חולשת אבטחה התגלתה באתר הטבות של ועד עובדי חברת החשמל, וחשפה את הפרטים האישיים של עובדי החברה בעבר ובהווה. בין הפרטים שנחשפו - שמות מלאים, מספרי תעודת זהות, מספרי טלפון, כתובות מגורים, כתובות מייל, 4 ספרות אחרונות ותוקף של כרטיס האשראי ועוד. החשש - חשיפת הפרטים והצלבתם עלולה להוביל למתקפות דיוג (פישינג) והנדסה חברתית, להפוך את עובדי חברת החשמל למטרות קלות במיוחד ואף לגרום לנזק ממשי במערכות החברה.
גישה לא מורשית לנתונים אישייםגישה לא מורשית לנתונים אישיים
גישה לא מורשית לנתונים אישיים
(אילוסטרציה: Shutterstock)
החולשה אותרה על ידי חברת אבטחת המידע הישראלית Security Joes, דווחה למערך הסייבר הלאומי וטופלה במהירות. בוצעה פנייה לספק, והאתר הורד מהאוויר עד להשלמת הטיפול בו. החולשה שאותרה היא מסוג IDOR - קיצור של Insecure Direct Object Reference, והמשמעות שלה היא קבלת פרטי מידע שאינם שייכים למבקש. במקרה הזה, תהליך האימות באתר ההטבות כלל הזנה של מספר תעודת זהות בלבד. בחברת האבטחה הראו כיצד ניתן לקצור את פרטיהם של אלפי עובדים, בהתבסס על סקריפט שמזין מספרי תעודות זהות אקראיים.
"היכולת לנצל את הטבות העובדים היא רק מכה קלה בכנף. איום ממשי יהיה שימוש במידע הזה לטובת פישינג ממוקד", מסביר עידו נאור, מנכ"ל ובעלים של חברת Security Joes. "בהינתן שם מלא, כתובת מייל, רכישות אחרונות ועוד, אפשר לפתות עובדים בחברת החשמל ללחוץ על קישורים שיובילו להורדת תוכנה זדונית שמטרתה לקבל אחיזה ברשת הפנימית של חברת החשמל. הצלבה של השמות עם פלטפורמה כמו לינקדאין למשל, אף תחשוף את סוג ההרשאות שיש לאותו עובד בחברת חשמל".
חברת חשמל חולשה אתר הטבותחברת חשמל חולשה אתר הטבות
למעלה: אתר ההטבות, למטה: פרטי העובדים
(צילום מסך)
אף שלכאורה מדובר באתר חיצוני, שאינו משויך לחברת החשמל או מופעל על ידה, העובדה שמאגר נתוני העובדים חשוף בו - מהווה איום. חברת החשמל נחשבת לתשתית קריטית במדינת ישראל, ומיקוד של עובדי החברה יכול להוביל בסופו של דבר לפגיעה בה. ככל הידוע, החולשה לא נוצלה.
מטעם ועד עובדי חברת החשמל מרחב דרום נמסר: "ועד עובדי חברת החשמל מפעיל אתר לרווחת העובדים במרחב הדרום, במסגרתו נהנים העובדים מהטבות שונות ומרכישות מוזלות. מדובר באתר אשר אינו קשור ואינו מחובר לתשתיות של חברת החשמל. ככלל, ועד העובדים מקצה משאבים רבים כדי להבטיח את שמירת המידע והפרטים האישיים של העובדים. אנו מודים למערך הסייבר הלאומי על הודעתו בדבר התקלה. עם קבלתה הופסקה פעילות האתר והתקלה טופלה. האתר צפוי לחזור לפעילות מלאה מחר".
מטעם חברת החשמל נמסר: "האתר אינו של חברת החשמל, לא יושב על תשתיות חברת החשמל ואין כל קשר בין האתר לבין לקוחות חברת החשמל או תשתיותיה. מדובר באתר השייך לוועד העובדים הדרומי, וחברים בו עובדים אשר מעוניינים לבצע קניות. בבדיקה מול ארגון העובדים, פרטי עובדים לא זלגו החוצה, אלא מדובר בחברה שמתמחה בפריצות לאתרים שזיהתה כי מספיק להזין תעודת זהות על מנת להיכנס לאזור האישי של העובד. החברה שביצעה את הפריצה היא זו שדיווחה על כך למטה הסייבר הלאומי. ועד העובדים עדכן שהוא פועל לתיקון הפירצה על מנת לשמור על פרטיות עובדי חברת החשמל הרשומים באתר".