חולשות אבטחה חמורות באתר של כביש 6

הרשות להגנת הפרטיות הודיעה כי באתר התשלומים של המפעילה, "דרך ארץ הייווייז", התגלו חולשות אבטחת מידע שאפשרו לקבל גישה לחשבוניות התשלום, הכוללות מידע אישי, לרבות שם פרטי ומשפחה, מיקום הרכב ותאריכי נסיעה

  • כביש 6
(צילום: וואלה! טכנולוגיה)

חולשות אבטחה חמורות חברת "דרך ארץ הייווייז", מפעילת כביש 6 - כך הודיעה היום ( שני) הרשות להגנת הפרטיות, שהחלה בהליך אכיפה בעקבות דיווח של החברה. במסגרת אירוע האבטחה התגלו חולשות אבטחת מידע באתר התשלומים שלה, אשר אפשרו חשיפה של מידע רב מתוך החשבוניות של לקוחותיה.

מהמידע שהעבירה החברה לרשות עולה, כי בעמוד שבו נמצא "תשלום חשבוניות" באתר החברה, ניתן היה לקבל גישה לחשבוניות התשלום של הלקוחות ולחשבוניות עבר, הכוללות מידע אישי, לרבות שם פרטי ומשפחה, סכומי תשלום, מיקום הרכב, תאריכי ושעות נסיעות.

כמו כן, בשל העובדה שחברת "דרך ארץ הייווייז" לא תיעדה כנדרש את הגישה למערכותיה, לא ניתן לדעת במדויק במשך כמה זמן גורמים בלתי מורשים יכולים היו לגשת למערכות החברה. בהתאם לכך, קבעה הרשות להגנת הפרטיות כי החברה לא החזיקה באמצעי הגנה מתאימים במועד האירוע.

עוד בוואלה!

צפו בתמונות: זוכי צפרתון קק"ל יציגו את עבודותיהם באקספו העולמי בדובאי

לכתבה המלאה
חולשות אבטחת מידע באתר התשלומים של החברה (צילום: ShutterStock)

בנוסף, ממצאי הליך הפיקוח שביצעה הרשות מעלים, כי החברה מיפתה באופן חלקי את הסיכונים האפשריים בתחום אבטחת המידע, אך לא פעלה לאורך פרק זמן של למעלה משנה לתיקון הליקויים שנמצאו במבדקי החדירות.

במכתב ההפרה, שהעבירה הרשות להגנת הפרטיות לחברה, מדגישה הרשות, כי חברות וארגונים במשק נדרשים לנקוט במדיניות אבטחת מידע דינמית וכי עם התפתחותם של איומים וסיכונים, על הארגון חלה חובה לבחון בקפדנות את הסיכונים המתעדכנים ולפעול בהתאם לעדכון אמצעי האבטחה המקובלים בנסיבות העניין, בהתאם לאופי המאגר וטיבו.

כתוצאה מכך, חלה על חברות וארגונים החובה לעדכן את מערכותיהם ולערוך סקרי סיכונים ומבדקי חדירות, כדי לבחון את הסיכונים המשתנים ולהיערך להם. יחד עם זאת, חלה חובה על חברות וארגונים לעשות שימוש במנגנון תיעוד אוטומטי ויש לערוך הדרכות לעובדים, בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע).

טרם התפרסמו תגובות

הוסף תגובה חדשה

בשליחת תגובה אני מסכים/ה
    walla_ssr_page_has_been_loaded_successfully