גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

האקר ישראלי גילה פרצות חמורות בשורה של אתרי ממשלה

זה סיפור שהתחיל בכלבה אבודה ונגמר בגילוי בעיית אבטחה באתרי משרד הביטחון והשב"כ, משרד החינוך, בית חולים איכילוב ונמל אשדוד ● נעם רותם, ההאקר שגילה את הפרצות, דיווח לגופים המוסמכים והן נסגרו - אך ייתכן שהן מצביעות על התנהלות רחבה יותר ומסוכנת

פורסם בתאריך: 25.07.2018, 12:00 מאת: אורי ברקוביץ'
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב

הכל התחיל בשיחת טלפון מפתיעה שבישרה להאקר והבלוגר נעם רותם שכלבת המשפחה, "כלבי" שמה, שנעלמה ארבע שנים קודם לכן בדרום הארץ, נמצאה בריאה ושלמה. לכלבים, כידוע, מוצמד בשנים האחרונות שבב זיהוי וכחלק מפעולות הקליטה מחדש של כלבי למשפחה, פנה רותם אל אתר משרד החקלאות בכדי לעקוב אחר היסטוריית הטיפול בה.

"ואז ראיתי שהאתר מתנהג מוזר", סיפר רותם בשיחה עם "גלובס", שבה תיאר את השתלשלות האירועים שהביאה אותו לפרסם בסוף השבוע שעבר בעמוד הפופולרי שלו בטוויטר שורה של פרצות אבטחה. הפרצות התגלו על ידו באתרי אינטרנט של משרדים ממשלתיים, כמו גם אתרי אינטרנט של גופי תשתיות חיוניות.

לאחר מספר שיטוטים באתר משרד החקלאות, מצא, כך סיפר לנו רותם, קוד גישה שאפשרה לו "גישה חופשית לכל הדאטה בייס" מה שהוביל אותו למחשבה ש"אם זה המצב במשרד אחד, זה בטח קיים במשרדים אחרים". ואכן - "אותו חור אבטחה בדיוק נמצא גם במקומות נוספים", הוא סיפר: הפרצות הופיעו באתרי משרד הביטחון, השב"כ, משרדי החקלאות והחינוך וכן בנמל אשדוד ובית החולים איכילוב. 

מה בעצם קרה

"מידע בעל משמעות ביטחונית היה חשוף"

רותם כתב בעמוד שלו בטוויטר על מערכת השיירפוינט, שעל בסיסה נבנו האתרים ובה נתגלו הפרצות, ועל ממצאיו: "המערכת הזו מורכבת לאללה, ומי שלא מכיר אותה היטב יכול לעשות שטויות כמו להשאיר ממשקים שמאפשרים גישה לחלקים חסויים במערכת באמצעות דפדפן בלבד. ותתפלאו לשמוע שזה מה שקרה כאן. כך יצא שרבים מאתרי משרד הביטחון, אתר השב"כ, אתר רכבת ישראל, אתר משרד האוצר, אתר משרד החקלאות, אתר משרד החינוך, אתר בית המשפט העליון, אתר בית החולים איכילוב - החצינו ממשקים שלא היו אמורים להיות פתוחים.

"אז תגידו 'מה הבעיה? זה כולה האתר שלהם, אלה ממילא דברים שרואים מבחוץ', ולפעמים זה יהיה נכון. אבל מה קורה כשאותה מערכת שיירפוינט משמשת גם כמערכת ליבה בארגון? (כלומר, כשהאתר שפתוח לציבור נוצר על בסיס מערכת הניהול הארגוני הפנימית, ולא כמערכת נפרדת, א"ב). זה בדיוק מה שקרה בנמל אשדוד, למשל. [...] בסופו של דבר נחשפו פרטים אישיים של עשרות אלפי אזרחים (אולי מאות אלפים, לא ספרתי), מידע בעל משמעויות ביטחוניות, מידע על מערכות פנימיות של שלל גופים ממשלתיים שאדם מרושע יותר היה יכול לנצל להמשך מתקפה".

גורם בכיר בתחום הסייבר, המכיר את מקרוב את המערכות המדוברות, אישר בשיחה עם "גלובס" את חומרת הפרצות והסביר כיצד נוצרו: "המערכת עליה נבנו אתרי הארגונים הללו, שיירפוינט, מלכתחילה נועדה לניהול פנים-ארגוני, ולא עבור ניהול אתרים חיצוניים. כדי להגן על המידע, הייתה החלטה עקרונית שעדכון האתר ייעשה רק באמצעות חיבור מאובטח. במישור הטכני, מדובר על עדכון באמצעות VPN בלבד כמו גם חסימת היכולת להריץ נסיונות לדלות מידע כפי שנעם רותם ערך. הבעיה היא שמשרדי הממשלה שינו לעצמם את מדיניות אבטחת המידע, או שהם לא הגבילו את הגישה ל'רשימה לבנה' של גורמים מותרים: אם מישהו פתח את האפשרות לעדכן אתר ממשלתי מרחוק באופן לא מאובטח, הוא בעצם מעל בתפקידו. חשוב שזה נחשף".

לא לתקוף את חושפי הפרצות

הפרקטיקה שנקט רותם - איתור חורי אבטחה ודיווח עליהם לגורמים הרלוונטיים בטרם פרסומם - היא שיטה ידועה. היא נפוצה וותיקה גם בקרב האקרים שלא קשורים לארגון הנבדק ולא נשכרו על ידו. עם זאת, לא כל הדוברים עמם שוחחנו סמכו את ידם על החשיפה.

לדברי שרון נימירובסקי, מנכ"ל חברת אבטחת הסייבר White Hat, המתמחה במגזר הציבורי והפיננסי, "מה שרותם עשה זה מה שעושים אנשי מודיעין סייבר - בודקים כל הזמן אם שרתים באינטרנט מוגדרים לא טוב. מה שהוא עשה זה אותו דבר רק בלי אישור. זה לא בסדר שהפרצות קיימות, אבל זה גם לא בסדר לפרסם את הדברים: ההאקרים 'הרעים' רואים את הפרסומים הללו ויכולים להשתמש בהם כאמצעי מודיעיני. תמיד יש מה לגלות, אנחנו חשופים לכך בשיגרה, תן לי שם של חברה בחו"ל ואראה לך את כל הדברים הבעייתיים. הלקוח סוגר את הפרצות, מוצא עוד משהו וסוגר גם אותו. זה מה שקורה בעולם אבטחת המידע: אתה כל הזמן מטייב את עצמך".

מנגד, הבכיר בתחום הסייבר מגבה את רותם: "צריך להיזהר מאוד שלא לעשות עליהום על החושף, אסור להסיט את הוויכוח לשאלה אם מה שהוא עשה לגיטימי. מבחינתי אם מישהו מפעיל יישום פרוץ, אז שיואיל ויחליף אותו למאובטח גם אם זה אומר שהוא צריך לשבת עכשיו לעשות את זה ידנית. ואם מישהו חושב שיש חולשה בשיירפוינט ואסור לספר עליה כי 'הרעים' ינצחו, אז יש לי חדשות בשבילו: 'הרעים' ניצלו את הפרצה הזאת כבר מזמן והמידע שיכול היה לדלוף דלף כבר עשר פעמים. חייבים לבדוק איך מתקנים את הארכיטקטורה ובונים אותה כך שזה לא יוכל לקרות שוב. מי שאחראים לבדוק את אבטחת המידע בממשלה חייבים להגדיר ולייצר את התו"ל (תורת לחימה) עכשיו".

הרשויות הממשלתיות שיתפו פעולה

בינתיים, מעיד רותם, המערכות הממשלתיות שיתפו פעולה באופן יעיל ומשביע רצון, ודווקא חלק מהגורמים הלא ממשלתיים הם אלה שדחו את טענותיו במקום להסתייע בו ולבדוק אותן לעומק. לדברי רותם, "הטיפול של מערך הסייבר הלאומי ומערך ממשל זמין בפרצה מרגע הדיווח היה מקצועי ביותר. הם התייחסו ברצינות רבה למידע, בדקו, חקרו, התייעצו וטיפלו בזה באופן יוצא מן הכלל", זאת לעומת "גופים אחרים שמחוץ לתחום אחריותם. חלקם התייחסו בזלזול ובחוסר רצינות לפרצה ולא תקנו אותה, וזו הסיבה שלא כתבתי את הפרטים שלהם ברשת.

"עם זאת, העובדה שהמימשק הזה היה פתוח במשך שש שנים אם לא יותר מכך, מעלה כמה שאלות מדאיגות גם בנושא המקצועיות של בניית המערכות הללו ולא פחות חמור - בדיקת האבטחה שבוצעו עליהם. ייתכן שהיה כשל אבטחה חמור שלא טופל או שהן מלכתחילה פספסו את הכשל, וזה חמור באותה מידה אם לא יותר".

תגובות

ממשל זמין: "כל הליקויים אשר צוינו אינם קריטיים וטופלו בהתאם".

משרד הביטחון: "לא היתה כל פריצה למערכות של משרד הביטחון ולא היתה כל דליפה של מידע רגיש או חומרים מכל סוג שהוא. מדובר באירוע הנוגע לאתרי האינטרנט החיצוניים, הנגישים לכלל הציבור, אך בשום שלב לא דלף כל מידע מאתרים אלו".

שב"כ: "האתר שלנו הוא חלק מאתרי ממשל זמין. הם אלו שעסקו בנושא. חשוב להבהיר שהאתר שלנו אינו מחובר בשום אופן למערכות המסווגות של הארגון".

נמל אשדוד: "חברת נמל אשדוד ומערך הסייבר הלאומי בוחנים את המידע ומטעמים של סודיות עסקית לא נוכל להתייחס לגופם של דברים".

איכילוב: "העניין הובא לידיעתנו ונבדק. האתר עושה שימוש בפונקציית חיפוש אינטגרלית ומובנית של מיקרוסופט המחזירה תוצאות טכניות וכלליות הקיימות ומפורסמות באתר, ואין מידע רפואי אישי שנחשף. ליתר ביטחון בוצעה פעולה לצמצום נתונים בתוצאות החיפוש".

משרד ראש הממשלה: הממונה על מערך הסייבר קיבל את פניית "גלובס" אך סירב להגיב לציטוט. 

רכבת ישראל: "אנו פועלים בהתאם להנחיות מערך הסייבר הלאומי". 

דוברת מערכת בתי המשפט: "ברגע שנודע למערכת בתי המשפט על ניסיון הכניסה נחסמה מיד הגישה לאתר בית המשפט העליון, אשר רק אליו זוהה ניסיון הכניסה. מכל מקום, לא היה בניסיון זה גישה למידע שאיננו גלוי לכל גולש, ולא הייתה יכולת לגשת לשום אתר אחר שנמצא תחת הרשות השופטת. חשוב לציין כי לא היה כל ניסיון להיכנס למאגרי המידע של בית המשפט העליון או כל מאגר מידע אחר ברשות השופטת. מערך המחשוב של הרשות השופטת מבצע בדיקות חדירה נוספות בכדי לאבטח באופן המירבי את אתרי ומאגרי המידע של הרשות השופטת".

עוד כתבות

שלומי ויוסי אמיר, בעלי השליטה בשופרסל / צילום: יונתן בלום

נתון אחד מעלה את השאלה: האם הלקוחות נוטשים את שופרסל בגלל העלאות המחירים

מניית רשת המזון צנחה ב–7% לאחר שדיווחה על רבעון שלישי רצוף של ירידה במכירות בחנויות זהות ● גם אצל המתחרות ניכרה חולשה, אך בשוק חוששים שהמצב בשופרסל קשה יותר ונובע ממהלכי ההתייעלות והעלאות המחירים: "המשך הירידה בהכנסות עלול לקרב הרשת להפסד"

בועז ביסמוט, יו''ר ועדת חוץ וביטחון / צילום: ראובן קסטרו- פול וואלה

ביסמוט חשף את הטיוטה לחוק הפטור מגיוס: "יוצאים לדרך"

במסגרת השינויים בהצעה - תבוטל הדרישה למכסה של לוחמים קרביים, ושירות אזרחי-ביטחוני יוכר כחלק מהמכסה ● בנט תקף: "החוק הכי אנטי-ציוני בתולדות המדינה, לא ניתן לזה לעבור" ● גם איזנקוט ביקר בחריפות: "הממשלה בוחרת בהחלשת הצבא. ההצעה - תעודת עניות לפוליטיקה הישראלית"

א.ל.מ / צילום: אייל טואג

לא רק בנקים וחברות תעופה: א.ל.מ נכנסת לעולם סוכני ה-AI

רשת מוצרי החשמל משיקה סוכן AI שלומד את העדפות וצרכי הלקוח, משווה דגמים ועונה על שאלות ● מהנדסי ישראל קוראים להאצת פרויקטי תשתיות לאומיים ● סטודיו באובאב יוצא במכירת אמנות פומבית למען נפגעי המלחמה ● וגם: המינויים החדשים של הח"כ ומנהל רשות המסים לשעבר ● אירועים ומינויים

מודעות של כאל, טפחות, בנק לאומי, ישראכרט / צילום: צילומי מסך

הסיבה שהלוואות מפתות עם פרזנטור מחויך דווקא מייצרות אצלנו דחייה

מחקר ישראלי חדש ניתח את הבעות פנים ותנועות העיניים מול פרסומות של בנקים וחברות כרטיסי אשראי וביטוח ● תנאי ההלוואה והסכום התגלו כחשובים בהרבה מהמעטפת השיווקית

פרופיל בעלי העסקים בישראל מתבהר / צילום: Shutterstock

שנה לרפורמה שמקילה על עוסקים זעירים: 80% טרם ניצלו את ההטבות

לפי נתוני רשות המסים רוב העסקים הזעירים הם בבעלות צעירים בני 35 ומטה, המרוויחים פחות מ־6,000 שקל בחודש ● עד כה נרשמו קצת יותר מ־100 אלף מהזכאים, רבים מהם מתחת לסף המס ● המהלך הביא לעלייה במספר המדווחים בזכות ההקלות והנגישות שהרפורמה מאפשרת

מנכ''ל וויזאייר ג'וזף וראדי ומירי רגב / צילום: צילום מסך

מנכ"ל וויזאייר בפגישה עם שרת התחבורה: "מתכננים להקים בסיס בישראל באפריל"

בפגישה בין מנכ"ל חברת התעופה ההונגרית ג'וזף וראדי ושרת התחבורה מירי רגב, הודיע המנכ"ל שוויזאייר מתכוונת להקים בסיס כבר באפריל הקרוב ● עם זאת, לא כל הפערים נפתרו והתנגדות ועדי העובדים הישראליים וההסתדרות עשויים להרים קשיים

ניצול קשישים / צילום: Shutterstock

כשהמטפלת הופכת ליורשת: שני פסקי דין חדשים חושפים טפח מתופעת ניצול הקשישים

בשני פסקי דין שפורסמו לאחרונה פסל ביהמ"ש צוואות בהן עותרים טענו כי מדובר היה בניצול של קשיש ● מומחים מסבירים איך להתגונן ומהן נורות האזהרה

יו''ר הרשות הפלסטינית אבו מאזן / צילום: Associated Press, Jade Gao

הכלכלה הפלסטינית ביהודה ושומרון ספגה פגיעה אנושה - ויש ריקושטים גם בישראל

בעקבות המלחמה, יהודה ושומרון חווה צניחה כלכלית חסרת תקדים: עסקים נסגרים ו־43% מתקשים לרכוש מזון ● ברמאללה מנסים למתוח את התקציב - אך עדיין משלמים משכורות למחבלים ● במקביל, חמאס והג'יהאד האסלאמי מנצלים את המשבר לחיזוק זרועות ארגוני הטרור

שלומי ויוסי אמיר, בעלי השליטה ברשת שופרסל / צילום: יונתן בלום

דוחות שופרסל: המכירות בחנויות זהות נפלו בחדות

הכנסות רשת המזון הסתכמו ב-3.7 מיליארד שקל ברבעון השלישי, ירידה של 9% בתוך שנה ● הרווח הנקי של שופרסל ירד ברבעון השלישי ב-36% ל-168 מיליון שקל, אך בנטרול מכירת ההחזקה בפייבוקס ברבעון המקביל אשתקד, הרווח הנקי עלה בכ-4.5%

בורסת תל אביב / צילום: טלי בוגדנובסקי

נעילה חיובית בתל אביב; דוראל זינקה ב-17%, אל על ושופרסל נפלו

ת"א 35 הוסיף 0.5% ות"א 90 עלה ב-0.9%  ● אל על נפלה על רקע ההתקדמות להקמת בסיס ווייזאייר בישראל ● דוראל זינקה לאחר הדוחות, ושופרסל נפלה ● אנבידיה עלתה במסחר אתמול, ואלפאבית ירדה, אך עדיין לא רחוקה מרף שווי השוק של 4 טריליון דולר ● וגם: האנליסט שצופה לאורקל אפסייד של 90%

עמית גל, הממונה על שוק ההון, ביטוח וחיסכון / צילום: מארק ניימן, לע''מ

המספרים נחשפים: 120 אלף ישראלים עושים בכל שנה את הטעות הגדולה ביותר בפנסיה

הכתבה הזו היתה הנצפית ביותר השבוע בגלובס ועל כן אנחנו מפרסמים אותה מחדש כשירות לקוראינו ● נתונים שהגיעו לידי גלובס חושפים כי התופעה של משיכת כספים מקרנות הפנסיה מוקדם מדי, הולכת וצוברת תאוצה, הגם שבכך מאבדים החוסכים זכויות ומשלמים קנס גדול ● בכיר בלשכת סוכני הביטוח: "עם ישראל מפרק לעצמו את הפנסיה תחת שידול ורמייה"

פרויקט exchange ברמת גן / צילום: 3division

למרות פגיעת הטיל: אזורים מקווה להשלים את בניית מגדל Exchange בר"ג עד לסוף השנה

החברה מציינת בדוח הכספי לרבעון השלישי של 2025 כי היא ממשיכה לפעול לקבלת תעודת גמר "במועד שתוכנן", קרי הרבעון הרביעי של השנה ● השיפוצים צפויים להתארך מעבר לכך ● אחת מהשפעות הפגיעה: החברה מכרה לאורך השנה רק שלוש דירות בפרויקט

 

מנכ''ל מקורות, עמית לנג, בוועידת ישראל לעסקים 2025 / צילום: רפי קוץ

דוחות מקורות: הרווחים קפצו ב-47% בתשעת החודשים הראשונים של 2025

הזינוק ברווחי חברת המים הממשלתית נרשם בעיקר בעקבות עלייה בשיעור התשואה על ההון שמוכר לה, בעקבות העלייה בתשואות על אגרות החוב הממשלתיות ● מתחילת השנה, השקיעה החברה כ-1.3 מיליארד שקל בהקמה וחידוש מפעלי מים

טילי ספייק מתוצרת רפאל / צילום: דוברות רפאל

אירופה מזנקת, בעוד אמריקה יורדת: רבעון שיא לרפאל

צמיחה של 14.5% במכירות לכ־1.59 מיליארד דולר מתחילת השנה, וצמיחה של 17.6% לכ־4.46 מיליארד דולר, כך עולה מדוחות הרבעון השלישי של רפאל ● זהו רבעון שיא בהיבט הרווח הנקי: 95.23 מיליארד דולר, זינוק של 39.2% ביחס לרבעון המקביל אשתקד

פינוי בינוי בתל אביב / צילום: שי אשכנזי

לשכת עוה"ד מזהירה מפני הקשחת תנאי ערבות חוק המכר בהתחדשות עירונית

לשכת עורכי הדין פנתה לבנק ישראל בטענה כי הערבויות שניתנות לדיירים בפרויקטי התחדשות עירונית הלכו והורחבו מעבר לחוק בשנים האחרונות, מכבידות על היזמים ומסכנות פרויקטים ● וגם: איך ההגנות הללו עלולות לפגוע גם בדיירים עצמם?

זום גלובלי / צילום: Reuters

אסון בהונג קונג, מהפכה צבאית באפריקה ועוד חדשות מהעולם

הונג קונג מתמודדת עם השריפה הגדולה ביותר בעשרות שנים ● גינאה־ביסאו תחת עוצר בעקבות מהפכה צבאית ● ובאיטליה - חוק חדש מגדיר רצח נשים כעבירה נפרדת • זום גלובלי, מדור חדש

מגדל ביונד של תדהר ויוניון / הדמיה: סטודיו 84

למרות שחתם על חוזה שכירות: משרד עוה"ד פישר לא יעבור למגדל ביונד

משרד עורכי הדין פישר-בכר-חן החליט לוותר על המעבר ולהישאר במגדל עזריאלי טאון ● רמ"י והרצליה חתמו על הסכם גג, במסגרתו יושקעו בעיר יותר מ-5.5 מיליארד שקל ● רק עם 60% הסכמה: זו רפורמת ההתחדשות העירונית שמקודמת בחוק ההסדרים ● וגם: שתי תוכניות לשכונות ענק עשו צעדים משמעותיים ● חדשות השבוע בנדל"ן

אנה זק ואילנית בקמפיין דיסקונט / צילום: צילום מסך

יד ביד עם הארנק הירוק, הפרסומת של דיסקונט מתברגת במקום הראשון בזכירות

הפרסומת של ביטוח 9 מתברגת במקום הראשון באהדה זה השבוע השלישי, כך עולה מדירוג הפרסומות הזכורות והאהובות של גלובס וגיאוקרטוגרפיה ● אחרי כוכבה, רמזי ואחרים, גם ניסים מ"קופה ראשית" מקבל קמפיין - עם חברת הביטוח מגדל

הסכמי מתנה / איור: לירון בר עקיבא

אחות נתנה לאח את הדירה שירשו, ואז התחרטה. מה קבע ביהמ"ש?

אחות העבירה לאחיה את כל זכויותיה בנכסים שירשו יחדיו מהוריהם המנוחים ללא תמורה ● לאחר שהאח העביר את הזכויות בנכסים לבתו ללא תמורה, הגישה האחות תביעה נגד אחיה ובתו בטענה כי החוזים היו למראית עין בלבד ● מה קבע בית המשפט?

עלי חמינאי, המנהיג העליון של איראן / צילום: ap, Office of the Iranian Supreme Leader

דיווח: איראן העבירה סכומי עתק לחיזבאללה במהלך השנה דרך דובאי

הוול סטריט ג'ורנל חושף את מנגנון העברת הכספים מאיראן לחיזבאללה בשנה האחרונה ● דיווחים בלבנון: צה"ל ממשיך את התקיפות ● כוח של צה"ל ומג"ב ירה בשני מבוקשים במהלך מעצר - האירוע תחת חקירה ● דיווח: צוות של הצלב האדום והזרוע הצבאית של חמאס מחדשים את החיפושים אחר חלל חטוף ● הרמטכ"ל זמיר אישר את גרף הלחימה של צה"ל לשנת 2026, במסגרתו משרתי המילואים צפויים לבצע כ-60 ימים ● עדכונים שוטפים