פחות מחודש לאחר שהתגלתה פרצת אבטחה חמורה באפליקציית רמיני, שחשפה ברשת את פרטיהם האישיים של 100,000 הורים לילדים בגנים בישראל - נודע ל-TheMarker על עוד פרצת אבטחה חמורה: מהתוכנה לניהול חשבונות iFreelance דלפו לרשת פרטיהם המלאים של אלפי לקוחות.
המידע של משתמשי התוכנה שנחשף ברשת כולל הכנסות והוצאות של בתי עסק, וכן רשימות של ספקים ולקוחות עם מספרי תעודת זהות, דיווחים לפי שנת מס ומידע אישי נוסף. דליפת המידע איפשרה לראות, למשל, את רשימת המטופלים של פסיכולוגים ורופאים, ולעמוד על מצבו הכספי של אדם או עסק.
את הפרצה גילה במקרה לקוח של חברת iFreelance, איש אבטחת מידע. הלקוח, שגיא (שם בדוי), מעדיף להישאר אנונימי, אבל מייד עם גילוי פרצת האבטחה פעל למסור את כל המידע למפעילת התוכנה כדי שתסגור אותה.
"לא באתי לעשות בדיקת אבטחה", הוא מספר ל-TheMarker. "יש בתוכנה אפשרות לעשות גיבוי, וניסיתי לעשות בק-אפ למידע שלי לשנת המס 2017. הסתכלתי מאיפה יורד הקובץ – ולקח לי עשר שניות להבין שאם אני מקיש במקום של הכתובת את מספר תעודת זהות של לקוח אחר, במקום את מספר תעודת הזהות שלי, אני מקבל להורדה את כל המידע שלו".
איך הגיע שגיא למספרי תעודת הזהות של המשתמשים האחרים בתוכנה? מתברר שגם אלה דלפו לרשת. כל גולש שהקיש את הכתובת ifreelance.co.il/openfrmt היה יכול לראות את כל תיקיית הלקוחות ולשוטט בה.
"שירות iFreelance איפשר יצוא של הנתונים לקובץ אינדקס מסוג INI", מספר שגיא. "מטרת הקובץ היתה כנראה לדווח לרשות המסים או לאפשר למשתמש לקחת את החומר שלו לרואה חשבון אחר. כל משתמש של השירות שעשה אי פעם יצוא נתונים, המידע שלו דלף לרשת. מדובר בכ-1,500 משתמשים, והמידע הזה קוטלג גם בגוגל.
"פיצ'ר נוסף בתוכנה מאפשר לעשות גיבוי. גם פה – כל לקוח שאי פעם עשה פעולת גיבוי, היה חשוף ברשת. במקרה זה מדובר בכ-7,500 חשבונות, אבל המידע הזה כנראה לא קוטלג בגוגל".
על פי שגיא, באופן תיאורטי ניתן היה גם לטעון מחדש לתוכנה את קובצי הגיבוי ולהשמיד את המאגר, או לעשות מניפולציה במידע שבו. כך היה אפשר, למשל, לנפח הכנסות של משתמש ולגרום לו לשלם יותר מס – או להפך, להעלים מס. ואולם שגיא מציין כי לא בדק אפשרות זו, כדי לא לעבור על החוק. "אני לא יכול לדעת כמה שנים המידע היה חשוף ברשת ומי כבר הוריד אותו, אבל ניתן לראות שם דיווחי מס מ-2010", הוא אומר.
מייד לאחר שגילה את הפרצה פתח שגיא בתהליך הסגרה של כל החולשות שלה מול iFreelance. החברה הגיבה במהירות והפרצות נסגרו בתוך כמה ימים. ואולם ככל הידוע, החברה לא מסרה הודעה ללקוחותיה שפרטי המידע שלהם היו חשופים ברשת במשך זמן רב. על פי החוק בישראל אין חובה כזאת במקרה של פרצה במאגר מידע.
"תודה ללקוח שדיווח"
iFreelance מעניקה שירותי ענן לניהול ספרי חשבונות. לפי האתר שלה, התוכנה רשומה במס הכנסה. הבעלים של החברה הוא רו"ח שי הראל. במשך תקופה ארוכה השימוש בתוכנה ניתן בחינם. בשנים האחרונות השירות כרוך בתשלום של 200 שקל לשנה.
הפרצה שהתגלתה בתוכנה חמורה, בשל העיסוק של החברה בנושאים כספיים. חוק הגנת הפרטיות מגדיר מידע רגיש כך: "נתונים על אישיותו של אדם, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו". הנחיות רשם מאגרי המידע בנוגע למאגר המכיל מספרי תעודת זהות קובעות כי "בשל הרגישות של מידע הכולל מספרי זהות ופוטנציאל הנזק הרוחבי, עמדת הרשם הינה כי נדרשת הקפדה יתרה באבטחת המידע של מאגר המידע". תקנות אבטחת המידע המעודכנות מ-2017 מטילות חובת דיווח על אירועי אבטחה חמורים לרשות להגנת הפרטיות (רמו"ט), ולפי דרישתה גם לאנשים שהמידע עליהם שנחשף – אך תקנות אלה ייכנסו לתוקף רק ב-8 במאי (עוד יותר משבועיים).
הראל, הבעלים של החברה, מסר בתגובה: "תוכנת iFreelance קיימת יותר משבע שנים ומעולם לא נפרצה. כמו בכל מערכת פיננסית, אנו סופגים מדי פעם התקפות שונות, שכמובן לא הצליחו בכך.
"לפני כשבועיים פנה אלינו חוקר אבטחה שאנו בטוחים כי אין לו כל כוונות זדון (האקר לבן) והצביע על פרצת אבטחה המאפשרת חדירה זדונית למערכת, תוך ציון העובדה שפנייתו נעשתה כדי למנוע דליפת מידע של משתמשי השירות ולמנוע נזק פוטנציאלי לאתר. אנשי אבטחת הסייבר של האתר שללו את האפשרות של פריצה, אך ציינו שניתן היה דרך פרצה זו לאתר רשימה מצומצמת של תעודות זהות של משתמשי האתר. הפרצה נסגרה באופן מיידי.
"הופתענו לגלות מכתבת TheMarker שאותו חוקר אבטחה העביר לה את הקובץ המצומצם של תעודות הזהות לאחר שהפרצה נסגרה. מייד עם קבלת הקובץ ממנה נפנה וניידע כל משתמש. אנו מודים לחוקר האבטחה שהביא לתשומת לבנו את פרצת האבטחה האפשרית".
הסכנה: האקר זדוני
הפרצה באתר iFreelance מצטרפת לשורה של כשלי אבטחה שהתגלו בחודשים האחרונים באתרים ובאפליקציות. ברוב המוחלט של החשיפות מדובר בחוקרי אבטחה עצמאיים שגילו את החולשות והחליטו לדווח עליהן ללא תמורה.
ואולם האקר זדוני יכול לעשות שימוש בחולשה כדי לפגוע במשתמשים – בין היתר לסחוט אותם או את בעל האתר, למכור את הנתונים ולגרום חבלה למאגר. ההאקרים הלבנים מאתרים את החולשות אך לרוב מעדיפים לדווח עליהן באופן אנונימי כדי לא להסתכן בתביעה מצד בעל האתר או באישום פלילי לפי חוק המחשבים. ככל הידוע, רשות הסייבר הלאומית, הממונה על חוסן הסייבר של ישראל, אינה מבצעת פעילות דומה לאיתור פרצות וחולשות בשירותי רשת ישראליים.
עוד ב-TheMarker:
היזם הישראלי שנותן לכם אשראי דיגיטלי
האינטרנט ברוסיה הולך ונחסם