פרצת אבטחה חמורה באתר השב"ס: דלף מידע על אלפי מועמדים

חוקר האבטחה נועם רותם חשף שורה של כשלי אבטחה חמורים באתר גיוס כח האדם של השב"ס. הפרצות היו כה חמורות שהשב"ס נאלץ להסיר את האתר מהאוויר.

רותם מתאר בחשבון הטוויטר שלו את הכשלים: "האתר של שירות בתי הסוהר ירד מהאוויר ומציג שקופית מתנצלת. הסיבה לכך פשוטה: עד לפני מספר שעות הוא היה מלא חורי אבטחה שאיפשרו לכל אדם לגשת ישירות למסד הנתונים שלו, ואפילו להתחבר לממשק הניהול כמנהל על, ולהשתלט עליו לחלוטין. האתר, בנוסף למתן מידע על שירות בתי הסוהר הישראלי, גם ניהל את כל מערכת גיוס המועמדים, כך שבמסד הנתונים שלו היו אלפי רשומות מפורטות לגבי מועמדים פוטנציאלים, וכאלה שכבר גויסו לשירות, כולל עבר צבאי (ושהות בכלא), פירוט על לימודים אקדמיים, מצב רפואי, ועוד.

"בנוסף, באתר היו גם קורות חיים של מועמדים רבים, צילומי תעודות זהות ותעודות לימודים, ושלל מידע אישי אחר. חורי האבטחה היו חמורים כל כך, שתוך מספר דקות אפשר היה להיכנס למערכת ניהול האתר ולעשות בה כשלנו. למחוק מועמדים, לקדם אחרים, לחטט בענייניהם, ולשלוח אותם לראיונות בקציעות. לצורך הדגמה, אפשר היה גם לשנות את התכנים שפורסמו באתר הרשמי של שירות בתי הסוהר".

רותם אכן הוכיח שניתן לעשות זאת והוסיף לאתר את המשפט: "שירות בתי הסוהר קורא לשחרור כל העצירים המינהליים לאלתר". אחרי שעשה צילום מסך לחולשה הוא הסיר את הטקסט מהאתר.

הפרצה החמורה באתר השב"ס היא עוד חוליה בשרשרת של חולשות שהתגלו באחרונה באתרים ישראליים - אך הפעם המקרה חמור יותר. שב"ס הוא גוף ממשלתי, מונחה המשרד לביטחון פנים לענייני סייבר, ועוסק בדברים רגישים, והאתר שלו התגלה כפרוץ ברמה רשלנית.

משירות בתי הסוהר נמסר בתגובה: "בעקבות מידע שהגיע אלינו, נבדק אתר לשכת הגיוס מול החברה המאחסנת אותו. האתר יחזור לתפקד לאחר שתסתיים הבדיקה".

מהרשות להגנת הפרטיות במשרד המשפטים נמסר: "הפרטים המובאים בפנייה ייבחנו. בתוך כך הרשות, מזכירה כי במאי הקרוב ייכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע) שמגדירות את חובת ורמת אבטחת המידע הנדרשת מכל גוף וארגון במשק ישראלי, ציבורי ופרטי כאחד, המנהל מידע אישי על אזרחים. התקנות אף מחייבות דיווח לרשות במקרים של אירועי אבטחה חמורים".

'בחדרי' גם ברשתות החברתיות - הצטרפו!