גירסת הדפסה        
   
קבוצות דיון סקופים נושא #553150 מנהל    סגן המנהל    מפקח   עיתונאי מקוון    צל"ש  
אשכול מספר 553150        
Joni_news
חבר מתאריך 6.1.19
2692 הודעות
יום רביעי י''ז באייר תשע''ט    15:40   22.05.19   
כרטיס אישי עבור לצ'אט  

פרצת אבטחה חשפה את יעדי הטיסה של ראש הממשלה ובכירי מערכת הביטחון  

 
  
פרטי נסיעותיהם של בכירי מערכת הביטחון וגורמים מדיניים ובהם ראש הממשלה נחשפו במאגר מידע שדלף. אלה רק חלק מפרטי פרצה חמורה למאגר, שבו פרטיהם של 15 מיליון איש. “פוטנציאל עצום לנזק”

פרצה חמורה במערכת שמשמשת סוכני נסיעות לביצוע הזמנות חשפה מידע על טיסות, בקשות ויזה ומלונות של מיליוני ישראלים, בהם גם בכירים במערכת הביטחון ובשירות המדינה - ובראשם ראש הממשלה בנימין נתניהו ובני משפחתו. כך לפי מידע שהעביר ל"כלכליסט" ההאקר שגילה את הפרצה. מדובר בפרצה שיכולה להיות בעלת השלכות חמורות על ביטחון המדינה, שכן מידע מקדים על נסיעות מתוכננות לחו"ל של בכירים הוא בעל ערך מודיעני עצום לגורמים עוינים.

דליפת מאגר המידע העצום, שכולל פרטים אישיים וכתובות אימייל שאליהן נשלחים אישורי הזמנה חושפת גם את כתובת האימייל שאליה נשלחים כרטיסי הטיסה של משפחת נתניהו. "כלכליסט" עידכן את מערך הסייבר הלאומי בקיומה של הפרצה, היא טופלה והגישה למידע הרגיש נחסמה.

הפרצה נחשפה באתר ישראלי בשם alp.co.il, שמשמש סוכני נסיעות לביצוע הזמנות של טיסות ומלונות, הגשת טפסי ויזה ואישורם ועוד. בין החברות שעושות שימוש באתר ובמערכת המריצה אותו נמנות איסתא, הדקה התשעים, גוליבר, השטיח המעופף וחברת הנסיעות הממשלתית ענבל, שדרכה מוזמנות כל הנסיעות לחו"ל של עובדי המדינה בישראל. המערכת של האתר פותחה על ידי חברת אמדאוס, שלוחה ישראלית של חברה שרק בינואר היתה מעורבת בשערורייה דומה וחמורה לא פחות.

כל גורמי הביטחון הבכירים נמצאים במאגר שדלף

"המערכת מקבלת דיווחים על כל טיסה ומלון שנמכרים באמצעות סוכנויות הנסיעות, ברשת ומחוצה לה, ושומרת את הנתונים במסד נתונים אחד מסוג mySQL שיש בו נתונים מלפני 15 שנה ועד היום", כתב ההאקר, שביקש להישאר בעילום שם. "למרבה האימה, מסד הנתונים משמש לא רק את המערכת החשבונאית, אלא מפעיליו משתמשים באותו שרת גם עבור עמודי תדמית שרמת האבטחה שלהם מחפירה. אחד מהם, שיצא משימוש לפני יותר מעשור, עדיין נגיש, ומאפשר הזרקת SQL שנותנת גישה לכל מסד הנתונים העצום".

הזרקת SQL היא פרצה ותיקה, מהמוכרות והקלות ביותר לביצוע. ההגנה מפניה פשוטה מאוד וידועה לכל מתכנת בעל ידע בסיסי. במקרה זה, מכיוון שמפעילי האתר לא הפרידו בין מאגר הנתונים של עמודי התדמית למאגר פרטי ההזמנות והנוסעים, ניתן לנצל את הפרצה על מנת לגשת לכל המידע ששמור במאגר המקיף.

מידע זו כולל אוצר של נתונים רגישים, ובו פרטי 36 מיליון טיסות של 15 מיליון נוסעים, יותר ממיליון הזמנות למלונות ועוד כ־700 אלף בקשות ויזה שהוגשו בסיוע סוכני נסיעות, בתוספת סטטוס הבקשה. ההאקר ציין כי בפרצה חשפה מידע רב נוסף: "פרטי חיבור למערכות נוספות, סיסמאות לא מוצפנות, בהיקף ונזק עצומים אם החור יישאר פתוח”.

סוכנות הנסיעות הממשלתית מזמינה נסיעות דרך המערכת לכל עובדי המדינה בתפקיד, ובכללם גם עובדים בדרגים הבכירים ביותר, דוגמת ראש הממשלה ובכירים בתפקידים ביטחוניים רגישים. גורם עוין שיבקש לפגוע בהם יוכל לנצל את הפרצה על מנת לשאוב מידע מתי הם טסים לחו”ל ושם לנסות לבצע פיגוע.

המשך https://m.calcalist.co.il/Article.aspx?guid=3762637



              תגובה עם ציטוט   | תגובה מהירה         (ניהול: למבזק)        
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד


  האשכול     מחבר     תאריך כתיבה     מספר  
  startup Nation Atheist IL 22.05.19 17:31 1
     standup nation לומי 22.05.19 17:41 2
  עצם העובדה שסוכנות הנסיעות הממשלתית, שאמורה להיות מובילה בתחומה, משתמשת באופן כמעט גורף מר מייט 22.05.19 20:33 3
  הפקרות Zpatriots 23.05.19 06:06 4

   
   
Atheist IL
חבר מתאריך 10.6.16
543 הודעות
יום רביעי י''ז באייר תשע''ט    17:31   22.05.19   
כרטיס אישי עבור לצ'אט  
  1. startup Nation  
בתגובה להודעה מספר 0
 

בדיחה עצובה !
כל האתרים של משרדי הממשלה למעט האתר של משרד הבטחון ומשרד האוצר גרועים ...


וְאָהַבְתָּ לְרֵעֲךָ כָּמוֹךָ


            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
לומי
חבר מתאריך 29.10.18
1797 הודעות
יום רביעי י''ז באייר תשע''ט    17:41   22.05.19   
כרטיס אישי עבור לצ'אט  
  2. standup nation  
בתגובה להודעה מספר 1
 
  



            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
מר מייט
חבר מתאריך 24.12.18
794 הודעות
יום רביעי י''ז באייר תשע''ט    20:33   22.05.19   
כרטיס אישי עבור לצ'אט  
  3. עצם העובדה שסוכנות הנסיעות הממשלתית, שאמורה להיות מובילה בתחומה, משתמשת באופן כמעט גורף  
בתגובה להודעה מספר 0
 
  
במערכת ה ALP - רק ממחישה כמה בינוניות מתרוצצת במסדרונות השלטון שלנו.



            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
Zpatriots
חבר מתאריך 19.4.15
11867 הודעות
יום חמישי י''ח באייר תשע''ט    06:06   23.05.19   
כרטיס אישי עבור לצ'אט  
  4. הפקרות  
בתגובה להודעה מספר 0
 
  



            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד



תגובה מהירה  למכתב מספר: 
 
      

__________________________________________________________________________
למנהלים:  נעל | נעל אשכול עם סיבה | מחק | העבר לפורום אחר | מזג לאשכול אחר | מחק תגובות | גיבוי אשכול | עגן אשכול
   
   


© כל הזכויות שמורות ל-רוטר.נט בע"מ rotter.net
חדשות