למעלה מ-50 אלף קורות חיים של ישראלים נחשפו במלואם בפירצת אבטחה פשוטה אך חמורה בלוח הדרושים של קבוצת מעריב - Jobox.

מסמכים בפורמט doc, rtf, pdf המכילים פרטים אישיים רגישים הכוללים תעודת זהות, שם מלא, כתובת, טלפון ורשימה מפורטת של כישורים אישיים ואף מידע משפחתי ורפואי לפעמים, של עשרות אלפי אנשים מחפשי עבודה בין השנים 2009-2013.

 

שם מלא, תעודות זהות, כתובת מלאה וזה עוד לא הכל

סעיף 17 לחוק הגנת הפרטיות קובע כי "בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע." סעיף 17א' לחוק קובע כי "מחזיק במאגרי מידע של בעלים שונים יבטיח כי אפשרות הגישה לכל מאגר תהיה נתונה רק למי שהורשו לכך במפורש בהסכם בכתב בינו לבין בעליו של אותו מאגר." בהיעדר אבטחת מידע כלשהי על המאגר (הגישה למאגר ניתנת ללא שם משתמש, סיסמה, או איזשהו פרט מזהה או מפריד לצורך אימות מבקש הגישה), מדובר בהפרה ברורה של הסעיפים הללו.

וגם:
>> אז איך לכם לא יפרצו?
>> מיקרוסופט ביקשה מגוגל להסיר אתרים שלה בטעות

אז איך זה קרה בעצם?

פירצת האבטחה כה פשוטה ואינה דורשת רקע טכנולוגי כלל, כך שלמעשה כל מה שעליכם היה לעשות זה להיכנס לכתובת הבאה: https://jobox.nrg.co.il/core-maariv/sites/nrg/_media/nrg_cv_send ולעיין בעשרות אלפי קורות חיים, להוריד אותם למחשב שלכם, לשמור את הפרטים בקובץ אקסל ולעשות שימוש בתעודות הזהות של האנשים למטרות זדוניות. התמונות בהמשך ממחישות את היקף פירצת האבטחה, מהקובץ הראשון ברשימה ועד האחרון.

נציין כי בעקבות פנייתנו ל-NRG, נחסמה הפירצה טרם פרסום הידיעה.

*תגובות:
תגובת מעריב: ":מדובר במאגר ישן שנמצא במערכת ושייך לחברה חיצונית. אנו דואגים לטפל בבעיה ולהוריד את המאגר מאתר NRG עד לסוף היום".

*מ-Consist נמסר: "החברה לא מתחזקת את לוח הדרושים של NRG כבר למעלה משנתיים".

*מהרשות למשפט טכנולוגיה ומידע במשרד המשפטים נמסר כי זו פתחה בהליך פיקוח מול מפעילי אתר NRG".

הידיעה התפרסמה לראשונה באתר Geektime 

 

הכתבה התפרסמה במקור באתר Geektime