סכנת זיוף תעודות גיור: מבקר המדינה מתריע על כשלי אבטחה

מבקר המדינה פרסם היום (שלישי) דו"ח על אבטחת המידע של מערך הגיור במשרד רה"מ. נמצא שבבדיקה שנעשתה למערכת התגלו 21 ליקויים. רוב הליקויים נוגעים ל"איום פנימי", כלומר איום פוטנציאלי מצד משתמשים בעלי הרשאת גישה למערכת.

התחום הבעייתי הראשון קשור להנפקת תעודת המרה (גיור) כוזבת. משתמש בעל הרשאה בדרגה הבסיסית הצליח להנפיק תעודת המרה כוזבת. כן הצליחו הבודקים עם הרשאה בסיסית לעשות שינויים כגון שינוי בהחלטתו הכתובה של בית הדין לאשר את המשך הליך הגיור ולציין במקומה שהוחלט לבטל את הגיור.

צוות הביקורת דימה תוקף זדוני והצליח באמצעותו לעשות שינוי בתהליך, העלול להביא לאישור גיור של מתגייר בעל פרטים שונים מפרטיו האמיתיים. בתרחיש אחר הוסף למערכת הגיור מוסד שבו למד המתגייר ללא ציון כמות השעות שנלמדו. הצוות גם הצליח להוסיף לתיק הגיור פרטי מכר, שלא קיים או איש קשר ללא שם.

נמצא גם שהמערכת מאפשרת לשלוח טופסי "בקשה לפתיחת תיק גיור" ללא הגבלה, וכך להציף אותה ולפגוע ביכולת שלה לספק שירות.

המערכת גם מאפשרת למשתמשים לשלוח מספר בלתי מוגבל של הודעות דוא"ל מהדומיין (domain) שלה, כלומר ממערך הגיור, ובכך לגרום לזיהויו של הדומיין כמקור ל"דואר זבל" ולחסום קבלת דוא"ל ממנו. כן תוקף יכול לבצע הזרמה רבה של מידע ופעולות ולצמצם את המקום הפנוי בבסיס הנתונים של המערכת. התוקף יכול גם להוסיף רשומות ובקשות נתונים חדשות בכמות גדולה בתיקים קיימים, וכך למנוע מהמערכת לספק שירות.

בתשובה לביקורת ציין מערך הדיגיטל הלאומי שהטופס הקיים של מערכת הגיור נמצא במערכת הטפסים הישנה של המערך וכי משרד רה"מ נדרש להעביר אותו למערכת הטפסים החדשה. משרד רוה"מ ציין בתשובתו ממרץ 2024 את פעולותיו לתיקון הליקויים ומשרד המבקר מציין לחיוב פעולות אלו.