גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

האקר ישראלי גילה פרצות חמורות בשורה של אתרי ממשלה

זה סיפור שהתחיל בכלבה אבודה ונגמר בגילוי בעיית אבטחה באתרי משרד הביטחון והשב"כ, משרד החינוך, בית חולים איכילוב ונמל אשדוד ● נעם רותם, ההאקר שגילה את הפרצות, דיווח לגופים המוסמכים והן נסגרו - אך ייתכן שהן מצביעות על התנהלות רחבה יותר ומסוכנת

פורסם בתאריך: 25.07.2018, 12:00 מאת: אורי ברקוביץ'
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב

הכל התחיל בשיחת טלפון מפתיעה שבישרה להאקר והבלוגר נעם רותם שכלבת המשפחה, "כלבי" שמה, שנעלמה ארבע שנים קודם לכן בדרום הארץ, נמצאה בריאה ושלמה. לכלבים, כידוע, מוצמד בשנים האחרונות שבב זיהוי וכחלק מפעולות הקליטה מחדש של כלבי למשפחה, פנה רותם אל אתר משרד החקלאות בכדי לעקוב אחר היסטוריית הטיפול בה.

"ואז ראיתי שהאתר מתנהג מוזר", סיפר רותם בשיחה עם "גלובס", שבה תיאר את השתלשלות האירועים שהביאה אותו לפרסם בסוף השבוע שעבר בעמוד הפופולרי שלו בטוויטר שורה של פרצות אבטחה. הפרצות התגלו על ידו באתרי אינטרנט של משרדים ממשלתיים, כמו גם אתרי אינטרנט של גופי תשתיות חיוניות.

לאחר מספר שיטוטים באתר משרד החקלאות, מצא, כך סיפר לנו רותם, קוד גישה שאפשרה לו "גישה חופשית לכל הדאטה בייס" מה שהוביל אותו למחשבה ש"אם זה המצב במשרד אחד, זה בטח קיים במשרדים אחרים". ואכן - "אותו חור אבטחה בדיוק נמצא גם במקומות נוספים", הוא סיפר: הפרצות הופיעו באתרי משרד הביטחון, השב"כ, משרדי החקלאות והחינוך וכן בנמל אשדוד ובית החולים איכילוב. 

מה בעצם קרה

"מידע בעל משמעות ביטחונית היה חשוף"

רותם כתב בעמוד שלו בטוויטר על מערכת השיירפוינט, שעל בסיסה נבנו האתרים ובה נתגלו הפרצות, ועל ממצאיו: "המערכת הזו מורכבת לאללה, ומי שלא מכיר אותה היטב יכול לעשות שטויות כמו להשאיר ממשקים שמאפשרים גישה לחלקים חסויים במערכת באמצעות דפדפן בלבד. ותתפלאו לשמוע שזה מה שקרה כאן. כך יצא שרבים מאתרי משרד הביטחון, אתר השב"כ, אתר רכבת ישראל, אתר משרד האוצר, אתר משרד החקלאות, אתר משרד החינוך, אתר בית המשפט העליון, אתר בית החולים איכילוב - החצינו ממשקים שלא היו אמורים להיות פתוחים.

"אז תגידו 'מה הבעיה? זה כולה האתר שלהם, אלה ממילא דברים שרואים מבחוץ', ולפעמים זה יהיה נכון. אבל מה קורה כשאותה מערכת שיירפוינט משמשת גם כמערכת ליבה בארגון? (כלומר, כשהאתר שפתוח לציבור נוצר על בסיס מערכת הניהול הארגוני הפנימית, ולא כמערכת נפרדת, א"ב). זה בדיוק מה שקרה בנמל אשדוד, למשל. [...] בסופו של דבר נחשפו פרטים אישיים של עשרות אלפי אזרחים (אולי מאות אלפים, לא ספרתי), מידע בעל משמעויות ביטחוניות, מידע על מערכות פנימיות של שלל גופים ממשלתיים שאדם מרושע יותר היה יכול לנצל להמשך מתקפה".

גורם בכיר בתחום הסייבר, המכיר את מקרוב את המערכות המדוברות, אישר בשיחה עם "גלובס" את חומרת הפרצות והסביר כיצד נוצרו: "המערכת עליה נבנו אתרי הארגונים הללו, שיירפוינט, מלכתחילה נועדה לניהול פנים-ארגוני, ולא עבור ניהול אתרים חיצוניים. כדי להגן על המידע, הייתה החלטה עקרונית שעדכון האתר ייעשה רק באמצעות חיבור מאובטח. במישור הטכני, מדובר על עדכון באמצעות VPN בלבד כמו גם חסימת היכולת להריץ נסיונות לדלות מידע כפי שנעם רותם ערך. הבעיה היא שמשרדי הממשלה שינו לעצמם את מדיניות אבטחת המידע, או שהם לא הגבילו את הגישה ל'רשימה לבנה' של גורמים מותרים: אם מישהו פתח את האפשרות לעדכן אתר ממשלתי מרחוק באופן לא מאובטח, הוא בעצם מעל בתפקידו. חשוב שזה נחשף".

לא לתקוף את חושפי הפרצות

הפרקטיקה שנקט רותם - איתור חורי אבטחה ודיווח עליהם לגורמים הרלוונטיים בטרם פרסומם - היא שיטה ידועה. היא נפוצה וותיקה גם בקרב האקרים שלא קשורים לארגון הנבדק ולא נשכרו על ידו. עם זאת, לא כל הדוברים עמם שוחחנו סמכו את ידם על החשיפה.

לדברי שרון נימירובסקי, מנכ"ל חברת אבטחת הסייבר White Hat, המתמחה במגזר הציבורי והפיננסי, "מה שרותם עשה זה מה שעושים אנשי מודיעין סייבר - בודקים כל הזמן אם שרתים באינטרנט מוגדרים לא טוב. מה שהוא עשה זה אותו דבר רק בלי אישור. זה לא בסדר שהפרצות קיימות, אבל זה גם לא בסדר לפרסם את הדברים: ההאקרים 'הרעים' רואים את הפרסומים הללו ויכולים להשתמש בהם כאמצעי מודיעיני. תמיד יש מה לגלות, אנחנו חשופים לכך בשיגרה, תן לי שם של חברה בחו"ל ואראה לך את כל הדברים הבעייתיים. הלקוח סוגר את הפרצות, מוצא עוד משהו וסוגר גם אותו. זה מה שקורה בעולם אבטחת המידע: אתה כל הזמן מטייב את עצמך".

מנגד, הבכיר בתחום הסייבר מגבה את רותם: "צריך להיזהר מאוד שלא לעשות עליהום על החושף, אסור להסיט את הוויכוח לשאלה אם מה שהוא עשה לגיטימי. מבחינתי אם מישהו מפעיל יישום פרוץ, אז שיואיל ויחליף אותו למאובטח גם אם זה אומר שהוא צריך לשבת עכשיו לעשות את זה ידנית. ואם מישהו חושב שיש חולשה בשיירפוינט ואסור לספר עליה כי 'הרעים' ינצחו, אז יש לי חדשות בשבילו: 'הרעים' ניצלו את הפרצה הזאת כבר מזמן והמידע שיכול היה לדלוף דלף כבר עשר פעמים. חייבים לבדוק איך מתקנים את הארכיטקטורה ובונים אותה כך שזה לא יוכל לקרות שוב. מי שאחראים לבדוק את אבטחת המידע בממשלה חייבים להגדיר ולייצר את התו"ל (תורת לחימה) עכשיו".

הרשויות הממשלתיות שיתפו פעולה

בינתיים, מעיד רותם, המערכות הממשלתיות שיתפו פעולה באופן יעיל ומשביע רצון, ודווקא חלק מהגורמים הלא ממשלתיים הם אלה שדחו את טענותיו במקום להסתייע בו ולבדוק אותן לעומק. לדברי רותם, "הטיפול של מערך הסייבר הלאומי ומערך ממשל זמין בפרצה מרגע הדיווח היה מקצועי ביותר. הם התייחסו ברצינות רבה למידע, בדקו, חקרו, התייעצו וטיפלו בזה באופן יוצא מן הכלל", זאת לעומת "גופים אחרים שמחוץ לתחום אחריותם. חלקם התייחסו בזלזול ובחוסר רצינות לפרצה ולא תקנו אותה, וזו הסיבה שלא כתבתי את הפרטים שלהם ברשת.

"עם זאת, העובדה שהמימשק הזה היה פתוח במשך שש שנים אם לא יותר מכך, מעלה כמה שאלות מדאיגות גם בנושא המקצועיות של בניית המערכות הללו ולא פחות חמור - בדיקת האבטחה שבוצעו עליהם. ייתכן שהיה כשל אבטחה חמור שלא טופל או שהן מלכתחילה פספסו את הכשל, וזה חמור באותה מידה אם לא יותר".

תגובות

ממשל זמין: "כל הליקויים אשר צוינו אינם קריטיים וטופלו בהתאם".

משרד הביטחון: "לא היתה כל פריצה למערכות של משרד הביטחון ולא היתה כל דליפה של מידע רגיש או חומרים מכל סוג שהוא. מדובר באירוע הנוגע לאתרי האינטרנט החיצוניים, הנגישים לכלל הציבור, אך בשום שלב לא דלף כל מידע מאתרים אלו".

שב"כ: "האתר שלנו הוא חלק מאתרי ממשל זמין. הם אלו שעסקו בנושא. חשוב להבהיר שהאתר שלנו אינו מחובר בשום אופן למערכות המסווגות של הארגון".

נמל אשדוד: "חברת נמל אשדוד ומערך הסייבר הלאומי בוחנים את המידע ומטעמים של סודיות עסקית לא נוכל להתייחס לגופם של דברים".

איכילוב: "העניין הובא לידיעתנו ונבדק. האתר עושה שימוש בפונקציית חיפוש אינטגרלית ומובנית של מיקרוסופט המחזירה תוצאות טכניות וכלליות הקיימות ומפורסמות באתר, ואין מידע רפואי אישי שנחשף. ליתר ביטחון בוצעה פעולה לצמצום נתונים בתוצאות החיפוש".

משרד ראש הממשלה: הממונה על מערך הסייבר קיבל את פניית "גלובס" אך סירב להגיב לציטוט. 

רכבת ישראל: "אנו פועלים בהתאם להנחיות מערך הסייבר הלאומי". 

דוברת מערכת בתי המשפט: "ברגע שנודע למערכת בתי המשפט על ניסיון הכניסה נחסמה מיד הגישה לאתר בית המשפט העליון, אשר רק אליו זוהה ניסיון הכניסה. מכל מקום, לא היה בניסיון זה גישה למידע שאיננו גלוי לכל גולש, ולא הייתה יכולת לגשת לשום אתר אחר שנמצא תחת הרשות השופטת. חשוב לציין כי לא היה כל ניסיון להיכנס למאגרי המידע של בית המשפט העליון או כל מאגר מידע אחר ברשות השופטת. מערך המחשוב של הרשות השופטת מבצע בדיקות חדירה נוספות בכדי לאבטח באופן המירבי את אתרי ומאגרי המידע של הרשות השופטת".

עוד כתבות

ענף האופנה העמיק מבצעים, והמכירות עלו / אילוסטרציה: איל יצהר

אחרי המהלך של סמוטריץ': ענף האופנה העמיק מבצעים, והמכירות עלו

גלובס מציג מדד הבוחן את היקף הקניות בכרטיסי אשראי בישראל ● נתוני הפניקס גמא מצביעים על עליות ברוב הענפים - באופנה נרשמו מבצעים אגרסיביים במיוחד

טראמפ מחזיר את מלחמת הסחר / צילומים: Shutterstock, AP, עיצוב: טלי בוגדנובסקי

הוועידה בדאבוס יוצאת לדרך, וכולם מדברים על נושא אחד - השליטה בגרינלנד

דונלד טראמפ מזהה "הזדמנות היסטורית" לרכוש את גרינלנד, כאשר אירופה תלויה באנרגיה אמריקאית ובמטריית ההגנה שלה ● האם אירופה תגיב בחריפות, וכיצד ההתחממות הגלובלית קשורה לנחישות של ארה"ב ● אלה השאלות המרכזיות

רווחים כלואים / אילוסטרציה: גלובס

כפול מהתחזית: היקף המס מהרווחים הכלואים צפוי להגיע ל-20 מיליארד שקל ב־2025

על פי הערכות של בכירים ברשות המסים, ההכנסות מרווחים צבורים צפויות להסתכם בשנת 2025 בעד 20 מיליארד שקל ● מדובר בגבייה כפולה מגביית מס ממוצעת בגין חלוקת דיבידנדים בשנה רגילה ● בינואר אשתקד רפורמת הרווחים הכלואים נכנסה לתוקף ואילצה בעלי חברות רבים לחלק עד סוף השנה 5% דיבידנד על רווח שנצבר או לשלם קנס בגובה 2%

היועצת המשפטית לממשלה, עו''ד גלי בהרב-מיארה / צילום: ap, Gil Cohen-Magen

היועצת המשפטית לממשלה: סגירת גל"צ אינה חוקית ונועדה להשתיק כלי תקשורת מרכזי

בייעוץ המשפטי קובעים כי החלטת הממשלה לסגור את גלי צה"ל מחייבת חקיקה ראשית ● זאת, בייחוד בהקשר הרחב של מהלכים קואליציוניים נוספים שלדברי היועמ"שית מחלישים את התקשורת החופשית, ובשנת בחירות ● זאת ועוד, היועצת מפרטת שורה של פגמים שנפלו בעבודת הוועדה המייעצת לשר הביטחון לבחינת עתידה של התחנה

סנאה טאקאיצ'י, ראשת ממשלת יפן / צילום: ap, Eugene Hoshiko

תשואות האג"ח ביפן בשיא של כ-20 שנה ושרת האוצר מנסה להרגיע את המשקיעים

התשואה על אג״ח ממשלת יפן ל־40 שנה זינקה לשיא היסטורי, על רקע החשש שבחירות הבזק שזימנה ראש הממשלה יובילו להרחבה פיסקלית שתכביד על מצבה הפיננסי הרעוע גם כך של המדינה ● שרת האוצר: הממשלה מקפידה לשים דגש רב על קיימות פיסקלית בכל צעד שהיא נוקטת

נטפליקס / צילום: Shutterstock

נטפליקס עקפה את הציפיות אך המניה יורדת במסחר המאוחר. אלו הסיבות

החברה דיווחה על הכנסות של 12.05 מיליארד דולר, ורווח של 0.56 דולר למניה, שני המספרים מעט מעל הצפי ● מספר המנויים צמח ב-8% ל-325 מיליון ● היום שינתה נטפליקס את הצעתה לרכישת וורנר ברדרס באופן התשלום, וכעת היא מציעה שכל הסכום ישולם במזומן, וזאת כדי לסגור את הדלת להצעת פרמאונט

טרנד המכוניות החשמליות מאבד גובה / עיצוב: טלי בוגדנובסקי

הולך ומתכווץ: מאחורי היחלשות המומנטום של הטרנד החם בשוק הרכב

עלות הרכישה הממוצעת של כלי רכב חשמליים ירדה בכ־15% בשנים האחרונות, כשבמקביל מספר עמדות הטעינה צמח, וערך הרכבים נשמר ● למרות זאת טרנד המכוניות החשמליות מאבד גובה ● הסיבה: שורה של רגולציות שפוגעות בו כדי לשמר את ההכנסות מדלק

מיסטר ביסט / צילום: Represented by ZUMA Press, Inc

האימפריה של היוטיובר המצליח בעולם

הישרדות בארון קבורה והימלטות מלוחמי קומנדו הם רק חלק מהאתגרים בתוכנית המציאות של מיסטר ביסט ● עכשיו היא חוזרת לעונה שנייה עם פרס של 5 מיליון דולר ● איך נראים מאחורי הקלעים בהפקה השנויה במחלוקת? ● וגם: הצצה למפעל הענק של היוטיובר, שכולל חברת סלולר, ליין חטיפים ופארק שעשועים בערב הסעודית

סם סמית' (רקסהאם) חוגג לאחר שהבקיע גול מול קבוצת צ'רלטון אתלטיק / צילום: ap, Jon Super

התייקרות חבילות הספורט של צ'רלטון מגיעה גם ל-yes

yes מצטרפת להוט ולפרטנר שהעלו אף הן את מחירי חבילות הספורט של צ'רלטון, וגובה את הסכום הגבוה ביותר לחבילה זו – כ-100 שקל בחודש

ריקי בש / צילום: כפיר סיון

יועצת ההשקעות הבכירה שמציעה: כך תבחרו את הסקטורים המנצחים לשנה החדשה

ריקי בש, ראש ענף ייעוץ השקעות בבנק לאומי, מדגישה כי ב־2026 חשוב עוד יותר פיזור גלובלי ● היא ממעיטה בחשיבות הבחירות בישראל ובארה"ב להתנהגות השווקים בטווח הארוך, ומציעה חשיפה למט"ח דווקא משום שהשקל התחזק כל כך ● ואילו סקטורים מצדיקים בחינה

קניות ב-AI - התמונה נוצרה באמצעות ג'מיני

לא יודעים להחליט מה לקנות? זה הצ'אט שיפתור לכם את הבעיה

רכישת פריטים ישירות מתוך צ'אט בינה מלאכותית וחוויות תשלום חלקות, לצד גניבת זהויות עוד לפני ביצוע העסקה - אלה המגמות שיובילו את תחום התשלומים ב-2026, לפי דוח חדש של חברת Visa ● וגם: לראשונה, מחצית מכלל תשלומי הצרכנים בעולם לא יהיו במזומן

נשיא ארה''ב דונלד טראמפ / צילום: ap, Julia Demaree Nikhinson

הנשיא טראמפ במסיבת עיתונאים: נראה שאנחנו יודעים איפה נמצא רן גואילי

צרפת ובריטניה מסרבות להצטרף ל"מועצת השלום" של טראמפ, ובמערב חוששים: גם פוטין הוזמן ● דיווח: מנהיגי חמאס נערכים לעזוב את רצועת עזה עם המעבר לשלב ב' של הפסקת האש; טורקיה תהיה בין המדינות שיקבלו אותם ● הרמטכ"ל זמיר התריע בפני נתניהו וכ"ץ על מחסור חמור בלוחמים ועל השלכותיו המיידיות על כשירות צה"ל ● דיווח: מועצת זכויות האדם של האו"ם תכנס בקרוב ישיבת חירום בנושא איראן ● דיווחים שוטפים

צוות Deep33 / צילום: אוהד קב

100 מיליון דולר: גיוס ראשון לקרן הדיפ-טק הישראלית אמריקאית

קרן ההון סיכון Deep33 Ventures השלימה סגירה ראשונה של 100 מיליון דולר, ולפי חברי הקרן צפויה להגיע ליעד של 150 מיליון ברבעון הראשון של 2026 ● הקרן, שהוקמה לאחרונה בישראל ובארה"ב, תפעל ותתמקד בטכנולוגיות שמוגדרות קריטיות לתשתיות

בורסת תל אביב / צילום: איל יצהר

הבורסה בתל אביב ננעלה באדום; מניות הבנייה נפלו, הביטחוניות זינקו במעל 3%

מדד ת"א 90 ירד בכ-1.3% ● נקסט ויז'ן זינקה במעל 7%, לאחר שהודיעה כי קיבלה הזמנה של כ-60 מיליון דולר ● דלק ישראל בדרך להשתלט על הוט מובייל ● מנכ"לית הולמס פלייס תרכוש ממור מניות ב-51 מיליון שקל ● ניגוד עניינים? טראמפ רכש אג"ח של נטפליקס ווורנר ברדרס ● ה"מופלאה" שתזנק ב-30% ועוד שתיים: בכירי האנליסטים ממליצים על שלוש מניות ● היום לא יתקיים מסחר בוול סטריט בשל "יום מרטין לותר קינג"

בית חולים יוספטל, אילת / צילום: שלומי יוסף

המל"ג אישרה, בן גוריון נסוגה: אוניברסיטה זרה בדרך לאילת

בהחלטה חריגה המל"ג אישרה שתי תוכניות להקמת בית ספר לרפואה באילת: של אוניברסיטת בן גוריון ושל קבוצה פרטית בהובלת ד"ר משה כהן ובשיתוף אוניברסיטת דברצן מהונגריה ● בבן גוריון הודיעו: אם הם בפנים, אנחנו לא מעוניינים ● בשלב הראשון נקבע כי כהן יקים בית ספר קטן שבו ילמדו כ־30 סטודנטים, גם זרים, במסלול תלת שנתי

וולט מרקט, נווה צדק / צילום: שי עזרי, Wolt ישראל

וולט תיפרד מהנכס החשוב שלה? מאחורי האולטימטום של רשות התחרות

רשות התחרות פועלת בזהירות מוצדקת מול הכוח שצברה וולט בענף המשלוחים המהירים ● ואולם, פירוק וולט מרקט כעת עלול לפגוע בשירות שממלא צורך אמיתי עבור הצרכנים – עוד בשלב שבו החשש מפגיעה בתחרות הוא עדיין תיאורטי בלבד

כלי הטיס הבלתי מאויש של סטארלינג / צילום: קלע

בלי תלות בסינים: הסטארט-אפ הישראלי שיספק מערכת כטב"מים מארה"ב

חברת הדיפנס־טק הישראלית קלע חתמה על הסכם בלעדי, שבמסגרתו תטמיע במערכת שלה את הטכנולוגיה של הרחפן Pathfinder X של חברת סטארלינג האמריקאית ● המהלך נועד בין היתר לנתק את התלות בשרשרת אספקה לא מאובטחת ולהעניק לכוחות עצמאות מודיעינית

הצ'אטבוט של קלוד / צילום: Shutterstock

הטרנד שמסעיר את עולם הקוד ומפיל את מניות חברות התוכנה

חברת ה־AI אנתרופיק שחררה לאחרונה את העוזר הדיגיטלי האוטונומי החדש שלה ● המהלך עורר חשש בקרב חברות התוכנה, שמניותיהן ירדו לאחר ההכרזה ●​ לדעת מומחים, הדבר עשוי לסמן על שינוי בדפוסי העבודה שאנו מכירים, אך מצביעים על שורת סיכונים הגלומים בו

הרטמכ''ל אייל זמיר / צילום: דובר צה''ל

מכתב האזהרה החריג שהעביר הרמטכ"ל לנתניהו וכ"ץ

הקרמלין: טראמפ הזמין את פוטין להצטרף למועצת השלום של עזה ● צה"ל תקף תשתיות של חיזבאללה בלבנון ● במערכת הביטחון מוטרדים משילוב קטאר וטורקיה בעזה: "אסור למדינת ישראל לעמוד מנגד" ● בכיר אמריקאי על התקיפה באיראן שבוטלה בשבוע שעבר: "זה לא היה פייק או הונאה, זה היה אירוע אמת" ● סמוטריץ': "להציב לחמאס אולטימטום קצרצר ולהסתער על עזה בכל הכוח" ● עדכונים שוטפים

פסימיות היסטורית לגבי הגדלת ההכנסות בשנה הקרובה / אילוסטרציה: Shutterstock

פסימיות לגבי הכנסות, וחשש ממלחמת סחר: מה מנכ"לים צופים לשנת 2026?

של חברת הייעוץ PwC כולל 4,454 מנכ"לים מ-95 מדינות וטריטוריות, ומעלה שורה של ממצאים ● הפסימיות הרבה ביותר נרשמה בסין, שבה רק 5% מהמנכ"לים שהשתתפו בסקר סבורים כי יצליחו להגדיל הכנסות ב-2026