שלחתם קורות חיים למשרה? כך חשפתם את עצמכם ברשת

פרטים של עשרות אלפי אזרחים ברשת גלויים לאין כל בגלל בעיות קשות בפרקטיקת אבטחת מידע
קורות החיים של איציק שמולי, כיום חבר כנסת ממפלגת העבודה. עכשיו יש לי את כל פרטיו האישיים.

לא מעט אתרים ולוחות מציעים אפשרות למשלוח משרה. מאתרי לוחות של ממש ועד אתרי חברות שונים. המון ארגונים וחברות מפעילים אתרים המפרסמים הצעות עבודה ומזמינים את מחפשי העבודה לשלוח קורות חיים. קורות חיים הם לא סוד גדול כל כך. רוב האנשים (בתעשיית ההיי טק במיוחד) מפרסמים את קורות החיים שלהם ברשתות כמו לינקדין. אבל יש מקרים רבים שקורות החיים הם רגישים. לא סתם כל המאגרים האלו מתחייבים לדיסקרטיות. לא מעט פעמים אנשים מחפשים עבודה כאשר הם עדיין עובדים ואם המעביד ידע על כך עתיד להגרם להם נזק. לעתים רבות קורות החיים מכילים פרטים רגישים כמו כתובת, תעודת זהות וכמובן הארגון שאליו קורות החיים מוגשים. לעתים יש שם גם ציפיות שכר ומידע נוסף שהאדם לא ירצה לספר או לפרט יותר מדי עליו.

קורות החיים של איציק שמולי, כיום חבר כנסת ממפלגת העבודה. עכשיו יש לי את כל פרטיו האישיים.
קורות החיים של איציק שמולי, כיום חבר כנסת ממפלגת העבודה. עכשיו יש לי את כל פרטיו האישיים.

הייתי מצפה שארגונים המבקשים לקבל קורות חיים יגנו על המסמכים האלו כנדרש לפי חוק. אבל ציפיות לחוד ומציאות לחוד לצערי הרב.

משה מלכה, מתכנת המתמחה בסריקות וחילוץ מידע העיר את ליבי לפירצת אבטחה נפוצה שקיימת בלא מעט אתרים והחושפת כמות עצומה של קורות חיים בעברית כולל פרטים רגישים. הפרצה לא קשה כלל לזיהוי וניצול וכל אדם יכול בקלות לנצל אותה בקלות למטרות אלו ואחרות. ניתן גם לחפש קורות חיים של אדם ספציפי.

כלי הפריצה שאשתמש בו על מנת להציג את הבעיה הוא גוגל. לגוגל יש אפשרות חיפוש שבמסגרתה אני יכול לחפש קובץ שיש בו טקסט מסוים. למשל, אני יכול לחפש טקסט מסוים בכל הקבצים הנמצאים ברשת והסיומת שלהם היא doc או docx. סיומת doc היא סיומת המאפיינת קבצים שנוצרו במעבד תמלילים מסוג וורד שהוא מעבד התמלילים הנפוץ במדינה. גוגל יודעת לסרוק קבצים כאלו שנמצאים ברשת. ניתן לנצל את החיפוש הזה כדי לחפש במסמכים הזמינים ברשת. למה זה טוב? אני משתמש בזה המון על מנת לחפש מבחנים לתרגול לילדים שלי, בכל פעם שיש להם מבחן. כל מה שאני צריך לעשות זה לבקש מגוגל: "תביא לי את כל מסמכי doc שיש בהם את הטקסט 'הכנה למבחן כיתה ט משוואות ריבועיות'" והוא יביא לי רשימה של מסמכים, בדרך כלל מבחני הכנה שמורות מעלות לרשת. נהדר, לא?

תרגילי מתמטיקה חיפוש בגוגל

איך עושים חיפוש רק במסמכים מסוג מסוים? פשוט מכניסים את הטקסט הבא:

filetype:docx 

כאשר במקום docx אפשר לכתוב doc או pdf או איזה קובץ שבא לנו. כל מה שנשאר לעשות זה לחפש את מה שאנחנו רוצים. זה יכול להיות תרגילי מתמטיקה, אבל יכול להיות גם דברים יותר בעייתיים. כמו למשל חיפוש של קורות חיים ת.ז. בקבצי doc.

filetype:doc קורות חיים ת.ז

התוצאה? אלפי קורות חיים של אנשים שונים. כולם עם תעודת זהות, כתובת מלאה, שם מלא וכו'.

איך קורות החיים האלו מגיעות לרשת? למרבה הצער מדובר בבעיה באתרים. לא מעט אתרים שונים המאפשרים להעלות אליהם קורות חיים מתרשלים באבטחת המידע והקבצים המועלים אליהם זמינים לעין כל. כלומר,אם מדובר באתר שמאפשר העלאה של קורות חיים, כל קורות החיים שהועלו לאתר על ידי משתמשים, יהיו נגישים לכל אחד וכמובן גם לבוט הסורק של גוגל שיכול לגשת לאתר כמו משתמש רגיל. אם משתמש רגיל יכול להגיע עם דפדפן לקבצים האלו, גם גוגל יסרוק אותם ויציג אותם בתוצאות.

איך מתגוננים?

חפשו את השם שלכם באופן הבא:

filetype:doc OR filetype:docx OR filetype:pdf קורות חיים ת.ז. השם שלכם

לא מצאתם? מעולה. מצאתם? פנו לאתר המכיל את קורות החיים ודירשו להוריד אותם מיידית.

בכל מקרה, המנעו מלהכניס את מספר תעודת הזהות וכתובת מדויקת שלכם בקורות החיים שלכם. בשלב הסינון בוודאי שלא צריכים את הפרטים האלו.

האם האתר שלי חשוף?

אם האתר שלכם כולל מסמכים רגישים שהועלו על ידיכם/על ידי הגולשים, פשוט חפשו אותם בגוגל. אם האתר שלכם מבוסס וורדפרס, שפגיע מאוד לסוג כזה של חולשה, פשוט הוסיפו את המחרוזת "wp-content/uploads/" לשם האתר ובידקו אם אתם מקבלים תוצאות.

הסבר טכני לבוני אתרים

מדובר בפיצ'ר של השרת שנקרא Directory Listing. הפיצ'ר הזה בעצם קובע שאם המשתמש מבקש תיקיה מסוימת, למשל my-site.com/directory ואין בה קובץ index מסוים (HTML, PHP ווטאבר) אז רשימת כל הקבצים יופיעו שם ויהיו ניתנים להורדה/רינדור. מדובר כמובן באסון אבטחה ברוב המקרים. ברוב השרתים הרציניים כבר יחסמו את האפשרות הזו מראש, אבל יש לא מעט שרתי קקמייקה שבהם זה פתוח. מה נדרש מבונה האתר לעשות? רק להוסיף את השורה:

Options -Indexes

לקובץ ה-htaccess של האתר. זה הכל! או לחלופין לבלום את זה.כן, זה עד כדי כך קל.

לסיכום

מצער מאוד שהמון המון בוני אתרים נכשלים ביישום פרקטיקה פשוטה כל כך של אבטחת מידע. מדובר באחת הבדיקות הפשוטות והקלות ביותר לביצוע וחולשת האבטחה הקלה ביותר לחסימה. למרבה הצער, בישראל של היום אפילו זה בגדר מדע בדיוני. כשמדברים על חאפרים ורשלנות בשוק בוני האתרים, מתכוונים לזה בדיוק.

פוסטים נוספים שכדאי לקרוא

תמונה של הבית הלבן עם מחשוב ענן וטקסט: FEDRAMP
פתרונות ומאמרים על פיתוח אינטרנט

FedRAMP & FIPS מבוא למתחילים

פרק מיוחד, לצד הקלטה של פרק של עושים תוכנה על אחת התקינות החשובות ביותר עבור חברות שסביר להניח שלא הכרתם

גלילה לראש העמוד