פרצת אבטחה התגלתה ב-WiFi של ארקפה
הנתבים בסניפי רשת בתי הקפה לא היו מוגנים בסיסמה, כך שכל משתמש חובר לממשק הניהול שלהם. בזק, שאחראית על תפעול הרשת, תיקנה את התקלה אך סירבה למסור כמה זמן הייתה קיימת והאם נעשה שימוש לרעה
פרצת אבטחה התגלתה ברשת האלחוטית החינמית של רשת ארקפה , אשר מנוהלת ומתופעלת על ידי בזק . הפרצה תוקנה בעקבות פניית ynet, אך בבזק סירבו לומר כמה זמן היא הייתה קיימת, האם נעשה בה שימוש לרעה והאם היו לקוחות ארקפה שנפגעו כתוצאה ממנה.
מבחינה טכנולוגית, פרצת האבטחה הזו מביכה למדי, ולא דורשת שום ידע בתכנות או אבטחת רשתות כדי לנצלה לרעה. נתבי ה-Technicolor שבזק התקינה בסניפי ארקפה לא היו מוגנים בסיסמה, ולא כללו רשימה לבנה של כתובות מורשות גישה. כל מי שנכנס לכתובת הנתב, חובר לממשק הניהול שלו. ולא סתם, אלא בחשבון ניהול.
אביב גבאי, סמנכ"ל טכנולוגיה בחברת אבטחת המידע Polyrize, סיפר כי רשימת הדברים שאפשר לעשות עם גישת מנהל לנתב היא ארוכה למדי, ונעה בין קוריוזים לא נעימים כמו ניתוק הסניף מהרשת לדברים שעלולים להיות מסוכנים, כמו הפניית תעבורה של המשתמש למכונה בשליטת התוקף.
אימוץ תקנים מאובטחים דוגמת https בתעבורת רשת, וכן שכלולי אבטחה בתוך הדפדפנים עצמם, מקשים על תקיפות כאלה באופן כללי - אך גישה לנתב עודנה מסוכנת מאוד. "כשיש לך גישה לנתב, אתה מזוהה כשחקן לגיטימי במערכת", מסביר גבאי, "ויכול לשנות הגדרות לטובתך במקום לנסות ולהילחם בהגדרות הקיימות כדי להשיג את מטרתך".
לאחר שהפרצה נחסמה, פנינו לקבל תגובות. בארקפה אמרו לנו "קיבלנו את פנייתך והעברנו את הפניה לחברת בזק אשר אחראית על ניהול הראוטר המספק WiFi לכלל לקוחותינו. בזק טיפלו בתקלה באופן מיידי". יצויין שגם כשבוע וחצי אחרי הדיווח ניתן היה לגשת לנתב באחד מסניפי הרשת. עם זאת, נראה שנכון לכתיבת שורות אלה, הפרצה אכן טופלה.
שאלנו את בזק - נזכיר שבארקפה אומרים כי היא זו שאחראית על ניהול הנתבים - מספר שאלות: מה גרם לבעיית האבטחה? האם בדקתם שימוש לא מורשה? במקרה וכן, האם זיהיתם כזה? האם באמת הכל תוקן? בבזק בחרו להעביר תגובה מתחמקת ונמנעו מלתת תשובות לשאלות החשובות הללו: "מבלי להיכנס לפרטים נקודתיים, בעניין לקוחות בזק, ניתן לומר באופן כללי כי החברה מסייעת לכלל לקוחותיה לאבטח את רשתות התקשורת שברשותם ואף מציעה פתרונות אבטחה מגוונים".
בלי שיתוף פעולה מבזק, שיכולה לגשת לנתבים ולבדוק את היסטוריית הגישה אליהם, אי אפשר לומר כיום מה הייתה מידת הפגיעה בלקוחות ארקפה.
