הפירצה שעלולה לחשוף את פרטי הפנסיה שלכם - שוק ההון - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

הפירצה שעלולה לחשוף את פרטי הפנסיה שלכם

אחד מכתבי המערכת בעל שם זהה לזה של פנסיונר הנמנה עם עמיתים, קיבל מייל ובו פרטי הפנסיונר, כולל גובה הפנסיה, חשבון הבנק שאליו מועברת הגמלה, קוד משתמש, מספר זיהוי וסיסמה

8תגובות

 לפני כמה שבועות השיקה חברת קרנות הפנסיה הוותיקות — עמיתים, הנמצאת תחת ניהולו של יואב בן אור, שירות חדש לעמיתיה הפנסיונרים. השירות מאפשר לעמית לקבל לתיבת הדואר האלקטרוני שלו את דף החשבון שלו, ובו פרטי החשבון, דרכי הכניסה לחשבון וגובה הפנסיה החודשית.

ניתן היה לצפות כי השירות יהיה מאובטח, כולל אימות פרטי העמית, אבל לא כך הם פני הדברים. ריבוי השמות הזהים בישראל אינו דבר חריג, וכך, באופן מקרי, אחד מכתבי המערכת בעל שם זהה (שם פרטי ושם משפחה) לזה של פנסיונר הנמנה עם עמיתים, גילה להפתעתו בתיבת הדואר האלקטרוני שלו מייל מעמיתים. במייל הופיעו פרטי הפנסיונר, הכוללים את גובה הפנסיה החודשית שלו, חשבון הבנק שאליו מועבר תשלום הגמלה, מספר תיק הניכויים, וכמו כן קוד משתמש, מספר זיהוי וסיסמה לצורך התחברות לחשבונו באתר עמיתים.

ההתחברות לחשבון העמית העלתה ממצאים מדאיגים. התברר כי העמית לא התחבר עדיין לחשבונו — מה שמאפשר להשתלט על חשבונו. יובהר כי לא היה צורך ביכולת פריצה או בתוכנה זדונית, שכן הפרטים סופקו בדף המידע שנחת בתיבת הדואר האלקטרוני. בשלב זה בחרנו, כמובן, להפסיק את ההתחברות.

בתשובה לפניית TheMarker, אמרו בחברה כי "זו פשלה" ואף ביקשו את שם העמית ותעודת הזהות שלו כדי לבחון את המקרה ולטפל בו. ואולם בכך לא נפתרה הבעיה. בשעת ערב מאוחרת נחתה הודעה בתיבת הדואר האלקטרוני תחת הכותרת, "תלוש קצבה חודשי מקרן הפנסיה" .

למחרת התקשר הכתב לנציגת שירות והזדהה בשמו האמיתי, שכאמור זהה לשם העמית, וביקש לבחון אם ניתן לשנות את מספר חשבון הבנק שאליו מועברים כספי הגמלה מעמיתים (רק לשם הבדיקה. לא נעשה שינוי בפועל). הנציגה הסבירה כי באפשרותה לשלוח לו טופס לדואר האלקטרוני שאותו יש למלא, להחתים את הבנק ולשלוח צ'ק מבוטל.

הנציגה ביקשה אמצעי זיהוי — תאריך לידה — שלא היה ברשות הכתב, אבל באמצעות שאר הפרטים שהיו בידיו, לא היה קשה להשיג את התאריך המבוקש. כך, ללא הצורך בתואר האקר היה ניתן ליהנות מהכנסה כספית נאה פטורה ממס, והכל בחסות חברת עמיתים.

מהחברה נמסר בתגובה: "אנו מצרים על התקלה. חיסיון פרטי המבוטחים שלנו חשוב לנו מאוד. מבדיקת המקרה עולה כי המבוטח של הקרן מילא בשוגג בטופס הבקשה לקצבה כתובת דואר אלקטרוני שגויה. העמית שב ומסר לנו אותה כתובת שגויה גם בשיחת טלפון שבה אומתו פרטיו. לכתובת זו נשלח הקובץ שביקש. אנו פועלים לשנות את אופן קבלת כתובות הדואר האלקטרוני של מבוטחינו, כך שהתהליך יכלול אימות הכתובת באמצעות דואר חוזר בטרם שליחת הפרטים האישיים".



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#