חשיפת נקסט: פרטים אישיים של חיילי צה"ל - תעודות החוגר, מספרי זהות, כתובות, חתימות ועוד - פרוצים וחשופים לכל מי שרק רוצה, ולמרות ההתרעות - דבר לא נעשה בנדון.
עיריית ראשון לציון יצאה בפרויקט של חלוקת דמי חנוכה לחיילים תושבי העיר ופרסמה אותו גם באתר העירוני. כדי לקבל את דמי החנוכה היה צריך למלא טופס באתר, לצרף צילומי מסמכים, לחתום ולקבל קישור הזדהות. אלא שאם משנים מספר אחד בקישור האישי בדפדפן - אפשר לקבל ישירות את פרטי כל מי שנרשם, חייל אחרי חייל. מדובר בכמות גדולה של חיילים, מאות או אולי אלפים, שחשופים לעיני כל.
אזרחים מודאגים כבר פנו למערך הסייבר של מדינת ישראל בתחילת חודש דצמבר, התריעו על הפריצה אבל זכו להתעלמות.
רן בר-זיק, ארכיטקט תוכנה בכיר ומומחה לפריצות סייבר, התארח ב-next והסביר איך קרתה התקלה הזאת: "זה קורה כל הזמן, אנחנו מקבלים המון מקרים כאלה. זו רשלנות שבאמת אי אפשר לתאר, פרצה כל כך מגוחכת - כמו לבנות בית בלי קירות או דלת. מדובר בפרצה שידועה 20-30 שנה, שנקראת broken access control, ואפשר דרך קישור להיכנס למסמכים שאת לא אמורה לראות, באמצעות ניחוש טריוויאלי. לא צריך שום ידע טכני, מעתיקים קישור ומחליפים מספר אחד בפנים".
איך העובדה שתעודת החוגר או הזהות של אדם חשופה יכולה לשמש לרעתו?
בר-זיק: "אפשר להשתמש בזה לתקיפות ממוקדות. כולנו מקבלים סמס מרושעים שמנסים לפתות אותנו ללחוץ על קישורים ולתת את פרטי האשראי שלנו. אם אני אשלח הודעה שכתוב: 'דרור, תלחץ כאן כדי לקבל מיליון דולר', אתה לא תאמין. אבל אם אני אשלח הודעה לחייל ואציין את תעודת הזהות שלו, היחידה שבה הוא משרת ואת העיר שבה הוא גר, ואשלח לו קישור – 'לחץ לפרטים', זה ייראה אמין והרבה יותר מסוכן.
בנוסף, בתעודת הזהות מופיע תאריך ההנפקה שלה. זה פרט שמשמש כהזדהות באתרי ממשלה. יש לא מעט נוכלויות ביטוח, כל מיני סוכני ביטוח מפוקפקים שמבקשים לעשות פעולות בשמכם דרך המדינה. כשיש צילום תעודת זהות ותאריך ההוצאה שלה, אפשר להזדהות מול שירותי המדינה בלי האישור של הבן אדם".
ממערך הסייבר נמסר בתגובה: "אנו מודים על הדיווח שהוגש במסגרת התוכנית של המערך לדיווח על חולשות אבטחה בארגונים. הנושא נמצא בטיפול מול העירייה". לשאלתנו למה לא נעשה דבר אחרי הפנייה שנשלחה בתחילת החודש - הם סירבו להגיב.
מעיריית ראשון לציון נמסר בתגובה: "מדובר במערכת הרשמה של חברה חיצונית שהתקשרנו מולה. עם פניית מערכת נקסט אלינו, דאגנו להסיר את עמוד ההרשמה מהאתר. נבחן מדוע לאחר פניית התושב למערך הסייבר הלאומי, הם לא פנו אלינו במיידי בכדי שנוכל לבדוק ולטפל".