"אם יש לך איידס - זה גם הופיע": פרצות באתר מד"א הביאו לדליפת מידע רפואי - TheMarker - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

"אם יש לך איידס - זה גם הופיע": פרצות באתר מד"א הביאו לדליפת מידע רפואי

מד"א הסירה את כל אתריה מהאוויר בעקבות דליפת מידע רפואי ופיננסי, והם אינם זמינים ■ לדברי ההאקר שאיתר את הפרצות, "היה אפשר להשבית את מערכת השליטה והבקרה של מד"א ולפגוע בתקשורת של האמבולנסים עם המוקד"

11תגובות
צילום מסך מתוך אתר מדא
מתוך אדר מד"א

שורה של פרצות אבטחה חמורות באתר מגן דוד אדום (מד"א) חשפה לרשת מידע מזהה של פציינטים, מידע רפואי רגיש, מידע פיננסי ואף מידע על מתנדבי הארגון. ניתן היה אפילו להפיל חלק משרתי מד"א מרחוק ולפגוע במערכות חיוניות שלה. את הפרצה חשף האקר כובע לבן (כזה שמאתר פרצות במערכות למטרות שיפור והגנה, ולא כדי לגרום נזק) ובעקבות פנייתו לארגון ולרשות הסייבר, כל אתרי מד"א אינם באוויר כבר מאתמול (א').

אליאל האוזי הוא מתכנת במקצועו, בוגר יחידת מצו"ב (מרכז צופן וביטחון) בצבא והאקר לבן בזמנו הפנוי. לפני כחודש הוא חשף פרצת אבטחה ראשונה במד"א. "זו הייתה פרצה של דליפת מידע. על ידי שינוי פרמטרים בדפדפן היה אפשר להגיע לפרטים של מטופלים אחרים: אפשר היה לראות שם, כתובת, טלפון, מספר תעודת זהות אבל גם שטרי חוב - כמה אתה חייב למד"א. אחר כך מצאתי גם מסמכים רפואיים, כל מה שנאמר לפראמדיק באמבולנס, למשל, אם בן אדם חולה איידס, זה גם הופיע".

אמבולנס
תומר נויברג / ג'ינ

האוזי גם מצא דרך לראות מספרי כרטיס אשראי של מטופלים ואף לשלם כל חשבונית של מד"א בשקל אחד. "הפרצה היתה מאד קלה, כל מי שמבין טיפה איך אתר עובד היה יכול להגיע לזה תוך כמה דקות", הוא מתאר.

החולשה היתה באתר התשלומים של מד"א. האוזי התלבט רבות אם לפרסם אותה בעיתונות, והחליט לבסוף לדווח רק למד"א על הבעיות - והם סגרו את החור במהירות. חודש לאחר מכן החליט האוזי לבדוק שוב מה קורה באתר מד"א. הוא מצא באתר המתנדבים כרטסת של כל עובדי ומתנדבי מד"א - כולל מספרי תעודת זהות, כתובת מגורים וטלפונים. הוא המשיך לחפור והגיע ל"גביע הקדוש": "מצאתי מקום שדרכו אני יכול להעלות קובץ לשרת ולהשתלט עליו (פרקטיקה המכונה Remote Shell). אפשר להוריד את כל הדאטה בייס, לכבות אותה להוריד את כל הקוד. היה אפשר די בוודאות להשבית את מערכת השליטה והבקרה של מד"א ולפגוע בתקשורת של האמבולנסים עם המוקד", הוא מספר.

האוזי דיווח על שתי הפרצות למערך הסייבר הלאומי, לרשות להגנת הפרטיות ולמד"א. בעקבות הדיווח השני, על הפרצה החמורה יותר, מד"א הורידו אתמול את כל האתרים שלהם מהאוויר. מדובר  בפרצה חמורה ביותר שחשפה מידע רפואי ופיננסי רגיש, וגם הוכיחה לכאורה פגיעות במערכת הצלה קריטית בישראל.

מידע שנחשף באתר מד"א
מתוך אתר מד"א

ממד"א נמסר: "כל מערכות המידע של מד״א מאובטחות ברמה הגבוהה ביותר ובאמצעים הטכנולוגיים המתקדמים ביותר. יחד עם זאת, פרצות מתגלות לעיתים ככל שרמת ההאקרים עולה ולכן מיד כשנודע לנו על הפירצה נקטנו בכל האמצעים הנדרשים. יודגש ויובהר כי בשום שלב לא נשקפה כל סכנה לשרתים המבצעיים של הארגון".



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#