שרשרת של כשלי אבטחה חמורים, והפעם בחברה ציבורית: איתוראן. חולשת האבטחה הראשונה איפשרה די בקלות לכל אדם להיכנס לדף המשתמש הפרטי של חלק מלקוחות החברה, לראות את כתובתם, מספר הטלפון, מספר תעודת הזהות, מספר לוחית הזיהוי ברכב, ומספר שלדת הרכב; ניתן היה להוריד חשבונית לקוח ואז לראות גם את מספר חשבון הבנק או 4 ספרות אחרונות של מספר כרטיס האשראי. בחלק מהמקרים ניתן היה לראות אף "מיקום חי" של המשתמש, אם הרכב בתנועה או חונה, וגם היסטוריית מיקום ונסיעות של הלקוחות.
מקור החולשה הוא במדיניות סיסמאות פגומה של איתוראן. כך זה עובד: כאשר לקוח מצטרף לאיתוראן הוא מקבל הביתה מכתב ובו הזמנה לעמוד הפרטי שלו בפורטל איתוראן. החברה מקצה ללקוח שם משתמש: מספר תעודת הזהות שלו. החברה אף מקצה ללקוח סיסמת כניסה: מספר תעודת הזהות שלו, עם אות אחת מקדימה. כדי להיכנס לפורטל האישי כל מה שצריך זה לדעת את מספר תעודת הזהות של אדם ובשדה הסיסמה לנחש 26 פעמים (לכל היותר) את האות האנגלית המקדימה.
מי שחשף את הפירצה הוא מפתח שמעדיף להזדהות רק בתור רן ל'. הוא עובד בחברת הייטק בינלאומית גדולה ומגדיר את עצמו "חובב" בתחום הסייבר ואבטחת המידע. על הממצאים הוא מסביר: "אחרי שחבר העביר לי את הגלויה הזו של איתוראן, רציתי לבדוק את העניין. חיפשתי ברשת רשימת תעודות זהות ומסתבר שבאתר רשות ניירות ערך העלו ב-2008 את רשימת הנבחנים שלהם - רק מספר תעודת זהות והחדר שבו הוא ייבחן, כמה מאות מספרים בסך הכל. זה הספיק. עשיתי ניסיונות על חלק מהמספרים האלו והצלחתי להגיע לכמה עשרות חשבונות איתוראן. הפרטים החשופים הם שם פרטי ומשפחה, טלפון, אימייל, מספר רכב ומספר שילדה. חלק מהמנויים מחוברים גם לשירות באפליקציה, ואז זה כבר תוכנת מעקב לכל דבר: מיקום נוכחי, היסטוריה וכן הלאה".
אגב, מספר תעודת זהות הוא משאב זמין קל להשגה ברשת. למשל, בכירים בחברות ציבוריות מוסרים את מספר תעודת זהות שלהם בפורטל הבורסה בעת מינוי לתפקיד, כך שמאוד קל להשיג את מספר תעודת הזהות של כל בכירי המשק, ובהם של של יו"ר איתוראן איזי שרצקי.
שרשרת הכשלים כאן היא ארוכה: ראשית, לא בטוח שזה רעיון טוב לשלוח סיסמה בדואר, ועוד בצמוד לשם המשתמש. שנית, הבחירה במבנה שם המשתמש והסיסמה (על בסיס תעודת הזהות) היא הכשל המרכזי. שלישית, מערכת איתוראן לא מחייבת את המשתמש להחליף סיסמה אחרי הכניסה הראשונה למערכת, וכך חלק גדול מהמשתמשים נשארים עם מגנון ההזדהות החשוף במשך שנים. רביעית, גם אם המשתמש בוחר להחליף סיסמה, איתוראן מגבילה את המשתמש לסיסמה באורך שמונה תווים בלבד. חמישית, מערכת איתוראן אינה יודעת לזהות מתקפה מסוג Brute Force - שבמסגרתה מנסה התוקף לנחש מספר רב של סיסמאות. לעיתים התוקף משתמש בכלים אוטומטיים לחולל ולנחש סיסמאות, ואתרים אחראיים יודעים לזהות זאת ולחסום גישה.
המצב המתואר חמור גם כך, אבל רן ל' החליט לבדוק את מנגנון אחזור הסיסמאות של איתוראן וגילה חולשה נוספת: כדי לאחזר סיסמה באיתוראן צריך להכניס רק מספר תעודת זהות, מספר רכב ומספר טלפון נייד וסיסמה חדשה נשלחת, אבל לכל כתובת אימייל – לאו דווקא לזאת שהוגדרה בהרשמה הראשונית.
עקב הגילויים, איתוראן החליטה לסגור זמנית את כל פורטל השירות העצמי של לקוחות החברה ומסרה: "הנושא נמצא בטיפול. החברה סגרה את אפשרות הכניסה לחדרים הפרטיים עד שתמצא פתרון לנושא בהקדם האפשרי".
בבדיקה נוספת התגלה חור אבטחה נוסף: בפורטל איתוראן יש דף שבו ניתן להפיק אישור שימוש באיתוראן ופירוט המיגון לרכב כדי להציג אותו לחברת הביטוח. בממשק זה, כך נחשף, מספיק לשנות בהגדרות הדפדפן מספר סידורי רץ, ולקבל פרטים על כל לקוחות איתוראן: שם מלא, מספר רכב, סוג אוטו וסוגי המיגונים שבו.
בעקבות החשיפה בסוף השבוע, איתוראן הקפיצה ארבעה עובדים למשרדיה, כדי לחסום מיידית את הפירצה. גילוי החולשה מגיע בתזמון רע מבחינת החברה: תקנות אבטחת הפרטיות החדשות, שנכנסו לתוקף מה-8 במאי, מחייבות חברות להודיע לרשות להגנת הפרטיות על מתקפות סייבר ודלף מידע. ידיעה זו מתפרסמת רק לאחר תהליך הסגרה מלא שנערך מול החברה, הרשות להגנת הפרטיות ורשות הסייבר ולאחר שהחברה סגרה את הפירצה.
עוד ב-TheMarker:
צפו: כך נראית נסיעה במהירות מסחררת במנהרת הענק של אילון מאסק
אפל ביטלה פרויקט ענק בגלל התנגדות של שני אנשים
מאיתוראן נמסר בתגובה: "איתוראן עושה הכל על מנת להגן על פרטיות לקוחותיה, אולם תמיד ייתכנו מקרי חדירה לא חוקיים. מבירור שערכנו אכן עלה שמדיניות ניהול הסיסמאות דורשת שדרוג על מנת למנוע בצורה יעילה יותר ניסיונות חדירה למערכת. לאור זאת אנו פועלים להקטין באופן מיידי את החשיפה, ובמקביל פועלים להטמעת מנגנוני סיסמה חדשים".