X

פרצת האבטחה החמורה בצה"ל: "ממש לא הפעם הראשונה"

עיתונאי "דה מרקר" רן בר זיק חשף פרצה שיכולה הייתה לספק לגורמים עוינים גישה למאגר מידע הכולל פרטים אישיים על כל אנשי הקבע הפעילים בצה"ל - לרבות אלה של הרמטכ"ל • ל"ישראל היום" הוא אומר: "מערכות הצבא חדירות, זה באמת נורא"

יוחאי שויגר
, עודכן
0השמעה
פרצת אבטחה חמורה בצה"ל // אילוסטרציה. צילום: דובר צה"ל

לפעמים לא צריך "פרשיות ביטחוניות" וצווי איסור פרסום כדי לחשוף דליפה מסוכנת של מידע ביטחוני רגיש. בשרשור שפרסם היום (שלישי) ברשת X, חשף עיתונאי "דה מרקר" רן בר זיק פרצת אבטחה חמורה מאוד שיכולה הייתה לספק לגורמים עוינים גישה למאגר מידע הכולל פרטים אישיים על כל אנשי הקבע הפעילים בצה"ל - לרבות אלה של הרמטכ"ל והקצונה הבכירה.

מקורה של פרצת האבטחה בשיתוף פעולה בין צה"ל לבין טיקצ'אק, מערכת אונליין לרכישת כרטיסים להצגות ומופעים. במסגרת הטבה שצה"ל מעניק לאנשי הקבע, הם זכאים להנחות ברכישת כרטיסים להצגות ומופעים שונים. כדי לממש את ההטבה, איש הקבע צריך פשוט להיכנס לממשק של טיקצ'אק, ולבחור את ההצגה.

היכן הבעיה? כדי להיכנס לממשק הכרטיסים איש הקבע אינו צריך להירשם בתהליך סדור ולהכניס סיסמה, כפי שאנו נרשמים לכל שירות דיגיטלי אישי, אלא פשוט להכניס את מספר תעודת הזהות שלו. כלומר, במערכת של טיקצ'אק יש את כל תעודות הזהות של אנשי הקבע, והיא מצליבה זאת עם הפרטים שהקליד המשתמש. אם יש התאמה, איש הקבע נכנס לתוך האזור האישי שלו במערכת. לאחר שנכנס, באזור האישי ניתן למצוא פרטים אישיים נוספים כמו שם מלא ומספר טלפון.

לצד היותו עיתונאי, בר זיק הוא גם איש סייבר שעובד בחברת הסייבר הישראלית סייברארק (CyberArk). עבורו, תהליך התחברות כה מרושל הוא בבחינת פרצה קוראת לגנב. לדבריו, כדי לדלות מתוך המאגר את כל הנתונים האישיים, האקר יכול פשוט לכתוב תוכנה פשוטה ("סקריפט"), שתזין את כל מספרי תעודות הזהות בישראל אל עמוד הכניסה של המערכת של טיקצ'אק.

פרצת אבטחה חמורה בצה"ל // אילוסטרציה, צילום: GettyImages

בכל פעם שתהיה התאמה בין המספר שהתוכנה מזינה למספר קיים שיש במערכת, התוכנה תקבל גישה לתוך המערכת, ומשם תוכל לדלות גם את שמו המלא ומספר הטלפון של איש הקבע. כך יוכל ההאקר, בצורה פשוטה למדי, לבנות מאגר נתונים אודות כל אנשי הקבע בצה"ל, לרבות מספרי הטלפון ותעודות זהות. מידע כזה יכול לשמש גורמים עוינים לשלל מתקפות פישינג אחרות שיסכנו את בטחונם של אנשי הקבע - ואת בטחונה של מדינת ישראל.

בעידן ה-AI, פרצות אבטחה מעין אלה הינן חמורות במיוחד, מאחר שכדי לכתוב סקריפט שיבצע את פעולות הכרייה מהמאגר כלל לא צריך יכולות תכנות או כתיבת קוד - ChatGPT יעשה את זה עבורכם לפי בקשה. בר זיק מציין כי בממשק של טיקצ'אק אין מנגנון בסיסי שבולם בקשות מרובות.

בר זיק יידע את צה"ל בערב חג על פרצת האבטחה החמורה, והיא טופלה במהרה. על פניו, האצבע המאשימה אמורה להיות מופנית בראש ובראשונה, לפחות בהיבט הטכני, לטיקצ'אק. אך התגובה שקיבל בר זיק מהחברה היתה שומטת לסת: מתברר כי טיקצ'אק מיישמת באתר שלה שורה של כלי הגנת סייבר, ובעבודה מול כל לקוח ולקוח היא מתאימה את חבילת האבטחה בהתאם לצרכיו.

לטענתה של טיקצ'אק, היא המליצה לגורם בצה"ל מולו עבדה לנקוט בגישת אבטחה מחמירה של אימות כפול, אך צה"ל התעקש לבטל זאת (!).

בר זיק שימש במקרה זה כ"האקר כובע לבן". זהו מושג בעולם הסייבר שבו אנשי סייבר עושים שימוש חוקי ואתי בידע הטכני שלהם כדי לזהות פרצות אבטחה וליידע את הגופים הרלוונטיים כדי ש"יסתמו את הפרצה".

בתגובה ל"ישראל היום" מסר בר זיק: "למרבה הצער, זו ממש לא הפעם הראשונה שאני מוצא חורי אבטחה כאלו בצבא ובכלל. לפני כשנה שלפתי בקלות את מאגר אנשי המילואים מפרצה דומה. מערכות של הצבא עם לוחות זמנים ומידעים רגישים אחרים חדירות באמצעות דפדפן בלבד ובלי ידע טכני מהותי. זה באמת נורא".

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
פרצת אבטחהצה"ל

כדאי להכיר