פרצת אבטחה באפליקציה של קופ"ח מאוחדת: פרטי מטופלים היו חשופים - TechNation - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

פרצת אבטחה באפליקציה של קופ"ח מאוחדת: פרטי מטופלים היו חשופים

שקד קליין אורבך, מתכנת וחוקר אבטחת מידע, חשף כי האפליקציה לא וידאה שמספר תעודת הזהות שנשלח לשרת, הוא אכן המספר המזהה של הלקוח שהתחבר לאפליקציה ■ מאוחדת: "ברגע שקיבלנו את העדכון על הפרצה, המערך הטכנולוגי חסם אותה"

5תגובות
קופ"ח מאוחדת
תמר מצפי

שקד קליין אורבך, מתכנת וחוקר אבטחת מידע, חשף פרצת אבטחה באפליקציית קופת החולים מאוחדת. הפרצה איפשרה לראות אילו תרופות רכש כל חולה, באיזה חיסונים הוא התחסן, ופרטים מזהים אישיים.

"השתמשתי בתעודת זהות של אח שלי (בהסכמתו כמובן) בכדי לראות אם אני יכול להוציא עליו מידע ולקח לי פחות מדקה למצוא איזה תרופות הוא רכש, איזה חיסונים הוא עשה ופרטים אישיים", מספר שקד אורבך.

קליין אורבך אף התייחס לנושא בפוסט בבלוג האישי שלו ופירט על הסוגיה. הוא השתמש בתוכנה סטנדרטית, שמאפשרת לראות אילו קריאות עושה האפליקציה לשרת, והחליט להחליף את הפרמטרים. "התהליך היה פשוט. השתמשתי בתוכנה אשר מאפשרת לי לראות את הקריאות שמתבצעות מאחורי הקלעים, כאשר אני משתמש באפליקציה כלשהי. נכנסתי לאיזורים שונים ובעזרת התוכנה ראיתי איזה קריאות מתבצעות וקיבלתי את הרושם שבעזרת שינוי פרמטר אחד, יכול להיות שאצליח לקבל את המידע שאותו אף אחד לא אמור לראות. כל מה שהייתי צריך לעשות לאחר שהייתי מחובר, היה לשנות את תעודת הזהות של מבקש המידע".

האפליקציה לא וידאה שמספר תעודת הזהות שנשלח לשרת הוא אכן המספר המזהה של הלקוח שהתחבר לאפליקציה. שקד אורבך דיווח למערך הסייבר הלאומי שטיפל בבעיה במהירות: "יצרתי קשר עם מערך הסייבר בין חמישי-לשישי בשעה 12 בלילה, ותוך 24 דקות חזרו אליי שהנושא בטיפול. מבדיקה נוספת שעשיתי אתמול, נראה שהבעיה תוקנה ואפשר להיות רגועים עד לגילוי של הבעיה הבאה", כתב.

לאחר פניית TheMarker לקופת החולים, יצרו עם החוקר קשר גם מהאגף הטכנולוגי של הקופה להמשך בירור המקרה. בהמשך מסרו בתגובה: "אנו מודים לחושף הפרצה על גילוי האזרחות הטובה ומצטרפים להערכתו את יעילות הטיפול של מערך הסייבר. ברגע שקיבלנו את העדכון על הפרצה, שנתגלתה באפליקציה הישנה של מאוחדת, המערך הטכנולוגי איתר אותה וחסם אותה".

הפרצה בקופת חולים מאוחדת מצטרפת לעוד פרצה חמורה אחרת במגזר הרפואי. לפני שבועיים נחשפו ב-TheMarker שורה של כשלי אבטחה חמורים במיוחד באתר מגן דוד אדום, במסגרתם מידע רפואי ומידע פיננסי של כל מטופלי מד"א, ומערכות תפעוליות, היו חשופות למניפולציה מרחוק. אחרי החשיפה אתר מד"א ירד מהאוויר למשך שבועיים.

הרגולטור האחראי, משרד הבריאות, טרם מסר תגובה. בנוסף, על פי תקנות הגנת הפרטיות, פרצות אבטחה חמורות מחייבות דיווח גם לרשות להגנת הפרטיות במשרד המשפטים.

מנגנון "התרעה" חדש שהתפתח לאחרונה בעולם הסייבר הוא תביעות ייצוגיות. אחרי מספר פרצות אבטחה חמורות שראו פומבי, מיהרו עורכי דין פרטיים להגיש תביעה ייצוגית, כך למשל קרה בפרצה שנחשפה באיתוראן ובכביש 6.

תחרות הסטארט-אפים הגדולה בישראל. $250,000 השקעה לזוכה
להרשמה


תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#