רשת מרפאות שיניים חושפת את התיקים הרפואיים של כל הלקוחות שלה

עוד יום, עוד פירצה פשוטה מאוד לגילוי, זיהוי ומניעה והפעם באתר אינטרנט שמכיל מידע רפואי יקר, אישי שניתן להשתמש בו למטרות נלוזות.

חברת פנוחכם היא חברה הנותנת שירותי צילום והדמיה רפואית לקופות החולים ויש לה סניפים בעיקר באיזור הצפון. מה הבעיה? שכל הצילומים של מאות הלקוחות שלה מכל הסניפים הרבים שלה מועלים לשרת לא מוגן שלכל אחד בעולם יש גישה אליו.

הסבר על "הפירצה" בשפת בני אדם

פרוטוקול FTP הוא פרוטוקול ותיק מאוד המשמש להעברת קבצים. אין בונה אתרים שלא מכיר אותו. באמצעות הפרוטוקול אנחנו יכולים להעלות קבצים ולטפל בהם. אפשר לעשות את זה עם תוכנה יעודית או אפילו עם הדפדפן.

שימו לב לתחילית שבאה לפני הכתובת. בדיוק כפי שיש לנו את HTTP או את HTTPS, יש לנו כאן תחילית קצת פחות מוכרת בשם FTP שהיא ראשי תבות של File Transfer Protocol. לא מדובר כאן במשהו לא מוכר או אקזוטי אלא בדרך עבודה עם שרתים שמיליוני אנשים בעולם מייצרים.

כאשר יש לי גישה ל-FTP – יש לי גישה בלתי מוגבלת לקבצי השרת. אני יכול לקרוא את הקבצים, להכניס קבצים חדשים או למחוק ישנים. זו הסיבה שבדרך כלל גישת FTP מוגבלת בסיסמה ובשם משתמש. חלק גדול מהחברות מגבילות את החיבור ולא מאפשרות למי שהוא לא מהרשת הארגונית להתחבר. ישנן הרבה הגנות על FTP שמקובלות כבר עשרות (עשרות!) שנים בתחום. אף אחד לא משאיר שרתי FTP פרוצים בטח ובטח אם יש עליהם מידע רגיש או מידע שאם הוא יימחק ייגרם נזק.

אה, רגע, אמרתי אף אחד? התכוונתי לאף אחד חוץ ממכון רפואי שיש לו מידע רפואי רגיש על אזרחים. מכון פנוחכם חשב שזה רעיון טוב להחזיק את כל הצילומים והמידע של הלקוחות על FTP פתוח לרווחה. איזה מידע? צילומי שיניים, מספרי תעודת זהות, תאריך לידה ונתונים נוספים (כמו תמונת פנים מלאה בחלק מהמקרים).

הנזק הפוטנציאלי

מה אפשר לעשות עם הנתונים האלו? הו הו הו.

וזו רק דוגמה אחת. בדיוק כמו הפרצה שהתגלתה במשרד הפנים במערכת הזימון של המאגר הביומטרי – ברגע שיש לנו פרטים משמעותיים כמו מספר תעודת זהות, שם מלא, תאריך ביקור במקום מסוים ופרטים נוספים – אני יכול לבצע התקפה על המשתמש כיוון שחומות ההגנה שלו יורדות. גם מומחה אבטחת מידע יתן פרטים נוספים אם מהצד השני יש מישהו שמתקשר אליו מהמרפאה עם מידע מדויק עליו. קל להאמין שזה באמת מהמרפאה.

הגילוי

פרצת האבטחה הזו היא לא כתוצאה מעבודת האקינג מאומצת, תחכום יוצא דופן או עבודה מול מחשב באפלולית הלילה. כל מה שעשיתי זה לחפש באמצעות מנוע החיפוש shodan. זה הכל.

מנוע החיפוש הזה לא יושב ברשת האפלה. כל אחד יכול להשתמש בו בקלות. בדרך כלל רוב האנשים מחפשים בו מצלמות אבטחה ומקווים לתפוס איזו מצלמת אבטחה סינית חביבה שמשקיפה על חדר שינה של זוג שהיה טיפש מספיק כדי להציב אותה שם. אבל אפשר להשתמש בה למצוא דברים אחרים, כמו FTP פתוחים. מהרגע שמצאתי, להכנס ל-FTP זה קל. כמה קל? גם ילד בכיתה ב' יכול להבין.

למה אני עושה את זה

מה שמרגיז בפרצה הזו ובפרצות אחרות שהן לא פשוטות – הן מגוחכות לגילוי. מה שאני עושה כאן זה לא האקינג. זו ברמת הבדיחה. אבל הבדיחה הזו יכולה להזיק לאנשים ולאפשר לעבריינים לתקוף אזרחים תמימים או אפילו עסקים תמימים שכל חטאם היה בכך שהם סמכו על בונה אתרים/מתכנת/איש סיסאדמין שהוא לא מקצועי מספיק. וכן, להשאיר שרת FTP פתוח זו לא 'רשלנות'. זו רשלנות פושעת. עד מתי זה יימשך? זה ייפסק ברגע שרשות כלשהי תתחיל להגיש כתבי אישום נגד מתכנתים רשלנים. במקומות אחרים בעולם יש לדברים האלו משמעות פלילית ונזיקית. בישראל? לא ממש. עד שזה ישתנה, אני אצעק.

אם אני כבר מדבר על מידע ואחסנה שלו – אם אתם לא רוצים לאחסן מידע ב-FTP. יש מיטאפ מוצלח מאוד (באנגלית) על איך עושים מיגרציה ל-AWS. המיטאפ באיזור הבורסה ברמת-גן במשרדי OATH ויתקיים ב-19.2.