בלעדי: אחת מחברות ההפקה הגדולות בישראל שכחה לנעול ספריית קבצים באתר שלה, ובכך חשפה את כתובות הדוא"ל של אלפים מלקוחותיה, חברות מובילות במשק הישראלי ומשרדי ממשלה; הפירצה נסגרה בעקבות פנייה מוקדמת של עורך הבלוג
על קובץ אקסל אחד יושבות להן 13,812 כתובות דוא"ל של עובדים יקרי-ערך בארגונים החזקים והגדולים ביותר בישראל כיום: משרדי ממשלה, חברות הייטק, בנקאות, פיננסים, תקשורת, מחשבים, מזון, תעופה, רפואה וביטוח. זו רשימה שכל ספאמר-דוא"ל היה מוכן לשלם כמה אלפי דולרים כדי לקבלה. אך אין צורך: מחדל אבטחה בסיסי חשף אותה במנועי החיפוש, לכל מחפש סקרן.
על קצה המזלג, מדובר בחברות-ענק כגון בנק הפועלים, בזק, פלאפון, בנק מזרחי, בנק דיסקונט, אינטל, יבמ, קוקה-קולה, נס (Ness), מגדל, אלווריון, קסלמן וקלסמן PwC, איי-די-בי (idb), נייס, תנובה, בריטמן-אלמגור (דלויט), אמדוקס, טבע, שטראוס-עלית, אסותא, נייס, סיסקו, מוטורולה, סקאל, אוסם, משרדי ממשלה רבים ומאות חברות נוספות.
חברת הפקות ישראלית ידועה, ששמה לא יתפרסם כאן מחשש לתביעה דיבה מיותרת, שכחה "לנעול" את אחת מספריות הקבצים שלה. בכך חשפה 42 קבצי אקסל שבהם כ-20,000 כתובות דוא"ל של בכירים במשק הישראלי, מנהלי שיווק, עובדי הייטק, עובדי מדינה - ואנשים חשובים (VIP) המשתתפים באירועים, כנסים ותערוכות על בסיס שוטף.
בין החשופים המרכזיים: מאות עובדי חברת אינטל בישראל; כ-140 עובדי יבמ ישראל; כל עובדי חברת ראד (rad); עשרות עובדי אמדוקס ישראל; עובדי רפא"ל; עשרות עובדי מוטורלה ישראל; בכירים בכל הבנקים הגדולים (פועלים, לאומי, דיסקונט, מזרחי); עשרות עובדי סלקום, סיסקו, קונצרן כלל, קופ"ח כללית, אי-סי-איי (eci), גלובס, הארץ, היולט-פקארד (hp) ישראל, יס (yes), דפי זהב, דן (תחבורה), רשות שדות התעופה, משרד החינוך, חברת החשמל, ישקר, צ'קפוינט, קומברס, ישראכרט, בנק ישראל, דלתא, לשכת עורכי הדין, טבעול, רשות הנמלים, ג'רוזלם פוסט, משרד המשפטים, קונצרן כור, KPMG ישראל, לאומי קארד, לומניס, מעריב, מ.ל.מ. מערכות, מקורות, חברת המתנ"סים, מנורה, רשות המיסים, משרד הבינוי והשיכון, קבוצת מגדל, דלויט ישראל, משרד הקליטה, משרד התמ"ת, משרד הרווחה, משרד התחבורה, משרד המדע, בכירי אורנג', אל-על, אלביט, אפלייד מטיריאלס, מפעל הפיס, הפניקס, רשות הדואר, פסגות-אופק, ריטליקס, רויטרס, בי"ח שיבא תל-השומר, שופרסל, משרד עו"ד שיבולת, טרה, טמבור, ידיעות תקשורת, צים, טבע, משרד התיירות, תנובה - ועוד עשרות רבות של חברות וארגונים בישראל.
בין כתובות הדוא"ל שנחשפו - גם כתובות פרטיות של עובדים ומנהלים בכירים, להבדיל מכתובות דוא"ל ארגוניות.
את הפירצה ניתן היה לאתר בקלות יחסית - כל מה שצריך לעשות הוא לחפש לפחות אחת מכתובות הדוא"ל המופיעות ברשימה; כאשר מדובר ב-20 אלף בכירים במשק הישראלי, קל יחסית לאתר לפחות אחד מהם. מספיק שאדם נכנס לגוגל או מנוע החיפוש של וואלה, ומקליד כתובת דואל של אחד מלקוחות חברת ההפקות - יופיע לו קובץ אקסל ובו שאר אלפי הלקוחות של חברת ההפקות.
סביר להניח שהפירצה גרמה לכך שרבים מן המופיעים ברשימה כבר הותקפו על ידי ספאמרים, שסורקים את תוצאות החיפוש של גוגל על בסיס קבוע. באחד הקבצים, למשל, המכונה "אינטל" - מופיעות 349 כתובות דוא"ל של עובדי החברה; מכאן ועד שליחת מייל המוני לכל העובדים - הדרך קצרה.
ב-9 באוקטובר 2009 הודענו לחברת ההפקות על הפירצה באתר שלה, כמה ימים לפני הפרסום. תוך ימים ספורים נחסמו הספריות הפתוחות, וכעת הן מחזירות הודעת 403 ("Forbidden") לכל ביקור באמצעות דפדפן. עם זאת, הקבצים עצמם עדיין קיימים, וניתן לפתוח אותם באמצעות קישורים שעדיין מופיעים במנועי חיפוש מקומיים כגון גוגל ישראל או "וואלה! חיפוש".
לאחר שיקול דעת, הוחלט לא לחשוף את שם החברה בבלוג "חופש החיפוש", בגלל היעדר עניין לציבור. אנו מקווים שלא גרמנו להם נזק כלשהו, ומבהירים כי פרסום זה נועד להדגים כיצד חוסר תשומת-לב לפרטים עשוי לגרום למנועי חיפוש לחשוף כתובות דוא"ל רגישות של בכירי מדינת ישראל. אנו מצפים מחברת ההפקות להסיר בהקדם את הקבצים מן הספרייה הנדונה, כיוון שמנועי החיפוש עדיין מספקים קישורים עמוקים לקבצי האקסל הנדונים. שמרנו צילומי מסך של הספרייה הפתוחה, ועותקים של כל קבצי האקסל המדוברים.
הלקח לבעלי אתרים, וובמסטרים ומנהלי מערכות מידע של אתרי אינטרנט: בדקו היטב שספריות האתר נעולות לגלישה סתמית. אם ניתן לעיין בקבצים באמצעות ביקור פשוט בכל ספרייה, הרי שאתם עשויים לחשוף את עצמכם למקרים מביכים, ואולי אף מסוכנים. מרגלים תעשייתיים יהנו מאוד לגלות את הלקוחות שלכם, התכתובות שלכם ואולי אף החומרים הסודיים שבטעות חשפתם בפני גוגל, וואלה! ודומיהם.
13.10.2009
ספריה פתוחה? מנועי החיפוש יחשפו לך אותה
מאת חופש החיפוש | פורסם בתאריך 13.10.09
תגיות אבטחת מידע, חור אבטחה, מחדל אבטחה
הירשם ל-
תגובות לפרסום (Atom)
אין תגובות:
הוסף רשומת תגובה