רשת מרפאות שיניים חושפת את התיקים הרפואיים של כל הלקוחות שלה

עוד יום, עוד פירצה פשוטה מאוד לגילוי, זיהוי ומניעה והפעם באתר אינטרנט שמכיל מידע רפואי יקר, אישי שניתן להשתמש בו למטרות נלוזות.

חברת פנוחכם היא חברה הנותנת שירותי צילום והדמיה רפואית לקופות החולים ויש לה סניפים בעיקר באיזור הצפון. מה הבעיה? שכל הצילומים של מאות הלקוחות שלה מכל הסניפים הרבים שלה מועלים לשרת לא מוגן שלכל אחד בעולם יש גישה אליו.

תיק רפואי פרוץ מתוך שרתי חברת פנוחכם

תיק רפואי פרוץ מתוך שרתי חברת פנוחכם

הסבר על “הפירצה” בשפת בני אדם

פרוטוקול FTP הוא פרוטוקול ותיק מאוד המשמש להעברת קבצים. אין בונה אתרים שלא מכיר אותו. באמצעות הפרוטוקול אנחנו יכולים להעלות קבצים ולטפל בהם. אפשר לעשות את זה עם תוכנה יעודית או אפילו עם הדפדפן.

הדגמה של פרוטוקול FTP בדפדפן

הדגמה של פרוטוקול FTP בדפדפן

שימו לב לתחילית שבאה לפני הכתובת. בדיוק כפי שיש לנו את HTTP או את HTTPS, יש לנו כאן תחילית קצת פחות מוכרת בשם FTP שהיא ראשי תבות של File Transfer Protocol. לא מדובר כאן במשהו לא מוכר או אקזוטי אלא בדרך עבודה עם שרתים שמיליוני אנשים בעולם מייצרים.

כאשר יש לי גישה ל-FTP – יש לי גישה בלתי מוגבלת לקבצי השרת. אני יכול לקרוא את הקבצים, להכניס קבצים חדשים או למחוק ישנים. זו הסיבה שבדרך כלל גישת FTP מוגבלת בסיסמה ובשם משתמש. חלק גדול מהחברות מגבילות את החיבור ולא מאפשרות למי שהוא לא מהרשת הארגונית להתחבר. ישנן הרבה הגנות על FTP שמקובלות כבר עשרות (עשרות!) שנים בתחום. אף אחד לא משאיר שרתי FTP פרוצים בטח ובטח אם יש עליהם מידע רגיש או מידע שאם הוא יימחק ייגרם נזק.

אה, רגע, אמרתי אף אחד? התכוונתי לאף אחד חוץ ממכון רפואי שיש לו מידע רפואי רגיש על אזרחים. מכון פנוחכם חשב שזה רעיון טוב להחזיק את כל הצילומים והמידע של הלקוחות על FTP פתוח לרווחה. איזה מידע? צילומי שיניים, מספרי תעודת זהות, תאריך לידה ונתונים נוספים (כמו תמונת פנים מלאה בחלק מהמקרים).

תיק רפואי פרוץ מתוך שרתי חברת פנוחכם

תיק רפואי פרוץ מתוך שרתי חברת פנוחכם

הנזק הפוטנציאלי

מה אפשר לעשות עם הנתונים האלו? הו הו הו.

סמס מזויף עם שימוש בפרטים שמאפשרים לתוקף לקבל פרטים נוספים

סמס מזויף עם שימוש בפרטים שמאפשרים לתוקף לקבל פרטים נוספים

וזו רק דוגמה אחת. בדיוק כמו הפרצה שהתגלתה במשרד הפנים במערכת הזימון של המאגר הביומטרי – ברגע שיש לנו פרטים משמעותיים כמו מספר תעודת זהות, שם מלא, תאריך ביקור במקום מסוים ופרטים נוספים – אני יכול לבצע התקפה על המשתמש כיוון שחומות ההגנה שלו יורדות. גם מומחה אבטחת מידע יתן פרטים נוספים אם מהצד השני יש מישהו שמתקשר אליו מהמרפאה עם מידע מדויק עליו. קל להאמין שזה באמת מהמרפאה.

הגילוי

פרצת האבטחה הזו היא לא כתוצאה מעבודת האקינג מאומצת, תחכום יוצא דופן או עבודה מול מחשב באפלולית הלילה. כל מה שעשיתי זה לחפש באמצעות מנוע החיפוש shodan. זה הכל.

דף תוצאה ממנוע החיפוש shodan

דף תוצאה ממנוע החיפוש shodan

מנוע החיפוש הזה לא יושב ברשת האפלה. כל אחד יכול להשתמש בו בקלות. בדרך כלל רוב האנשים מחפשים בו מצלמות אבטחה ומקווים לתפוס איזו מצלמת אבטחה סינית חביבה שמשקיפה על חדר שינה של זוג שהיה טיפש מספיק כדי להציב אותה שם. אבל אפשר להשתמש בה למצוא דברים אחרים, כמו FTP פתוחים. מהרגע שמצאתי, להכנס ל-FTP זה קל. כמה קל? גם ילד בכיתה ב’ יכול להבין.

למה אני עושה את זה

מה שמרגיז בפרצה הזו ובפרצות אחרות שהן לא פשוטות – הן מגוחכות לגילוי. מה שאני עושה כאן זה לא האקינג. זו ברמת הבדיחה. אבל הבדיחה הזו יכולה להזיק לאנשים ולאפשר לעבריינים לתקוף אזרחים תמימים או אפילו עסקים תמימים שכל חטאם היה בכך שהם סמכו על בונה אתרים/מתכנת/איש סיסאדמין שהוא לא מקצועי מספיק. וכן, להשאיר שרת FTP פתוח זו לא ‘רשלנות’. זו רשלנות פושעת. עד מתי זה יימשך? זה ייפסק ברגע שרשות כלשהי תתחיל להגיש כתבי אישום נגד מתכנתים רשלנים. במקומות אחרים בעולם יש לדברים האלו משמעות פלילית ונזיקית. בישראל? לא ממש. עד שזה ישתנה, אני אצעק.

אם אני כבר מדבר על מידע ואחסנה שלו – אם אתם לא רוצים לאחסן מידע ב-FTP. יש מיטאפ מוצלח מאוד (באנגלית) על איך עושים מיגרציה ל-AWS. המיטאפ באיזור הבורסה ברמת-גן במשרדי OATH ויתקיים ב-19.2.

כדאי תמיד להשאר מעודכנים! הרשמו לעדכונים של האתר במייל! - המייל יישלח כל יום ראשון בעשר בבוקר ויכיל אך ורק את המאמרים שהתפרסמו באינטרנט ישראל. ללא ספאם, ללא הצפות, ללא בלגנים. אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂

אהבתם? לא אהבתם? דרגו!

לא אהבתי בכלללא אהבתיבסדראהבתיאהבתי מאוד (11 הצבעות, ממוצע: 4.45 מתוך 5)

תגיות: , פורסם בקטגוריה: חדשות אינטרנט

יאללה, שתפו :)

אל תשארו מאחור! יש עוד מה ללמוד!

13 comments on “רשת מרפאות שיניים חושפת את התיקים הרפואיים של כל הלקוחות שלה
  1. אלעד הגיב:

    היי רן, האייפי מופיע בתמונה של shodan

  2. BnK970 הגיב:

    גישה לftp לא מבטיחה שליטה מלאה. בהגדרות שרת הftp אפשר להגביל משתמשים לקריאה בלבד או כל מיני הרשאות אחרות בסגנון

  3. תומר כהן הגיב:

    סיפרתי לך על הפעם ההיא שמצאתי את הפרטים האישיים שלי בקובץ csv על שרת http פתוח לעולם יחד עם ססמאות כל שאר הסטודנטים והמרצים, לרבות הססמאות של כולם? כך כסטודנט גרמתי לגוף המחשוב להחליף ססמאות לכולם, ולמרצים הוותיקים להתעצבן במיוחד כי החליפו את הססמאות הפשוטות שלהם בנות 4 הספרות בססמאות ארוכות ואקראיות שקצת קשה יותר לזכור.

  4. משתמש אנונימי (לא מזוהה) הגיב:

    איך אתה יודע מה לחפש בshodan?

  5. zixem הגיב:

    כל הכבוד. עכשיו מדריך לפרוץ לכספ

  6. לא חשוב הגיב:

    רק למען הדיוק פנוחכם הם רשת מכוני הדמיה (צילומי רנטגן)-לא חושב שהם גם מרפאות שיניים.

כתיבת תגובה

האימייל לא יוצג באתר.

רישום