*/
Sourceאמ;לק: חברת שעוני הנוכחות רנעד חשפה פרטים של עובדי החברות שעובדים איתם באופן שערוריתי ומספקת את אחת התגובות הגרועות ביותר בהיסטוריה (לדעתי).
והנה סיפור מדהים, שמראה על רמת אבטחת המידע בחברות ישראליות. מכירים את חברת רנעד? סביר להניח שלא, אבל זו חברה שמנהלת שעוני נוכחות עבור המון לקוחות, חלק מהן חברות ממש רציניות ומוכרות (כולל ערוץ 13 😱) חולשת אבטחה במערכת נוכחות נשמעת מסובכת אבל לא מאוד. איך עובד שעון נוכחות? עם שירות אינטרנטי. בעצם המון פעולות שאנו עושים עובדות עם שירותים שנמצאים ברשת אינטרנטית ומקבלים ושולחים מידע. הטלוויזיה האינפורמטיבית בלובי הבניין? שירות. וידג׳ט מזג האוויר בטלפון? שירות. שעון הנוכחות שלכם? שירות. המיקרו שלכם? ליניקס (סליחה, נישתי) - אז מה הבעיה?
השירות של חברת רנעד שעובד מול שעון הנוכחות שלהם מכיל את נתוני כל העובדים של לקוחות מערכת הנוכחות: שמות מלאים, מספרי תעודת זהות, מספרי עובד, תפקידים, שעות הגעה ועבודה. מסמכים רפואיים על העדרות. והשירות הזה נתן את הפרטים האלו לא רק לשעון נוכחות אלא לכל בעל דפדפן שנכנס אל אתר השירות. היה שם ממשק גרפי נוח ובממשק הגרפי כמובן לא נדרשו שם משתמש וסיסמה. ואיך מגיעים לכתובת השירות? ובכן: גוגל. כיוון שמדובר פה בממשק גרפי גלוי לחלוטין- הכל היה זמין בחיפוש פשוט בגוגל ובלחיצת כפתור. פרטים של אלפי עובדים בהמון מחברות! מי השתמש בזה? 🤷🏻♂️ זה היה גלוי ברשת ואני יודע שמישהו אחד לפחות הוריד את הכל. בסוף מישהו בסוף דיווח לסייברסייבר (הפודקאסט הפופולרי שבו אני חבר מערכת) ומפה זה הסתבך.
נעם רותם בדק, וידא ואז שלח למערך הסייבר. ב-29.12. הם העבירו את הדיווח לחברה. ומאז? צרצרים. המערך סיפר לנעם שזה יקח 11 יום (😱😱😱) ובינתיים הממשק פתוח לכל האקר חמוש בדפדפן ובמנוע חיפוש. ואז אני נכנסתי לתמונה - ביקשתי את תגובת החברה. במייל ובטלפון. האם קיבלתי? חחח - התעלמות. הלכתי גם לחלק מלקוחות החברה לבקש מהם תגובה. להפתעתי העצומה גיליתי שרנעד לא טרחו ליידע אותם על הפריצה. אז אני עשיתי את זה. ואז הלקוחות פנו לרנעד לבדוק מה קורה ורק אז סוף סוף, שבועיים אחרי, קיבלתי תגובה: ״אנחנו עובדים על זה״. אני רק אבהיר - פרטים של כל העובדים, שחושפים אותם להתקפות - ברשת. מעבר לסכנה לעובדים עצמם - יש פה גם סכנה לחברות שהעובדים עובדים בהן. תראו לי בעל חברה אחד שלא יבין את הסיכון שפרטי כל העובדים שלו חשופים ברשת ברשימה נאה ונוחה. ורנעד לא טרחו כלל ליידע אותן. אז לבסוף קיבלתי את התגובה. מה אני אומר לכם... היא מדברת בעד עצמה: -- "רנעד טק מאז הקמתה בשנת 2003 עושה מאמצים עילאיים לשמור על נתוני לקוחותיה באופן המאובטח והמקצועי ביותר. בהתאם למידע שהועבר לנו על ידי רשות הסייבר, זיהוי חולשת האבטחה התאפשר אך ורק פנימית על ידי לקוח האפליקציה שהינו איש סייבר, ובאמצעות הרשאה שניתנה על ידנו, בלעדיה לא ניתן היה לחדור מלכתחילה לשרת. להבנתנו, הפרטים המדויקים של החולשה והמידע שהועבר על ידי הלקוח לרשות הסייבר, נותרו בידי רשות הסייבר בלבד. יודגש כי פעלנו לבצע חסימה של המערכות באופן מידי, ובהמשך אף הוצאנו בשבוע שעבר גרסאות חדשות של אפליקציות הנוכחות שלנו. לצורך כך אף שכרנו את שירותיה של אחת מחברות אבטחת המידע המובילות בישראל, והיא מלווה אותנו משלב תיקון החולשה שזוהתה, ובהמשך בביצור מערכות המידע של החברה". "עוד נציין, כי צר לנו מאוד שכתב 'הארץ' בחר לפנות ישירות לכמה מלקוחותינו ולהצהיר בפניהם מפורשות וללא כל ביסוס כאילו המידע של עובדיהם נמצא בידי גורם שלישי עלום כלשהו, כאשר היה ידוע לו שמדובר בלקוח האפליקציה המסוים שאיתר את החולשה, ואשר הועבר רק לרשות הסייבר. ביכולתן של פניות לא מבוססות כאלה להנחית מכה אנושה על מוניטין של חברה קטנה, לאחר שבנתה אותו בעמל רב במשך שנים. אנו מצפים שעיתון מכובד כ'הארץ' לא ינצל את הכוח התקשורתי העצום שברשותו כדי לפגוע בעסקים הקטנים במדינת ישראל, העסוקים במאמצי הישרדות יומיומיים, ולא ייתן יד להשמצות לא מבוססות". -- התגובה הזו היא אם כל התגובות הרעות: ניסיון לנפנף ב״סייברסייבר״ בלי הצדקה, שימוש במונחים טכניים מופרכים, הקטנה של הידע הטכנולוגי שלי. אחרי שהעובדות גלויות בפניכם - האם אתם גם חושבים שחיפוש בגוגל וכניסה לממשק היא פעולה שרק איש סייבר יכול לבצע? חפרתי מספיק. לכבוד העניין ייצא פרק מיוחד בפודקאסט ועד אז:
הפרסום הראשוני ב Haaretz הארץ שמיועד לקהל הרחב יותר:
https://www.haaretz.co.il/captain/software/.premium-1.9441414
אם אתם עובדים של חברות שמשתמשת ברנעד או מנהלי מחשוב של החברות האלו: קחו בחשבון את מה שנכתב כאן ופעלו בהתאם. בידקו עם העובדים שאף אחד לא השתמש בתעודת הזהות שלו כססמה או שם משתמש למערכות החברה, הזהירו אותם מניסיונות פישינג שמשתמשים בשמות שלהם, במספרי העובד שלהם או בתפקיד שלהם בחברה. בידקו שמערכות שמשתמשות במספרי עובדים לא חשופות לרשת.