל. זה מידע של הציבור והוא צריך לדעת שהמידע שלו נמצא בגופים שיודעים לשמור עליו".

      מסודקסו נמסר: "עם הדיווח אתמול בדבר אפשרות החדירה בוצעה חסימה ופרצת האבטחה טופלה באופן מהיר ומידי. חשוב להדגיש כי לא נחשפו פרטי עובדים לגורם חיצוני וכי לא נחשפו פרטי כרטיסי אשראי. פרטי כרטיס האשראי מאוחסנים ע"י חברה מתמחה על פי תקן מחמיר של PCI-DSS. המערכות שברשותנו הינן מהמתקדמות והמאובטחות ביותר, נמשיך לעקוב ולטפל באופן המקצועי ביותר כפי שאנו עושים כל העת".