פרטיהם של כל חברי התאחדות האדריכלים נחשפו באינטרנט

הקלדת מספרי הזהות, כדי לברר זכאות להצביע בבחירות הפנימיות בשבוע הבא, הובילה לחשיפת כל 2,000 המספרים. אשתקד נחשפו 900 אדריכלים דרך אותו אתר

מנור בראון

|

04.08.20 | 09:47

כך נחשפו מספרי הזהות באתר התאחדות האדריכלים. צפו
צילום מסך מהאתר

אלפי מספרי תעודות זהות של אדריכלים, שהם חברי התאחדות האדריכלים, היו חשופים לכל באתר האינטרנט של ההתאחדות במשך כמה ימים. תקלת אבטחת המידע אירעה כתוצאה ממהלך, שנועד לעודד את האדריכלים להשתתף בבחירות של ההתאחדות, שיתקיימו בשבוע הבא.

 

בקישור, שפורסם באתר ההתאחדות ושותף ברשתות החברתיות, נקראו חברי ההתאחדות לבדוק את זכאותם להצביע, באמצעת הקלדת תעודת הזהות שלהם בתיבת חיפוש שמופיעה באתר. אלא שבדיקה פשוטה, שכל גולש יכול לבצע בדפדפן האינטרנט שלו - ללא כל ידע בפריצה לאתרים - חשפה באופן מלא את מאגר הנתונים של חברי ההתאחדות, שאליו משווים את מספר תעודת הזהות שהוקלד בשורת החיפוש.

 

ההתאחדות הזמינה את האדריכלים לברר את זכאותם להצביע (צילום מסך: מתוך isra-arch.org.il)
    ההתאחדות הזמינה את האדריכלים לברר את זכאותם להצביע(צילום מסך: מתוך isra-arch.org.il)

    ולהקליד את מספר תעודת הזהות שלהם (צילום מסך: מתוך isra-arch.org.il)
      ולהקליד את מספר תעודת הזהות שלהם(צילום מסך: מתוך isra-arch.org.il)

       

      "לא שמים תעודות זהות ברשת", מבהיר נעם רותם, האקר ואקטיביסט, שזיהה את דליפת מאגר המידע לרשת. "זו עבירה על חלק מחוקי הגנת הפרטיות ויש פה סכנה לגניבת זהות. מי שיש לו את הפרטים הפרטים האישיים שלך, יכול לפנות לכל מיני גופים ממשלתיים ומסחריים ולעשות דברים בשמך".

       

      הצלבה עם מאגרי מידע אחרים

       

      מספרי תעודות הזהות נחשפו אמנם ללא שמות, אך רותם מסביר כי קל מאוד להצליבם עם מאגרי מידע אחרים שדלפו - כמו אלה של משרד הפנים ותוכנת "אלקטור" של הליכוד - כדי להשיג פרטים נוספים על אודות חברי ההתאחדות. "מבחינת פיתוח מערכת, אף פעם לא שמים את מסד הנתונים בצד של הלקוח, ומעבר לזה הם פשוט מסכנים את כל מי שחבר בארגון וחושפים אותם לסכנות", אומר רותם.

       

      ערוץ האדריכלות של Xnet פנה לחברת "Evote" שמנהלת ומפקחת על תהליך ההצבעה מרחוק, ושם טענו כי מערכת הבחירות לא צפויה להיפגע כתוצאה מפריצת אבטחת המידע שהתרחשה באתר ההתאחדות. בחברה הסבירו כי תהליך ההצבעה נערך במערכות שונות ומאובטחות, השייכות לחברה, והיא כוללת כמה שלבי אימות זיהוי, כך שיישמר טוהר הבחירות ואיש לא יוכל להצביע בשמו של אדם אחר.

       

      דקות בודדות לאחר שערוץ האדריכלות של Xnet עדכן בדבר את מנכ"לית התאחדות האדריכלים, אורלי לאופולד, הוסר העמוד. נכון לעכשיו, חברי ההתאחדות אינם יכולים לבדוק את זכאותם להצבעה. לאופולד מסרה כי "מדובר במקרה מצער, שייבדק ויטופל".

       

      דוד קנפו. מתמודד על קדנציה נוספת (צילום: מנור בראון)
        דוד קנפו. מתמודד על קדנציה נוספת(צילום: מנור בראון)

         

        אלא שמתברר שזו לא תקלת אבטחת המידע הראשונה באתר של ההתאחדות. כבר לפני כשנה, נחשפו מעל 900 תעודות זהות של חברים בעמותה לצד שמותיהם המלאים. ברשימה, שהגיעה לידינו, אפשר למצוא שמות של אדריכלים בולטים כמו גידי בר אוריין, גבי שורץ, מיכל קימל-אשכולות, אורית מילבואר אייל, אלון ברנוביץ, משה וארנה צור, עדה כרמי מלמד, יונתן מונג'ק, שחר לולב, מוטי כסיף - וגם דוד קנפו עצמו.

         

        רון אשרוב, סטודנט למתמטיקה, גילה את הפרצה באתר ואפילו העלה בשעתו ציוץ בטוויטר בעניין: "שמתי לב שכשמקלידים את מספר תעודת הזהות זה מראה מאוד מהר האם אתה חבר התאחדות, זה היה נראה לי טיפה מהר מידי. בדקתי איך מבוצעת הבדיקה וגיליתי שזה לא שולח את בקשת הבדיקה לשרת. מתוך זה הסקתי שהבדיקה נעשית בדפדפן עצמו מתוך רשימת תעודות זהות קיימות, בדקתי וגיליתי שהחיפוש מבוצע בתוך דאטה בייס שהוגדר וכך הוצאתי 927 שמות מוצלבים עם תעודות זהות".

         

        הבחירות להתאחדות האדריכלים אמורות להיערך בשבוע הבא (10-11 באוגוסט). חברי ההתאחדות, יותר מ-2,000 במספר, מתבקשים לבחור יו"ר חדש ובעלי תפקידים לשנים הקרובות. יו"ר ההתאחדות, האדריכל דוד קנפו, מעמיד את עצמו מחדש לתפקיד ומולו יתמודדו האדריכלים דנה וישקין ואבישי ליכטנשטיין.

         

         
        הצג:
        אזהרה:
        פעולה זו תמחק את התגובה שהתחלת להקליד