תוהים אם זו טעות
@shakedko
IF AN EXPERT SAYS IT CAN'T BE DONE GET ANOTHER EXPERT.
- DAVID BEN-GURION

תוהים אם זו טעות

בכל מקום עם אוטומציה, תמיד תמצאו חלק קטן, יוצא מן הכלל. כי מה לעשות, לא תמיד אפשר לפתור הכל בצורה אוטומטית כמו שאנחנו רוצים. ככה גם חשבו ב״אוטומציה החדשה״ (לשעבר ״החברה לאוטומציה״).

לפעמים אוטומציה לא עובדת

בפוסט הזה אני מתכוון לספר לכם איך נחשפו פרטים אישיים של כל אזרח במדינת ישראל שנמצא באחת העיריות שעובדות עם המערכות של ״אוטומציה החדשה״.

לפני שנתחיל, שווה לספר שרק בחודש יוני, מצא האקר המפורסם נועםר, בעיית אבטחה קריטית במערכות הנ״ל שבין היתר חשפה תשלומים לעיריות, פרטי רישום למסודות חינוך, תשלום דו״חת חנייה ועוד.

ככל הנראה, בשביל לפתור את בעיית האבטחה שנמצאה, החליטו ב״אוטומציה החדשה״ לשים פיירול ובזה חשבו שהעניין ייפתר 😏

אז אוקי, יש אנשים שאין להם זמן לשחק בתשבץ היגיון ויש אנשים שלא צריכים לעשות את זה. אחרי שציפור קטנה וחשובה לחשה לי, ראיתי את הדבר הבא:

חשיפת מידע בצד לקוח יכולה להיות חמורה מאוד

וכמו אדם שנורא אוהבים חתולים

אני אוהב חתולים

הסתקרנתי ובדקתי מה יקרה אם אתחבר בעזרת הת.ז הזו. אז התחברתי. ואני אדמין של המערכת. ואני רק יכול לראות מידע על כל תושב באחת מהעירייות שעובדות עם ה״אוטומציה החדשה״. רגע, מה?!

איך משאירים הרשאות פתוחות וחשופות?

אז מה בעצם נחשף באמת?

  • מספר ת.ז
  • כתובת
  • קרובי משפחה וילדים
  • נכסים
  • חובות
  • תשלומי מים

ככל הנראה שישנם פרטים נוספים שאפשר לצפות באתר בעזרת חיפוש מעמיק.

תהיות

אמנם לא טרחתי לבדוק את כל מה שעומד מאחורי המערכות שראיתי, כי בתכלס עדיף לתקן מהר, למי יש זמן ואף אחד לא באמת משלם לי על זה. אבל, אחרי ששילמתי את חשבון הארנונה שלי, ראיתי את הקריאה הבאה:

שמירת כרטיס אשראי בצורה לא חוקית

הקריאה הזו, מתבצעת מאחורי הקלעים - ככה שאם אין לך מושג על מה מדובר, אתם לא תדעו בכלל שזה קורה - ובעצם שומרת את פרטי הכרטיס לאיזשהו לוג. כותבת את הפרטים האלו מחוץ לתהליך התשלום. ואני באמת תוהה איפה הלוג הזה נשמר, מה יש בו וממש רוצה להאמין שלפחות כל המידע בו הוא PCI compliant.

מה דעתכם?

מערך הסייבר

ושוב, אני חייב לציין את מערך הסייבר לטובה. לקח להם 17 דקות לענות לדיווח שלי, וכבר אחרי יום אני רואה שהבעיה תוקנה (לא כולל הכתיבה של הכרטיס אשראי ללוג - הייתי צריך לשלם שוב בשביל לוודא).

מערך הסייבר זו התחלה מעולה לתיקון בעיות האבטחה החמורות שקיימות במדינת ישראל.

מעצמת הסייבר וקופות החולים