פרטים אישיים על שוטרים חשופים באתר הארגון המקצועי איפ”א, שטוען משום מה שהפירצה כבר לא קיימת
פרטים אישיים של שוטרים, אנשי מג”ב ושב”ס, ופוטנציאלית גם של מתנדבי משמר אזרחי, חשופים באתר ארגון מקצועי ישראלי של כוחות הבטחון [עדכון] אתר איפ”א ישראל, הסניף הישראלי של ארגון השוטרים הבינלאומי [\עדכון], כך חשף מומחה הסייבראבטחה דורון אופק. בארגון מודעים לפירצה וטוענים כי היא נחסמה, אולם החסימה נעשתה בצורה חובבנית והמידע עדיין חשוף ונגיש בקלות. אני לא מפרסם כרגע את שם הארגון כדי לצמצם את הפגיעה בפרטיות השוטרים, עד לחסימת הפירצה.
המידע מגיע מטפסי הצטרפות לארגון, ועל כן מכיל את המידע האישי והמקצועי מפורט שהאנשים מילאו בטפסים הללו – שם מלא בעברית ובאנגלית, תמונה, ת”ז, תאריך לידה, כתובת מגורים, טלפונים (בית, נייד, עבודה, פקס), אימייל, מצב משפחתי, מספר ילדים, שיוך מקצועי (משטרה/מג”ב/שב”ס), מספר אישי, תאריך גיוס, מחוז ומרחב, תאריך פרישה במקרה של גמלאים ופרטי בני זוג שחברים בארגון.
מידע רב כל כך על אדם עלול לשמש גורמים זדוניים לגניבת זהותו ולשימוש בה לביצוע עבירות בטחוניות ופליליות. הגורמים הזדוניים יכולים אף ליצור קשר עם אותו אדם, להתחזות לארגון המקצועי באמצעות הצגת הפרטים שהוא סיפק לארגון ולהוציא ממנו פרטים אישיים נוספים.
העובדה שהקורבנות הפוטנציאליים הם אנשי כוחות הבטחון היא סכנה פוטנציאלית נוספת, משום שהגורמים הזדוניים יוכלו להשתמש במידע כדי להתחזות לשוטרים מול אזרחים ולנצל את הכוח הזה לבצע עבירות חמורות יותר; עוד יוכל המידע לשמש עבריינים להטריד שוטרים ואת בני משפחותיהם.
“מצאתי [את הפירצה] ממש במקרה, וכשהבנתי שאני מסתכל על משהו שאני לא אמור לראות אז התחלתי להרים דגלים”, אמר לי אופק, שדיווח בקבוצות סייבראבטחה על איתור מאות רשומות של שוטרים וגמלאי משטרה. “אתמול, ממש במקרה, גיליתי אתר שכל המידע בו היה חשוף, והוא החזיק מידע פרטי /אישי (שמוגן מכוח חוק הגנת הפרטיות) על כמות מאד נכבדה של אנשי משטרה”, טיקבק אופק בשרשור פייסבוק על דיון בכנסת שעוסק בתקנות אבטחת מידע. “האתר לא שייך למשטרה, אלא לגוף סמך של השוטרים .. אנשי יחידת הסייבר המשטרתית היו בשוק, יועצים משפטים וכו’ .. כולם, ניסו אתמול מהר מהר לסגור את הפרצה ..”. לדבריו באותו דיון, “להבנתי , בנתיים ‘מיסכו’ (מלשון מיסוך) אותה .. אבל היא לא נפתרה .. עובדים על זה .” בדקתי מידע שאופק סיפק לי, והבדיקה העלתה שאנשי האתר חסמו נקודת גישה בנאלית למדי למידע, אולם המידע עצמו עדיין זמין לכל גולש באמצעים פשוטים מאוד.
בלשכת מנכ”ל הארגון ענתה לי ליז משולם, שהסבירה: “זה בטיפול. היתה תקלה קטנה אבל הכל טופל. [מידע טכני על המידע שנחשף]”.
העניין הוא שהפירצה הזאת עדיין קיימת וחושפת פרטים של שוטרים אז רציתי לדעת אם היא…
“לא קיימת. טופלה”.
קיימת.
“היא לא קיימת”.
רואה אותה עכשיו. טפסים זמינים לי כרגע. [כאן הסברתי איך המידע עדיין נגיש]
“עמי, אני מדברת עם עיתונאי בקשר לאבטחה, הוא אומר שעדיין זה זמין ועדיין זה פרוץ. [מלמול ברקע]. תעשה רענון, כי מה שאתה רואה זה לא יכול להיות. עשינו עכשיו בדיקה”.
תוכלי להעביר אותי אליו כדי שאני אדבר איתו?
“כבר דיברו איתנו מלה”ב 433. ואנחנו טיפלנו בזה. אין לי יותר מידע לתת לך. זה טופל”.
שיחה עם להב 433 בשלב כזה ככל הנראה לא מעידה על חקירה, אלא על התייעצות טכנית בנוגע לסגירת הפירצה. דליפת מידע כזאת עשויה להיחקר בהמשך על ידי רמו”ט (הרשות למשפט טכנולוגיה ומידע במשרד המשפטים), שאמונה על פיקוח ואכיפת חוקי הגנת פרטית.
[עדכון 14:26] אתר הארגון הופל, ככל הנראה באופן יזום על ידי הארגון עצמו, וכעת מחזיר הודעת שגיאה 403, שמשמעותה ששרת הווב קיבל את בקשת הדפדפן אך מסרב להציג לו את העמוד המבוקש. עם זאת, המידע עדיין זמין בדרך שאינה בשליטה ישירה של הארגון, ואשר דיווחתי עליה לארגון עכשיו. [\עדכון]
[עדכון 15:12] האתר חזר ואיתו גם הפירצה. [\עדכון]
[עדכון 15:27] דובר הארגון, ד”ר ערן ישראל, אמר לי בתגובה: “קודם כל, מי שהעביר את המידע הזה עשה שירות טוב, כי הוא נתן לנו אפשרות לבדוק את העניין ולתקן את זה. היתה תקלה בנושא של אותם אנשים שביקשו לחדש תעודות חבר בארגון. האופציה הזאת עוברת עכשיו שינוי והצפנה. כרגע השירות הזה לא ניתן, נחסם, כדי לבדוק בדיוק מאיפה היתה שם דליפה, וזה עובר איזשהו תהליך של שינוי – כך שנכון לרגע זה, אם תרצה לבקש לחדש תעודת חבר בארגון, תצטרך לעשות את זה באמצעות פקס. כך שהבעיה למעשה נפתרה. הבעיה היתה שולית, זניחה וקטנה. זה לא טופסי הרשמה לארגון, זה טופס שמישהו שרוצה לחדש. והנתונים שמופיעים שם – אני חבר זה וזה, אני מבקש תעודה חדשה”.
אבל היו שם פרטים אישיים מלאים של שוטרים. זה לא פרטים זניחים, אפשר היה להשתמש בהם לגניבת זהות ולהתחזות לאותם אנשים. מעבר לזה, המידע עדיין זמין, הפירצה עדיין קיימת.
“המידע הזה לא זמין יותר, זה נחסם”.
אני רואה אותו מול העיניים כרגע.
“אם אתה אומר ככה, אז תן לי עוד פעם לבדוק עם החברה שמטפלת בזה, כי הם סגרו את זה כבר בבוקר”.
[עדכון 17:41] האתר שוב מחזיר הודעת שגיאה 403.
• עדכון אחרון: 15:27
תגובות
3 תגובות לפוסט “פרטים אישיים על שוטרים חשופים באתר הארגון המקצועי איפ”א, שטוען משום מה שהפירצה כבר לא קיימת”
פרסום תגובה
עליך להתחבר כדי להגיב.
מה זה פה?
רוצה להפיק פודקאסט?
המלצת סייברסייבר (מ)
פרנסה
לא לכתוב את שם הארגון אבל כן לכתוב את שם הדובר?
I see what you did there
> לא לכתוב את שם הארגון אבל כן לכתוב את שם הדובר?
המטרה של צנזורה (סבירה) אינה למנוע הפצת ידיעה אלא לעכב את התפשטותה. במקרה הזה כל מה שנדרש הוא עיכוב התפשטות הידיעה. אם הם לא מטפלים בזה מספיק מהר, השמטת השם מהידיעה לא תעזור להם.
[…] בחדר 404 דיווחתי על פירצת אבטחה באתר “איפ”א ישראל”, סניף ישראל של ארגון השוטרים הבינלאומי, שחשפה פרטים […]