אינטרנט ישראל
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
ראשי » חדשות אינטרנט » רשת מרפאות שיניים חושפת את התיקים הרפואיים של כל הלקוחות שלה

רשת מרפאות שיניים חושפת את התיקים הרפואיים של כל הלקוחות שלה

רן בר-זיק פברואר 6, 2018 7:35 am 13 תגובות

מי היה מאמין שצריך לשם שם משתמש וסיסמה כדי להגן על FTP

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.

עוד יום, עוד פירצה פשוטה מאוד לגילוי, זיהוי ומניעה והפעם באתר אינטרנט שמכיל מידע רפואי יקר, אישי שניתן להשתמש בו למטרות נלוזות.

חברת פנוחכם היא חברה הנותנת שירותי צילום והדמיה רפואית לקופות החולים ויש לה סניפים בעיקר באיזור הצפון. מה הבעיה? שכל הצילומים של מאות הלקוחות שלה מכל הסניפים הרבים שלה מועלים לשרת לא מוגן שלכל אחד בעולם יש גישה אליו.

תיק רפואי פרוץ מתוך שרתי חברת פנוחכם
תיק רפואי פרוץ מתוך שרתי חברת פנוחכם

הסבר על "הפירצה" בשפת בני אדם

פרוטוקול FTP הוא פרוטוקול ותיק מאוד המשמש להעברת קבצים. אין בונה אתרים שלא מכיר אותו. באמצעות הפרוטוקול אנחנו יכולים להעלות קבצים ולטפל בהם. אפשר לעשות את זה עם תוכנה יעודית או אפילו עם הדפדפן.

הדגמה של פרוטוקול FTP בדפדפן
הדגמה של פרוטוקול FTP בדפדפן

שימו לב לתחילית שבאה לפני הכתובת. בדיוק כפי שיש לנו את HTTP או את HTTPS, יש לנו כאן תחילית קצת פחות מוכרת בשם FTP שהיא ראשי תבות של File Transfer Protocol. לא מדובר כאן במשהו לא מוכר או אקזוטי אלא בדרך עבודה עם שרתים שמיליוני אנשים בעולם מייצרים.

כאשר יש לי גישה ל-FTP – יש לי גישה בלתי מוגבלת לקבצי השרת. אני יכול לקרוא את הקבצים, להכניס קבצים חדשים או למחוק ישנים. זו הסיבה שבדרך כלל גישת FTP מוגבלת בסיסמה ובשם משתמש. חלק גדול מהחברות מגבילות את החיבור ולא מאפשרות למי שהוא לא מהרשת הארגונית להתחבר. ישנן הרבה הגנות על FTP שמקובלות כבר עשרות (עשרות!) שנים בתחום. אף אחד לא משאיר שרתי FTP פרוצים בטח ובטח אם יש עליהם מידע רגיש או מידע שאם הוא יימחק ייגרם נזק.

אה, רגע, אמרתי אף אחד? התכוונתי לאף אחד חוץ ממכון רפואי שיש לו מידע רפואי רגיש על אזרחים. מכון פנוחכם חשב שזה רעיון טוב להחזיק את כל הצילומים והמידע של הלקוחות על FTP פתוח לרווחה. איזה מידע? צילומי שיניים, מספרי תעודת זהות, תאריך לידה ונתונים נוספים (כמו תמונת פנים מלאה בחלק מהמקרים).

תיק רפואי פרוץ מתוך שרתי חברת פנוחכם
תיק רפואי פרוץ מתוך שרתי חברת פנוחכם

הנזק הפוטנציאלי

מה אפשר לעשות עם הנתונים האלו? הו הו הו.

סמס מזויף עם שימוש בפרטים שמאפשרים לתוקף לקבל פרטים נוספים
סמס מזויף עם שימוש בפרטים שמאפשרים לתוקף לקבל פרטים נוספים

וזו רק דוגמה אחת. בדיוק כמו הפרצה שהתגלתה במשרד הפנים במערכת הזימון של המאגר הביומטרי – ברגע שיש לנו פרטים משמעותיים כמו מספר תעודת זהות, שם מלא, תאריך ביקור במקום מסוים ופרטים נוספים – אני יכול לבצע התקפה על המשתמש כיוון שחומות ההגנה שלו יורדות. גם מומחה אבטחת מידע יתן פרטים נוספים אם מהצד השני יש מישהו שמתקשר אליו מהמרפאה עם מידע מדויק עליו. קל להאמין שזה באמת מהמרפאה.

הגילוי

פרצת האבטחה הזו היא לא כתוצאה מעבודת האקינג מאומצת, תחכום יוצא דופן או עבודה מול מחשב באפלולית הלילה. כל מה שעשיתי זה לחפש באמצעות מנוע החיפוש shodan. זה הכל.

דף תוצאה ממנוע החיפוש shodan
דף תוצאה ממנוע החיפוש shodan

מנוע החיפוש הזה לא יושב ברשת האפלה. כל אחד יכול להשתמש בו בקלות. בדרך כלל רוב האנשים מחפשים בו מצלמות אבטחה ומקווים לתפוס איזו מצלמת אבטחה סינית חביבה שמשקיפה על חדר שינה של זוג שהיה טיפש מספיק כדי להציב אותה שם. אבל אפשר להשתמש בה למצוא דברים אחרים, כמו FTP פתוחים. מהרגע שמצאתי, להכנס ל-FTP זה קל. כמה קל? גם ילד בכיתה ב' יכול להבין.

למה אני עושה את זה

מה שמרגיז בפרצה הזו ובפרצות אחרות שהן לא פשוטות – הן מגוחכות לגילוי. מה שאני עושה כאן זה לא האקינג. זו ברמת הבדיחה. אבל הבדיחה הזו יכולה להזיק לאנשים ולאפשר לעבריינים לתקוף אזרחים תמימים או אפילו עסקים תמימים שכל חטאם היה בכך שהם סמכו על בונה אתרים/מתכנת/איש סיסאדמין שהוא לא מקצועי מספיק. וכן, להשאיר שרת FTP פתוח זו לא 'רשלנות'. זו רשלנות פושעת. עד מתי זה יימשך? זה ייפסק ברגע שרשות כלשהי תתחיל להגיש כתבי אישום נגד מתכנתים רשלנים. במקומות אחרים בעולם יש לדברים האלו משמעות פלילית ונזיקית. בישראל? לא ממש. עד שזה ישתנה, אני אצעק.

אם אני כבר מדבר על מידע ואחסנה שלו – אם אתם לא רוצים לאחסן מידע ב-FTP. יש מיטאפ מוצלח מאוד (באנגלית) על איך עושים מיגרציה ל-AWS. המיטאפ באיזור הבורסה ברמת-גן במשרדי OATH ויתקיים ב-19.2.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.
אבטחת מידע חדשות אינטרנט

13 תגובות

  1. אלעד הגב פברואר 6, 2018 בשעה 8:52 am

    היי רן, האייפי מופיע בתמונה של shodan

    • רן בר-זיק הגב פברואר 6, 2018 בשעה 9:33 am

      אני כזה גאון… 🙁
      טוב, למרבה המזל הם כבר סגרו את ה-FTP הזה. אבל ליתר בטחון טשטשתי את הפרטים. תודה רבה על שכתבת לי!

      • משתמש אנונימי (לא מזוהה) הגב פברואר 6, 2018 בשעה 10:14 am

        בוידאו זה לא מטושטש

        • אנון הגב פברואר 6, 2018 בשעה 11:40 pm

          מסכים גם בוידאו זה לא מטושטש.. זה כמו שננסה לפרוץ לאתר שלו ואז להגיד אותו דבר

  2. BnK970 הגב פברואר 6, 2018 בשעה 8:52 am

    גישה לftp לא מבטיחה שליטה מלאה. בהגדרות שרת הftp אפשר להגביל משתמשים לקריאה בלבד או כל מיני הרשאות אחרות בסגנון

    • רן בר-זיק הגב פברואר 6, 2018 בשעה 9:34 am

      נכון, זה כמובן קל להגדרה ואפשר באמת לעשות מה שרוצים. במקרה הזה הכל היה פתוח לחלוטין 🙁

  3. תומר כהן הגב פברואר 6, 2018 בשעה 9:45 am

    סיפרתי לך על הפעם ההיא שמצאתי את הפרטים האישיים שלי בקובץ csv על שרת http פתוח לעולם יחד עם ססמאות כל שאר הסטודנטים והמרצים, לרבות הססמאות של כולם? כך כסטודנט גרמתי לגוף המחשוב להחליף ססמאות לכולם, ולמרצים הוותיקים להתעצבן במיוחד כי החליפו את הססמאות הפשוטות שלהם בנות 4 הספרות בססמאות ארוכות ואקראיות שקצת קשה יותר לזכור.

  4. משתמש אנונימי (לא מזוהה) הגב פברואר 6, 2018 בשעה 11:25 am

    איך אתה יודע מה לחפש בshodan?

    • רן בר-זיק הגב פברואר 6, 2018 בשעה 6:11 pm

      חיפשתי את המחרוזת שמציגה FTP פתוח…

    • שדג הגב פברואר 6, 2018 בשעה 11:19 pm

      הנה פה מדריך
      https://raidforums.com/Thread-How-to-find-vulnerable-ftp-servers

  5. zixem הגב פברואר 7, 2018 בשעה 8:00 pm

    כל הכבוד. עכשיו מדריך לפרוץ לכספ

    • חשפן המתחזים הגב פברואר 13, 2018 בשעה 8:31 pm

      מתחזה מגעיל תתבייש לך עוכר ישראל

  6. לא חשוב הגב מרץ 3, 2018 בשעה 10:14 pm

    רק למען הדיוק פנוחכם הם רשת מכוני הדמיה (צילומי רנטגן)-לא חושב שהם גם מרפאות שיניים.

השארת תגובה

ביטול

ללמוד ג'אווהסקריפט בעברית

ללמוד לתכנת ג'אווהסקריפט בעברית שגייס יותר משלוש מאות אלף שקל ולמעלה מ-2000 תומכים - בואו ללמוד עכשיו איך לתכנת.

רשימת הנושאים
  • מדריכים
    • ריאקט
    • טייפסקריפט
    • ECMAScript 6
    • ES20XX
    • Node.js
    • Express
    • רספברי פיי
    • Babel
    • docker
    • MongoDB
    • Git
    • לימוד MySQL
    • SASS
    • jQuery
    • CSS3
    • HTML 5
    • SVN
    • LESS
  • פיתוח אינטרנט
    • פתרונות ומאמרים על פיתוח אינטרנט
    • jQuery Scripts
    • jQuery למתקדמים
    • יסודות בתכנות
    • נגישות אינטרנט
  • חדשות אינטרנט
  • מידע כללי על אינטרנט
    • רשת האינטרנט
    • בניית אתרי אינטרנט
  • rss logo

    לכל המאמרים

    לכל המאמרים שפורסמו באינטרנט ישראל משנת 2008 ועד עכשיו.
  • rss logo

    RSS Feed

    משתמשים בקורא RSS? אם כן, עקבו אחרי אינטרנט ישראל באמצעות פיד ה-RSS!
    מה זה RSS?
  • Twitter logo

    עקבו אחרי בטוויטר

    בחשבון הטוויטר שלי אני מפרסם עדכונים מהירים על חדשות בתחום התכנות והיזמות, התרעות על מצבי חירום ורכילות בוערת על תחום הווב.
    מה זה טוויטר?
  • facebook like image

    ערוץ הטלגרם של אינטרנט ישראל

    בערוץ הטלגרם של אינטרנט ישראל אני מפרסם את הפוסטים של באתר וכן עדכונים טכנולוגיים נוספים.
    מה זה טלגרם?
  • github logo

    הפרויקטים שלי בגיטהאב

    הפרויקטים שאני כותב ושוחררו לציבור ברישיון קוד פתוח נמצאים ברובם בגיטהאב.
חיפוש

כל הזכויות שמורות לרן בר-זיק ולאינטרנט ישראל | מדיניות הפרטיות של אתר אינטרנט ישראל | אתר אינטרנט ישראל נגיש לפי תקן WCAG 2.0 AA | הצהרת הנגישות של האתר | אבטחת מידע ודיווח על בעיית אבטחת מידע

גלילה לראש העמוד