פירצה באתר “אגודת אפרת” חשפה פרטי נשים ששקלו הפלה <סייברשקשוקה>

אגודת אפרת פונה לנשים יהודיות בהריון ומסייעת להן לא לבצע את ההפלה שביקשו לעבור. פירצת אבטחה באתר חשפה פרטים של נשים שפנו לאגודה, בין השאר לצורך סיוע כספי בגידול הילד העתידי. חובב הסייבראבטחה רן לוקאר מצא את הפירצה, והאגודה סגרה אותה עם פניית חדר 404.

בדף הבית של אתר אפרת, efrat.org.il, הוצג שדה “כניסה אישית למקבלות סיוע”, ובו התבקשו המתגלצ’ות “לכניסה הקישי מספר ת.ז”, מה שעורר את סקרנותו של לוקאר: “באתר לא הופעלה שום הגנה על נתוני משתמשים. הקשתי את מספר תעודת הזהות שלי, וציפיתי שאתבקש להקיש סיסמה. אבל קיבלתי הודעה שאין בקשה לסיוע עבור ת”ז זו”. לוקאר הסיק מכך שאם יזין מסת”ז של אישה שפנתה לאפרת, יקבל אשרור מהאתר שאותה אישה אכן פנתה לאפרת. מאחר שלא היה בידו מסת”ז כזה, הוא ייצר אחד בעצמו: “הקמתי בקשה עבור ת”ז פיקטיבית, ולהפתעתי כשהקשתי את המספר במסך החיפוש – נחשפו בפניי הפרטים שהכנסתי” (“למחרת”, סיפר לוקאר, “חזרו אליי ושאלו אם אני בטוח שפניתי למקום הנכון :)”).

הפרטים שהאתר מחזיר הם שם מלא, מספר טלפון וכתובת אימייל, שהפונה הזינה, וסטטוס טיפול, שנציג אגודת אפרת הזין. “תחשוב שמישהי מוסרת ת”ז כחלק מתהליך חיפוש עבודה”, מסביר לוקאר. “המעסיק הפוטנציאלי מיד יכול לדעת שהיתה בהריון, והמצב הכלכלי שלה היה גרוע עד כדי כך שפנתה לסיוע רווחה מעמותה פרטית. זה מה שכולנו צריכים לחשוב כשאנחנו מוסרים פרטים אישיים”.

אתר אגודת אפרת עם פירצת האבטחה web.archive.org

פרטי פונה שדלפו מאתר אגודת אפרת תינוקות: Arthur John Picton cc-by-nd

זו בפני עצמה פירצת פרטיות חמורה וטפשית ביותר, שכמותה ראינו גם באתרי מפלגת העבודה, הבית היהודי והמטה הלאומי בליכוד: גישה למידע באמצעות מסת”ז בלבד, פריט מידע שקל מאוד להשיג אחרי דליפת האגרון/רשומון, בלי לבצע שום בדיקה נוספת שתאשר שהמתגלץ’ הוא בעליו של אותו מסת”ז. רוצים לדעת אם מישהי פנתה לאגודת אפרת? השיגו את המסת”ז שלה, הזינו אותו לאתר ותגלו. על הדרך תוכלו גם לקבל את האימייל והטלפון שלה, ולדעת אם היא קיבלה סיוע או לא.

אבל אם ננסה להזין מסת”ז אחרי מסת”ז, בסופו של דבר האתר יזהה שאנחנו מנסים לשתות לו את מאגר הנתונים ויעיף אותנו החוצה, נכון?

לא נכון. האתר לא חסם נסיונות להזין מסת”זים שונים מאותו IP ו/או אותו מחשב.

מאחר שטווח המסת”זים האפשרי (כלומר, מספרים שנותנים סיפרת ביקורת נכונה) הוא 40 מיליון. הרצת 40 מיליון בקשות אמנם אורכת זמן רב, אך מאחר שבאתר לא הציבו כל חסימה בפני מתקפת כוח-גס כזאת – למשל, קפצ’ה שתאפשר רק לבני אדם לבצע שאילתות – זה אפשרי.

פנינו לאגודת אפרת בכתובת האימייל באתר במוצאי שבת. קצת פחות מיממה לאחר מכן השיב לנו משה טפנק, כנראה מפתח האתר, שכתב:

מודים לך שיצרת איתנו קשר והבאת את העניין לידיעתינו.

הורדנו כרגע את המדור ואנחנו פועלים לחיזוק האבטחה שלו.

בשלב הראשון, השדה הבעייתי נותר על כנו אבל הזנת מסת”ז הביאה לעמוד שגיאה. בהמשך הוסר השדה כליל.

סייברשקשוקה הוא מדור על סייבראבטחה בישראל

יש לכם סיפור בנושא? ספרו לי.

לוגו המדור חדר 404, עם אייקונים של Adrien Coquet (cc-by) ו-Arthur Shlain (cc-by)

11 ביוני, 2018 | בנושאים סייברשקשוקה

תגובות

פרסום תגובה

עליך להתחבר כדי להגיב.

פירצה באתר “אגודת אפרת” חשפה פרטי נשים ששקלו הפלה <סייברשקשוקה>

תגובות

מה זה פה?

רוצה להפיק פודקאסט?

המלצת סייברסייבר (מ)

פרנסה

לאחרונה בחדר 404