נסעתם בכביש 6? הפרטים שלכם דלפו לרשת - TechNation - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

נסעתם בכביש 6? הפרטים שלכם דלפו לרשת

פרצת אבטחה חמורה באתר כביש 6 חשפה לרשת את פרטי המשתמשים בכביש וחשבוניות העבר שלהם

15תגובות
כביש 6
איציק בן מלכי

לקוח שמספר תעודת הזהות שלו מסתיים בספרות 993 ומספר לוחית הזיהוי שלו מסתיים בספרות 563 (המספרים המלאים שמורים במערכת) עלה על כביש חוצה ישראל ב-29 ליוני בשעה 14:45. הוא נכנס לכביש במחלף חורשים, נסע שלושה מקטעים דרומה ויצא מהכביש במחלף בן שמן. על הנסיעה הזו הוא חוייב על ידי חברת דרך ארץ ב-13.64 שקל לפני מע"מ.

איך אנחנו יודעים? פרצת אבטחה חמורה באתר כביש 6 חשפה לרשת את פרטי המשתמשים בכביש וחשבוניות העבר שלהם. את הפרצה חשף ההאקר האתי נעם רותם, אחרי שניסה להוציא חשבונית שלו עצמו בפורטל השירות העצמי של דרך ארץ. "קיבלתי חשבונית מכביש 6 וכשנכנסתי לאתר נחרדתי לגלות שבקלות יחסית אפשר לראות את כל החשבוניות ופירוט הנסיעות של משתמשים אחרים", הוא מספר.

איך עושים את זה? פשוט: צריך להיות מחוברים למערכת כלקוחות, להקיש על שדה "היסטוריית התשלומים", ובשורת הכתובת לשנות את המספר הסידורי הרץ, וזהו, מקבלים חשבונית של מישהו אחר.

ניתן כאמור לראות כך את מספר הרכב של משתמש, מספר תעודת זהות שלו (מה שהופך את המידע לרגיש מבחינת החוק), שעת כניסה לכביש 6 ומחלף הכניסה, מחלף היציאה, סוג ההתקשורת מול דרך ארץ (מנוי או נוסע מזדמן) ועוד מידע.

מהמידע ניתן די בקלות ללמוד על התנהגות האדם, וגם לקבל מידע פרטי על תשלומים שלו ופרטים מזהים. רותם טוען כי היה ניתן, תיאורטית, להריץ את כל טווח המספור הסידורי ולהוריד את כל היסטוריית התשלומים של לקוחות כביש 6. "לא נתקלתי בהגבלות כלשהן באתר" הוא מוסר, אך כמובן שלא ביצע את הפעולה בפועל. רותם מבהיר כי העביר את הדיווח על הפרצה ל-TheMarker אחרי שמסר הודעה לחברה, לרשות הגנת הפרטיות במשרד המשפטים ולמערך הסייבר הלאומי.

החברה סגרה את הפרצה ומסרה בתגובה: "מחברת דרך ארץ נמסר כי עם קבלת הדיווח פעלנו באופן מיידי לאיתור ותיקון חולשת האבטחה הנקודתית באתר. בנוסף, אנו עורכים בדיקות מקיפות ויסודיות כדי להבטיח ככל הניתן את עמידותו בפני אירועים דומים. אנו רואים חשיבות רבה ועליונה באבטחת המידע המצוי במערכות החברה, ומשקיעים משאבים רבים ומגוונים לאבטחתו, וכך נמשיך לעשות גם בעתיד".

תקנות הגנת הפרטיות החדשות מחייבות חברות לדווח לרשות להגנת פרטיות על זליגה כזו של מידע אישי של לקוחות. חור האבטחה באתר כביש 6 מגיע אחרי שורה של חולשות אבטחה שנחשפו כאן בחודשים האחרונים, כולל בחברת איתוראן, באפליקציית אמישראגז, באתר משלוחה ובשירותים נוספים.

תחרות הסטארט-אפים הגדולה בישראל. $250,000 השקעה לזוכה
להרשמה


תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#