פרצת אבטחה משמעותית באתר "בוחרים"

הפרצה המאפשרת לכל אחד למצוא מידע על קלפי של מצביע באמצעות תעודת זהות בלבד, ולגלות את תאריך ההנפקה של התעודה דרך שימוש לרעה בפרצה

אתר "בוחרים". פרצת אבטחה משמעותית / צילום מסך
אתר "בוחרים". פרצת אבטחה משמעותית / צילום מסך

התגלתה פרצת אבטחה משמעותית באתר "בוחרים" של ממשל זמין ברשות התקשוב הממשלתית. האתר עלה לאוויר בימים האחרונים ומאפשר לכל אזרח לקבל המידע על הקלפי בו יצביע, על-ידי הזדהות באמצעות מספרת תעודת זהות ותאריך ההנפקה שלה. היום (ג') חוקר הסייבר רוני סוכובסקי, מצא פרצה אבטחה המאפשרת לכל אחד למצוא מידע על קלפי של מצביע באמצעות תעודת זהות בלבד, ולגלות את תאריך ההנפקה של התעודה דרך שימוש לרעה בפרצה.

מקור הפרצה היא שהאתר לא כולל הגנת Brute Force, הגנה שנועדה למנוע ניחושים חוזרים של צירופי מספרים בלי סוף. באתר מוגן, האתר היה צריך לזהות כאשר מתבצע מספר ניסיונות רב, ולוודא שמשתמש הוא אדם ולא מחשב באמצעות Captcha - כאשר אתר מבקש מהמשתמש לאשר שאינו רובוט. לאחר מספר ניסיונות נוסף, האתר צריך היה לחסום לגמרי את האפשרות לבירור באתר עבור אותה כתובת IP או אותו מספר הזהות.

הפרצה עשויה לאפשר התחזות וזיופים בבחירות מחד, וכן התחזות לאותו אדם בשירותים אחרים מאידך, על-ידי ניחושים רבים של תאריכים עד למציאת תאריך הנפקת תעודת הזהות - מידע שלא קיים ברשות הכלל ומאפשר להזדהות מול חברות ביטוח, בנקים ושירותי בריאות שונים. מספרי תעודת זהות של בעלי תפקידים שונים, לעומת זאת, קיימים ברשות הכלל במקרים שונים, וניתן לברר את המידע הזה דרך משרד הפנים.

"ראיתי את הפרסום מלפני שבוע כשהם רק יצאו עם האתר. משום שאני לא מתגורר בארץ, אבל צפוי להגיע לישראל בזמן הבחירות, אמרתי - בוא נראה אם אני יכול להצביע ואיפה", מספר סוכובסקי ל"גלובס". "שמתי את תעודת הזהות שלי, ולא זכרתי את תאריך ההנפקה, אז התחלתי לנסות תאריכים והבנתי שאני מסוגל לנסות קצת יותר מדי ניסיונות ומשהו כאן לא בסדר. אחרי זה ניסיתי עם תעודת הזהות של אשתי, והזנתי תאריכים של 20 שנה אחורה".

תגובת ממשל זמין תפורסם כשתתקבל. 

מממשל זמין נמסר כי "כחלק מהיערכות לבחירות 2019 מתבצעות בדיקות עומסים על האתר מיום חמישי האחרון ברציפות. על-מנת לאפשר זאת, הורדנו את השימוש ברכיב הקאפצ'ה. אנו מכירים ועוקבים אחר הבדיקה שביצעתם. קיים מענה חלופי שלאחר מספר פניות מסוים תיחסם הגישה, וכתוצאה מכך תימנע האפשרות ל-Brut force". 

רוצה להשאר מעודכן/ת בנושא גלובס טק?
✓ הרישום בוצע בהצלחה!
צרו איתנו קשר *5988