רשת מרפאות שיניים חושפת את התיקים הרפואיים של כל הלקוחות שלה

מי היה מאמין שצריך לשם שם משתמש וסיסמה כדי להגן על FTP
הדגמה של פרוטוקול FTP בדפדפן

עוד יום, עוד פירצה פשוטה מאוד לגילוי, זיהוי ומניעה והפעם באתר אינטרנט שמכיל מידע רפואי יקר, אישי שניתן להשתמש בו למטרות נלוזות.

חברת פנוחכם היא חברה הנותנת שירותי צילום והדמיה רפואית לקופות החולים ויש לה סניפים בעיקר באיזור הצפון. מה הבעיה? שכל הצילומים של מאות הלקוחות שלה מכל הסניפים הרבים שלה מועלים לשרת לא מוגן שלכל אחד בעולם יש גישה אליו.

תיק רפואי פרוץ מתוך שרתי חברת פנוחכם
תיק רפואי פרוץ מתוך שרתי חברת פנוחכם

הסבר על "הפירצה" בשפת בני אדם

פרוטוקול FTP הוא פרוטוקול ותיק מאוד המשמש להעברת קבצים. אין בונה אתרים שלא מכיר אותו. באמצעות הפרוטוקול אנחנו יכולים להעלות קבצים ולטפל בהם. אפשר לעשות את זה עם תוכנה יעודית או אפילו עם הדפדפן.

הדגמה של פרוטוקול FTP בדפדפן
הדגמה של פרוטוקול FTP בדפדפן

שימו לב לתחילית שבאה לפני הכתובת. בדיוק כפי שיש לנו את HTTP או את HTTPS, יש לנו כאן תחילית קצת פחות מוכרת בשם FTP שהיא ראשי תבות של File Transfer Protocol. לא מדובר כאן במשהו לא מוכר או אקזוטי אלא בדרך עבודה עם שרתים שמיליוני אנשים בעולם מייצרים.

כאשר יש לי גישה ל-FTP – יש לי גישה בלתי מוגבלת לקבצי השרת. אני יכול לקרוא את הקבצים, להכניס קבצים חדשים או למחוק ישנים. זו הסיבה שבדרך כלל גישת FTP מוגבלת בסיסמה ובשם משתמש. חלק גדול מהחברות מגבילות את החיבור ולא מאפשרות למי שהוא לא מהרשת הארגונית להתחבר. ישנן הרבה הגנות על FTP שמקובלות כבר עשרות (עשרות!) שנים בתחום. אף אחד לא משאיר שרתי FTP פרוצים בטח ובטח אם יש עליהם מידע רגיש או מידע שאם הוא יימחק ייגרם נזק.

אה, רגע, אמרתי אף אחד? התכוונתי לאף אחד חוץ ממכון רפואי שיש לו מידע רפואי רגיש על אזרחים. מכון פנוחכם חשב שזה רעיון טוב להחזיק את כל הצילומים והמידע של הלקוחות על FTP פתוח לרווחה. איזה מידע? צילומי שיניים, מספרי תעודת זהות, תאריך לידה ונתונים נוספים (כמו תמונת פנים מלאה בחלק מהמקרים).

תיק רפואי פרוץ מתוך שרתי חברת פנוחכם
תיק רפואי פרוץ מתוך שרתי חברת פנוחכם

הנזק הפוטנציאלי

מה אפשר לעשות עם הנתונים האלו? הו הו הו.

סמס מזויף עם שימוש בפרטים שמאפשרים לתוקף לקבל פרטים נוספים
סמס מזויף עם שימוש בפרטים שמאפשרים לתוקף לקבל פרטים נוספים

וזו רק דוגמה אחת. בדיוק כמו הפרצה שהתגלתה במשרד הפנים במערכת הזימון של המאגר הביומטרי – ברגע שיש לנו פרטים משמעותיים כמו מספר תעודת זהות, שם מלא, תאריך ביקור במקום מסוים ופרטים נוספים – אני יכול לבצע התקפה על המשתמש כיוון שחומות ההגנה שלו יורדות. גם מומחה אבטחת מידע יתן פרטים נוספים אם מהצד השני יש מישהו שמתקשר אליו מהמרפאה עם מידע מדויק עליו. קל להאמין שזה באמת מהמרפאה.

הגילוי

פרצת האבטחה הזו היא לא כתוצאה מעבודת האקינג מאומצת, תחכום יוצא דופן או עבודה מול מחשב באפלולית הלילה. כל מה שעשיתי זה לחפש באמצעות מנוע החיפוש shodan. זה הכל.

דף תוצאה ממנוע החיפוש shodan
דף תוצאה ממנוע החיפוש shodan

מנוע החיפוש הזה לא יושב ברשת האפלה. כל אחד יכול להשתמש בו בקלות. בדרך כלל רוב האנשים מחפשים בו מצלמות אבטחה ומקווים לתפוס איזו מצלמת אבטחה סינית חביבה שמשקיפה על חדר שינה של זוג שהיה טיפש מספיק כדי להציב אותה שם. אבל אפשר להשתמש בה למצוא דברים אחרים, כמו FTP פתוחים. מהרגע שמצאתי, להכנס ל-FTP זה קל. כמה קל? גם ילד בכיתה ב' יכול להבין.

למה אני עושה את זה

מה שמרגיז בפרצה הזו ובפרצות אחרות שהן לא פשוטות – הן מגוחכות לגילוי. מה שאני עושה כאן זה לא האקינג. זו ברמת הבדיחה. אבל הבדיחה הזו יכולה להזיק לאנשים ולאפשר לעבריינים לתקוף אזרחים תמימים או אפילו עסקים תמימים שכל חטאם היה בכך שהם סמכו על בונה אתרים/מתכנת/איש סיסאדמין שהוא לא מקצועי מספיק. וכן, להשאיר שרת FTP פתוח זו לא 'רשלנות'. זו רשלנות פושעת. עד מתי זה יימשך? זה ייפסק ברגע שרשות כלשהי תתחיל להגיש כתבי אישום נגד מתכנתים רשלנים. במקומות אחרים בעולם יש לדברים האלו משמעות פלילית ונזיקית. בישראל? לא ממש. עד שזה ישתנה, אני אצעק.

אם אני כבר מדבר על מידע ואחסנה שלו – אם אתם לא רוצים לאחסן מידע ב-FTP. יש מיטאפ מוצלח מאוד (באנגלית) על איך עושים מיגרציה ל-AWS. המיטאפ באיזור הבורסה ברמת-גן במשרדי OATH ויתקיים ב-19.2.

פוסטים נוספים שכדאי לקרוא

צילום מסך של סוואגר
יסודות בתכנות

openAPI

שימוש בתשתית הפופולרית למיפוי ותיעוד של API וגם הסבר בסיסי על מה זה API

רספברי פיי

התקנת OpenCanary על רספברי פיי

מה זה OpenCanary ואיך אפשר להתקין אותה על רספברי פיי ולשדרג את אבטחת הרשת הביתית או המשרדית.

DALL·E 2024-09-06 12.34.24 - A visually engaging post about Python and cryptographic problems. The image should feature a dark-themed background with a glowing, futuristic Python
פתרונות ומאמרים על פיתוח אינטרנט

בעיות במימוש של פונקציות קריפטוגרפיות בפייתון

היום (16 לספטמבר) ממש, אני מעביר הרצאה ב-PyconIL 2024 על בעיות קריפטוגרפיות באפליקציות פייתון. לצערי אי אפשר להכניס את כל הבעיות הקריפטוגרפיות להרצאה אחת או

תמונה מצוירת של רובוט שמנקה HTML
יסודות בתכנות

סניטציה – למה זה חשוב

הסבר על טכניקה פשוטה וידועה מאד שאנו מפעילים על מידע לפני שאנחנו מציגים אותו ב-HTML באפליקציה או באתר.

תמונת תצוגה של מנעול על מחשב
פתרונות ומאמרים על פיתוח אינטרנט

הגנה מפני XSS עם Trusted Types

תכונה ב-CSP שמאפשרת מניעה כמעט הרמטית להתקפות XSS שכל מפתח ווב צריך להכיר וכדאי שיכיר.

גלילה לראש העמוד