האם התמונות של הילדים שלכם מסתובבות ברשת זמינות לכל דורש? ל–TheMarker נודע על קיומה של פרצת אבטחה חמורה באפליקציה רמיני (Remini), שמאפשרת גישה למידע רגיש במיוחד מבחינתם של ההורים.
רמיני היא אפליקציה שמאפשרת לצוותים של גני ילדים לתקשר עם ההורים, לשתף תמונות וסרטונים, ולחלוק מידע אישי, לוח אירועים של הגן ועוד. האפליקציה, מתברר, מאובטחת ברמה נמוכה מאוד וניתן בקלות רב למדי להגיע לרוב המידע שעבר דרכה ברשת — הכולל בין השאר כ–6 מיליון תמונות לא מוצפנות ולא מוגנות, וכן פרטים של יותר מ–100 אלף הורים.
חוקר האבטחה שדיווח על הפרצה מספר: "הכל התחיל כשאמא מודאגת פנתה אלי ושאלה אם שירות רמיני מאובטח". אותה האמא שולחת את ילדה לגן העושה שימוש באפליקציה לצורכי תקשורת עם ההורים, והיא העלתה חשש בנוגע לרמה של אבטחת המידע בה.
לחוקר האבטחה חברה בתחום ההיי־טק, אבל הוא החליט לבדוק את הנושא כטובה לאמא המודאגת: "לקח לי רבע שעה למצוא נקודת כניסה, ומשם היתה לי גישה מלאה למאגר הנתונים. כל התמונות של הילדים שמורות במאגר לא מאובטח של אמזון, המוגדר ציבורי, וכל אחד יכול לגשת אליו. זה זלזול פושע בפרטיות. יש שם כרגע 5.8 מיליון תמונות וסרטונים של ילדים ופרטים של 111 אלף מבוגרים". המידע על המבוגרים כולל, בין היתר, כתובות אימייל, פרטי פייסבוק ומספרי טלפון.
שיטת הכניסה למאגר המידע היא מתקפה מקובלת המכונה SQL Injection — התוקף משתמש בשדה שבו צריך להקיש נתון (למשל סיסמה) ומקיש במקום זאת פקודה. לפי הבלוג הטכני tech.b48.club: "הפורץ מנצל את התבנית של השאילתה כדי להזריק פנימה פקודות במקום משתנים, בניגוד לתכנות המקורי שלה".
משרד החינוך אישר
האפליקציה רמיני מומלצת על ידי משרד החינוך, ובאתר המשרד נכתב כי "רמיני היא רשת חברתית מאובטחת, המאפשרת תקשורת שוטפת בנושאים חינוכיים — סביבה סגורה לתקשורת בין צוות גן הילדים להורי הגן. הסביבה מאפשרת לשתף טקסטים, לשלוח ולקבל הודעות מצוות הגן".
יתרה מזאת, משרד החינוך פירסם מסמך PDF לרמיני המכונה "אישור להפצת סביבה טכנולוגית לחינוך". האישור ניתן לאפליקציה על ידי סם קפלן, מנהל אגף תשתיות במשרד החינוך, ונחתם ב–1 בפברואר 2017. לא ברור מה הן הבדיקות שנערכו לפני שניתן האישור.
בראיון לגיקטיים מ–2015 סיפר רז וסרשטיין, אחד מיזמי החברה: "לרמיני יש כבר יותר מ–10,000 משתמשים והיא פועלת כיום ביותר מ–500 גני ילדים בארץ. אלה מעבירים להורים תמונות, שנכנסות ישירות לסיפור החיים של הילדים. רמיני קיבלה את אישור משרד החינוך, ואנחנו פועלים בשיתוף פעולה עם הנהלת ויצו, עם כמה עיריות ברחבי הארץ ועם ארגונים של גני ילדים פרטיים, כדי לאפשר לגננות להתקדם לרמיני". נראה כי מרבית המשתמשים של השירות הם ברובד החינמי. לחברה יש גם הכנסות ומודל עסקי, אך היא סירבה לפרט לגביו.
כתבה זו מתפרסמת רק אחרי שהסתיימה סגירת הפרצה על ידי החברה. מידע בעניין זה נמסר גם למשרד החינוך, רשות הסייבר הלאומית והרשות להגנת הפרטיות במשרד המשפטים (לשעבר רמו"ט), הממונה בין היתר על ניהול מאגרי מידע בישראל. על פי סעיף 17 לחוק הגנת הפרטיות, הרשות להגנת הפרטיות מוסמכת לפתוח בהליכי פיקוח נגד מקרים של אבטחת מידע לקויה. הרשות פתחה בהליכים בעבר בין היתר מול לאומי קארד ובנק ירושלים.
איך מתגוננים?
הפרצה ברמיני היא חוליה נוספת וחמורה במיוחד בשרשרת של חורי אבטחה שנחשפו בחודשים האחרונים במאגרי מידע ושירותים ישראליים. בין השאר, התגלו חולשות במערכת זימון התורים להפקת התיעוד הביומטרי במשרד הפנים, ובמועדון הלקוחות של Zap — שתיהן נחשפו על ידי רן בר זיק.
חוקרי האבטחה שמגלים את הפרצות האלה עושים זאת ללא תמורה, כדי להגדיל את המודעות לאבטחת סייבר בקרב גופים ישראליים. קיים פער בין האופן שבו ישראל תופשת את עצמה כמעצמת סייבר לבין רמת אבטחה ירודה יחסית בשירותים ממשלתיים ופרטיים ברשת ואופן ניהול מאגרי המידע. ככל הידוע, רשות הסייבר אינה עושה בדיקות יזומות בדומה לאלה שעושים החוקרים העצמאיים, ועוסקת בעיקר בקביעת מדיניות, התרעות על מתקפות בזמן ופעולות אחרות.
מה יכולות לעשות חברות שרוצות לשפר את עמידות הסייבר שלהן? אפשרות אחת, היא להזמין האקרים אתיים (כובע לבן) כדי לנסות ולתקוף את המערכות שלהן בתוכניות באג באונטי. בתוכניות אלה החברות מציעות תמורה קטנה — לא בהכרח כספית — למי שחושף חולשות בתוכנה.
ענקיות טכנולוגיה כמו גוגל ופייסבוק מפעילות תוכניות כאלה כבר שנים, וכך האקרים אתיים מצליחים לאתר חולשות לפני שגורמים שליליים עושים בהן שימוש. לא רק חברות, אפילו הפנטגון מפעיל תוכנית באג באונטי. בישראל, משום מה, אין כמעט תוכניות מקבילות — לא במגזר הפרטי ולא במגזר העסקי.
אפשרות נוספת, אבל יקרה יותר, היא לשכור חברת ייעוץ בתחום אבטחת המידע שתבצע סקר סיכונים ובדיקת חדירות למערכות (Penetration Testing). מוסדות פיננסיים ומוסדות ביטחוניים עושים זאת באופן תקופתי קבוע.
ממשרד החינוך נמסר: "עם היוודע דבר דליפת המידע באפליקציה המדוברת, פעל המשרד מיד מול החברה המפתחת לשם טיפול ותיקון מיידי של הבעיה. אנחנו נמצאים בקשר שוטף עם החברה, ולא נרפה עד שנוודא שהאפליקציה מאובטחת לחלוטין ובטוחה לשימוש".
במהלך סוף השבוע, אחרי פניית TheMarker לחברה, רשת נעמ"ת — שבגנים שלה נעשה שימוש באפליקציה — הוציאה הודעת עדכון להורים. בהודעה נכתב: "האפקליציה נבדקה ואושרה על ידי גורמי ממשלה מוסמכים. בעקבות האירוע רמיני תיגברה את מערך אבטחת המידע. החברה הבטיחה כי תמשיך לתת שירות בטוח למשרד החינוך ולארגונים המפעילים מעונות יום".
מהרשות להגנת הפרטיות נמסר: "ברמה העקרונית ומבלי להתייחס לפרטי המקרה המסוים, לרשות להגנת הפרטיות סמכויות אכיפה המופעלות במקרים המתאימים. איננו מדווחים על פעולות אכיפה אלא לאחר תום הטיפול".
מרמיני נמסר בתגובה: "נושא אבטחת המידע מרכזי וחשוב ביותר עבורנו. האפליקציה נבדקה ואושרה על ידי מומחי סייבר המאושרים על ידי גורמי ממשלה מוסמכים. למרות זאת ובהתחשב בהתפתחות של איומי סייבר, קיבלנו הודעה על התקפה. מיד עם היוודע דבר ההתקפה עשינו מאמץ כביר כדי לפתור את הבעיה באופן מיידי — ואכן הנושא נפתר. אנו מודים מאוד לגורם שהביא את הדבר לידיעתנו. בעקבות האירוע תיגברנו את מערך אבטחת המידע ברמיני, כדי שנוכל להמשיך להבטיח שירות בטוח, נעים וקל להורים ולגנים".
הכתבה פורסמה במקור באתר TheMarker
כתבות נוספות:
קרב הישרדות: רשתות האופנה מאיימות לשבות או לעתור לבג"ץ
משכירים דירות ב-Airbnb? רשות המסים בעקבות הכסף שלכם