אינטרנט ישראל
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
ראשי » חדשות אינטרנט » אתר מגילת העצמאות חושף את השמות של החותמים לצד חתימתם

אתר מגילת העצמאות חושף את השמות של החותמים לצד חתימתם

רן בר-זיק אפריל 11, 2018 2:40 pm 12 תגובות

יוזמה יפה וציונית חושפת את מאגר החתימות המלא של האזרחים ושמם המלא לכל האקר שעובר בסביבה

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.

שבעים שנה למדינתנו הם מועד חגיגי שרבים מצפים וממתינים לו בקוצר רוח. למרבה הצער, לפחות אחד מהמפעלים התרבותיים מכיל בחובו סכנה אבטחתית שהיה אפשר למנוע בקלות רבה וחבל.

אתר ׳חותמים על מגילת העצמאות׳ מזמין את כלל האזרחים לחתום על מגילת העצמאות וכך לאשרר אותה. היוזמה יפה וחברתית והאתר מעוצב באופן יפה ומקצועי עם תמונות מרשימות כולל תמונה של המגילה עצמה:

אתר חותמים על מגילת העצמאות
אתר חותמים על מגילת העצמאות

כל אזרח שחפץ בכך יכול להכניס את שמו המלא, כתובת הדואר האלקטרוני שלו וחתימה ידנית נאה:

אפשרות לחתימה על המגילה - שם מלא, דואר אלקטרוני וחתימה
אפשרות לחתימה על המגילה – שם מלא, דואר אלקטרוני וחתימה

אחרי החתימה, החתימה והשם עוברים לאישור ידני ולאחר מכן מתקבל אישור במייל.

אישור על החתימה במגילה
אישור על החתימה במגילה

אחרי האישור, ניתן לצפות בכל החתימות בתחתית המגילה:

חתימות בתחתית המגילה
חתימות בתחתית המגילה

טוב ויפה, נכון? גם אין פה סיכון אבטחתי. כי בחתימה בלבד אין שום בעיה. כל עוד היא לא צמודה לשם. וכפי ששרת התרבות מירי רגב אמרה: "נחבר את כולם לסמל המכונן".

הכשל – החתימה חשופה יחד עם השם המלא

מה הבעיה? כשאנו מסתכלים על הקוד, אפשר בקלות לקבל את השם הקשור לכל חתימה. בקוד ה-HTML השם המלא של החותם מופיע כ-ALT. תצוגה אלטרנטיבית המיועדת ללקויי ראייה וניתנת לצפייה על ידי כל אחד שמבין מעט ב-HTML.

שם וחתימה
שם וחתימה

יתרה מכך, כל השמות נמצאים במאגר שקל מאוד לשתות את כל תוכנו בקלות רבה. כל מה שצריך זה לשלוח בקשת POST אל הכתובת

https://megila.70.gov.il/src/view/signatureList.php

עם העמוד שרוצים ולקבל את כל החתימות והשמות של האזרחים, זה לצד זה – בפורמט נוח וקל לקריאה.

curl -d "page=2" https://megila.70.gov.il/src/view/signatureList.php
פרטי האזרחים כתוצאה מבקשת POST
פרטי האזרחים כתוצאה מבקשת POST

כשל נוסף: אין הגנת brute force וניתן להוריד את כל מאגר החתימות והשמות המלאים

כיוון שאין שום הגנת brute force (כלומר הגנה שמונעת בקשות מרובות לשרת תוך זמן קצר), אפשר בקלות ותוך זמן קצר ביותר לשלוח מאות בקשות כדי לקבל את כל השמות והחתימות. כל מתכנת יוכל ליצור בקלות סקריפט כזה ולקבל מאגר מלא של שמות מלאים וחתימות בפורמט נוח לשימוש (רקע שקוף).

בעית האבטחה הקשורה לחתימה

מה הבעיה בזה? כל מי שזייפו לו צ׳ק יכול להבין איזה כאב ראש זה לבטל צ׳ק מזויף. עכשיו תחשבו על כאב הראש של לבטל צ׳ק מזויף עם החתימה שלך! בלא מעט מקומות נדרשת דוגמת חתימה של האזרח וללא ספק זה ממש לא דבר שאתם רוצים שיסתובב ברשת לצד השם המלא שלכם. אם קוראים לכם ׳משה כהן׳, לא צריכה להיות לכם בעיה. אם קוראים לכם ׳רן בר-זיק׳, אז אתם בבעיה יותר חמורה. סביר להניח שכבר עכשיו גורמים עברייניים הורידו את המאגר המלא. חתמתם? השם שלכם ייחודי מספיק? אפשר לזייף את החתימה שלכם בקלות לכל צורך שהוא: צ׳קים, מסמכי פתיחת חשבון, מסמכים רשמיים וכו׳ וכו׳. גנבו את הזהות שלכם? לא תוכלו לומר שזו לא החתימה שלכם.

הפתרון המוצע

מה הפתרון? הפתרון היה יכול להיות פשוט ביותר – פשוט לא לציין את שמו המלא של האזרח לצד החתימה בקוד! או לחלופין – לחסום בקשות מרובות תוך זמן קצר לשרת. או לחלופין לא להציב את החתימה על רקע שקוף קל לשימוש.

אני מודה מאוד למשה דובמן שהסב את תשומת ליבי לבעיה – העיר והאיר 🙂

עדכון

שמות החותמים הוסרו מהמידע המתקבל מהאתר וכרגע מופיעה ב-ALT רק המילה ׳חתימה׳. לפחות עשו את זה מהר…

 

עדכון נוסף

בדיונים שנערכו לאחר מכן בקבוצת DC9723 (קבוצה המוקדשת לדיונים על אבטחת מידע) תומר פינטו, אבי קינן ועידו דיאמנט מאיירוןסורס גילו כמה דברים מעניינים – הדבר הראשון הוא שכל שמות החותמים והמיילים שלהם, בצמוד לחתימות שלהם אוגדו בקובץ אקסל שהיה נגיש מאוד לכל אחד ונמצא על השרת (הקובץ הוסר מהרשת). בנוסף, מסיבה מסוימת על השרת נמצאו גם קבצי git שמאפשרים הצצה מלאה על כל תהליכי הפיתוח של הקוד. מסד הנתונים של האתר היה גם כן חשוף לרשת. חגיגה אמיתית של אבטחת מידע 🙁

קובץ אקסל
קובץ אקסל
כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.
אבטחת מידע חדשות אינטרנט

12 תגובות

  1. Nachum37 הגב אפריל 11, 2018 בשעה 3:30 pm

    מדוע בכלל צריך שם מלא?
    אפילו הצמדת החתימה לכל מזהה אחר מהווה סיכון אבטחה (מייל למשל).

  2. גראוצ'ו מרקס הגב אפריל 12, 2018 בשעה 8:41 am

    אצל הביומטרי זה לא יקרה

  3. משתמש אנונימי (לא מזוהה) הגב אפריל 12, 2018 בשעה 9:55 am

    nnn

  4. מתבייש להיות שמאלני הגב אפריל 12, 2018 בשעה 11:00 am

    אי אפשר לזייף צ'ק עם שם וחתימה, צריך הרבה יותר פרטים כדי לעשות את זה. אתה מנסה לעשות זבוב מפיל וזה גורם לי להתבייש להיות שמאלני.

    • רן בר-זיק הגב אפריל 12, 2018 בשעה 11:17 am

      אם אתה לא מוצא תועלת במאגר שמות, מיילים וחתימות (על רקע שקוף) אז סבבה. אני שמח בשבילך. אתה מוזמן לחשוף פה את החתימה, השם המלא והמייל שלך אם זו לא בעית אבטחה. זה צורם במיוחד כשהיה ניתן למנוע את זה בקלות.
      בנוסף, אני לא ממש מבין מה הקשר לשמאל וימין בסיפור הזה. קוד זה קוד, אבטחת מידע זו אבטחת מידע – עניינים פוליטיים וטוקבקים מהסוג הזה תשמור בבקשה ל-Ynet או ׳הארץ׳.

      • מתבייש להיות שמאלני הגב אפריל 12, 2018 בשעה 11:39 am

        תודה על המענה.

        1. פרסמת את זה באתר הארץ כך שלדעתי יש קשר לנטייה פוליטית.

        2. יש חתימות שחושפות בבירור את השם הפרטי ואת שם המשפחה, אין צורך במידע נוסף כדי להבין כיצד קוראים לאדם שחתם – האם זה לא כשל אבטחתי בפני עצמו? האם אנשים לא צריכים להציג את חתימתם לאף אדם?

        3. במה בדיוק מיילים עוזרים בזיוף צ'ק או זהות? אני לא מצליח להבין

        בשורה התחתונה – אין פה מספר ת"ז, כתובת מגורים, פרטי חשבון או כל דבר אחר. מבין שצורם לך מאחר שאתה איש טכני, בדיוק כמוני (רק עם הרבה פחות קילומטראז' משלך :), אבל המידע הזה לא תורם ולא מועיל לאף אחד. והכי חשוב, לא חייבים למהר לכתוב על כל דבר בצורה שמעלה על המוקד את כל המעורבים. יש המון אנשים שעבדו מאד קשה על הדבר הזה. אם המעשים שלך באים ממקום של אדם טוב שרוצה לעזור ולשמור על האזרחים אז אין צורך לכל הדרמה הזאת, אפשר לפנות לאחראים ולעזור להם בזה. זה סתם בטעם רע ומבאס ממש.

        • רן בר-זיק הגב אפריל 12, 2018 בשעה 12:06 pm

          1. אני כותב קבוע באתר הארץ, אבל אני לא מהסס לפרסם שם דברים (למשל) שתוקפים גם אתרים מהכיוון השמאלי (כמו למשל האייטם על מפלגת העבודה). מדובר בעיתון עם המדור הטכנולוגי המקצועי ביותר שיש שלא נרתע גם מפרסום כתבות על נושאים שאף כלי תקשורת לא מוכן לגעת בהם כמו למשל כתבות על גיט, פונקציות גיבוב והמאמר האחרון שפרסמתי שם על אנטרופיה. קוד זה קוד, טכנולוגיה זו טכנולוגיה ואין פה פוליטיקה.
          2. חתימה לבד זו לא בעית אבטחה.
          3. ברגע שיצרת מאגר של חתימות + שמות מלאים – נתת עוד כלי לזייפני זהות שגם ככה נהנים מדליפות המידע שיש בישראל.

          ועוד מילה בנוגע לשורה התחתונה – המידע הזה מהווה מידע אישי לפי כל קנה מידה ויש להגן עליו. הטיעון של ׳אתה פוגע באנשים שעבדו קשה׳ תמיד קיים. כשמצאתי את החורים במשרד האוכלוסין פגעתי קשה בחברה ששולחת את הסמסים. כשמצאתי את החורים שחשפו את המאגרים של מפלגת העבודה והבית היהודי פגעתי גם בהם. כשחושפים דברים פוגעים באנשים שבנו אותם. אבל מה עדיף? פניות לבד למשרדים האלו לא עוזרות. צר לי, הם לא עבדו קשה *מספיק* או לא קיבלו הכוונה מספקת מהמנהלים שלהם כדי להגן על המידע של האנשים התמימים שהשתמשו בשירותים שלהם והם יותר מעניינים אותי.

          האתר של משרד התרבות היה מלא בפרצות אבטחה, מלא. מי שבנה אותו עשה עבודה פשוט לא טובה. אני לא מאשים את המתכנתים, אני מאשים את המנהלים שלהם. מדובר בפרקטיקות *בסיסיות* של תכנות ואבטחת מידע.

          • מתבייש להיות שמאלני אפריל 12, 2018 בשעה 12:38 pm

            מסכים איתך שמי שאחראי על אבטחת המידע במשרד התרבות ובממשלה בכלל אכן פישל פה. למשרדי הממשלה צריכים להיות סטנדרטים של אבטחת מידע שהם מעבירים למפתחים ולשאר המעורבים שהגו וניהלו את הפעילות.

            עדיין חושב שהיה אפשר לפתור את זה בצורה פחות קולנית, מה גם שבפרסום הכתבה בעצם הזמנת גורמים עברייניים למידע הזה. בעצם קראת לכל הפורצים לבית הפתוח, כאן עשית משהו שמתנגש עם הרצון שלך לדאוג לביטחון של האזרחים. לכל דבר שעושים יש השלכה, אז תודה על תרומתך.

  5. רוסקי פרוסקי מדרוסיה הגב אפריל 15, 2018 בשעה 2:16 am

    שלום,

    כל אלה ואתה הפרת חוק מחשבים על פריצה ועל כל הבלוג שלך. אתה חלקית עוזר לקדם אבטחת מידע וחלקית מקדם פריצה לאתרים ודברים מרשעיים/

    האדם אבי קינן פרץ לMYSQL וזה אינו חוקי..

    למה לא עושים דבר בנדון?

    • רן בר-זיק הגב אפריל 15, 2018 בשעה 8:36 am

      ההאשמות האלו כמובן שלא נכונות. הקוד שהפנה לאקסל נמצא גלוי בג׳אווהסקריפט והמידע על החיבור למסד הנתונים היה בגיט שהיה גלוי על השרת

  6. רוסקי פרוסקי מדרוסיה הגב אפריל 15, 2018 בשעה 6:50 pm

    אנחנו רוסים לא רוצים שלום. זה למה אנחנו מתערבים בסוריה, כסף.

  7. uwebsite הגב אפריל 24, 2018 בשעה 10:36 am

    כרגיל מדינת חלם.. הכל בקומבינה ובקיצורי דרך..

השארת תגובה

ביטול

ללמוד ג'אווהסקריפט בעברית

ללמוד לתכנת ג'אווהסקריפט בעברית שגייס יותר משלוש מאות אלף שקל ולמעלה מ-2000 תומכים - בואו ללמוד עכשיו איך לתכנת.

רשימת הנושאים
  • מדריכים
    • ריאקט
    • טייפסקריפט
    • ECMAScript 6
    • ES20XX
    • Node.js
    • Express
    • רספברי פיי
    • Babel
    • docker
    • MongoDB
    • Git
    • לימוד MySQL
    • SASS
    • jQuery
    • CSS3
    • HTML 5
    • SVN
    • LESS
  • פיתוח אינטרנט
    • פתרונות ומאמרים על פיתוח אינטרנט
    • jQuery Scripts
    • jQuery למתקדמים
    • יסודות בתכנות
    • נגישות אינטרנט
  • חדשות אינטרנט
  • מידע כללי על אינטרנט
    • רשת האינטרנט
    • בניית אתרי אינטרנט
  • rss logo

    לכל המאמרים

    לכל המאמרים שפורסמו באינטרנט ישראל משנת 2008 ועד עכשיו.
  • rss logo

    RSS Feed

    משתמשים בקורא RSS? אם כן, עקבו אחרי אינטרנט ישראל באמצעות פיד ה-RSS!
    מה זה RSS?
  • Twitter logo

    עקבו אחרי בטוויטר

    בחשבון הטוויטר שלי אני מפרסם עדכונים מהירים על חדשות בתחום התכנות והיזמות, התרעות על מצבי חירום ורכילות בוערת על תחום הווב.
    מה זה טוויטר?
  • facebook like image

    ערוץ הטלגרם של אינטרנט ישראל

    בערוץ הטלגרם של אינטרנט ישראל אני מפרסם את הפוסטים של באתר וכן עדכונים טכנולוגיים נוספים.
    מה זה טלגרם?
  • github logo

    הפרויקטים שלי בגיטהאב

    הפרויקטים שאני כותב ושוחררו לציבור ברישיון קוד פתוח נמצאים ברובם בגיטהאב.
חיפוש

כל הזכויות שמורות לרן בר-זיק ולאינטרנט ישראל | מדיניות הפרטיות של אתר אינטרנט ישראל | אתר אינטרנט ישראל נגיש לפי תקן WCAG 2.0 AA | הצהרת הנגישות של האתר | אבטחת מידע ודיווח על בעיית אבטחת מידע

גלילה לראש העמוד