מדי שנה מפסידים בעלי תחנות דלק מיליוני דולרים במגוון רחב של הונאות. כעת הם נאלצים להתמודד עם איום נוסף: שני חוקרי אבטחת מידע ישראלים גילו פרצת אבטחה חמורה במערכות הממוחשבות של תחנות ברחבי העולם. הפרצה מאפשרת להאקרים לגנוב את פרטי כרטיסי האשראי של הלקוחות ואף לשלוט במחיר הדלק. "מערכת האבטחה פשוטה מידי להאקרים", הסבירו החוקרים.
לסיפורים הכי מעניינים והכי חמים – הצטרפו לפייסבוק שלנו
הפרצה מאפשרת לתוקפים להשבית את משאבות הדלק, לחייב את כרטיסי האשראי של משתמשי התחנה וכן מעניקה להם גישה לרשת המחשוב של התחנות וחנויות הנוחות. לדברי חוקרי אבטחת מידע ישראלים, ההאקרים מסוגלים תיאורטית לפרוץ למערכת ולשנות את מחירי הדלק, אם כי טרם דווח על תקריות הונאה מסוג זה.
בכיר במעבדת "קספרסקי", עידו נאור ועמיחי נידרמן, חוקר אבטחה לשעבר באזימות', גילו את פרצת האבטחה לאחר שמערכת ההפעלה של משאבת דלק בתחנה כלשהי בישראל קרסה בחודש יוני האחרון והעניקה להם גישה לצפות בנתוני האשראי של הלקוחות. המערכת שקרסה שייכת לחברת "אורפק מערכות" הישראלית, שמייצרת בין השאר תוכנות לניהול תחנות דלק מסחריות וצבאיות בישראל.
בתמונות שצילם עמיחי נידרמן ניתן לראות את השינוי במחיר במשאבת הדלק. בתמונה הראשונה מחיר הדלק הוא 6.66 שקלים ולאחר שהחוקרים פרצו למערכת הם הוזילו את המחיר והוזילו אותו ב-12 אגורות ל-6.54 שקלים.
"השיטה של 'אורפק' מאפשרת לבעלי תחנות הדלק גישה נוחה למערכות", הסביר נידרמן. "בעזרתה ניתן לצפות בנתוני השימוש בכמויות הדלק ואף לשנות מחירים, אבל מתברר שהתוכנה הפשוטה הזו חשופה לפריצות מצד האקרים".
החולשה במערכת של "אורפק" היא שמדובר בתוכנה המחוברת לרשת האינטרנט, ובכך אלפי תחנות דלק ברחבי העולם חשופות לפריצות. החוקרים הסבירו שהבעיה המרכזית במערכת היא "דלת אחורית" המוטמעת בקוד המקור, שמאפשרת להאקרים לעקוף מרחוק את הגנות האבטחה של המשאבות, ובכך מאפשרת להם לצפות בפרטים אישיים של לקוחות שהשתמשו בהן בעבר.
מערכות "אורפק" נמכרות לא רק בישראל והן מותקנות ביותר מ-35 אלף תחנות שירות ו-7 מיליון כלי רכב ב-60 מדינות שונות. בשנה שעברה נרכשה החברה על ידי חברת "גילברקו וידר רות", חברת הדלק וחנויות הנוחות הגדולה ביותר בארה"ב וברחבי העולם.
מחברת אורפק נמסר: "חברת אורפק שמה את נושא אבטחת המידע של לקוחותיה בראש סדר העדיפויות שלה ואנו לוקחים ברצינות רבה את איום הסייבר הגובר גם בתעשייה שלנו. אנו עובדים בתיאום עם הרשות להגנת הסייבר של מדינת ישראל על מנת לספק את המענה הנדרש להגן על לקוחותינו. יצרנו קשר עם כל הלקוחות הרלוונטיים בישראל ובעולם והנחנו אותם כיצד להקפיד על נהלי אבטחת מידע נאותים, וסיפקנו עדכוני תוכנה, בהתאם לצורך.כמובילת שוק, חברת אורפק מחוייבת ללקוחותיה, ומספקת להם את המוצרים והשרותים הטובים ביותר, שמייצרים עבורם ערך משמעותי".
מחברת "גילברקו וידר רות" הבעלים של "אורפק" לא נמסרה תגובה.