דוח: פרצת אבטחה חמורה בחברת החשמל המזרח ירושלמית, נחשפו עשרות אלפי תעודות זהות פלסטיניות

דוח: פרצת אבטחה חמורה בחברת החשמל המזרח ירושלמית, נחשפו עשרות אלפי תעודות זהות פלסטיניות
James Taylor
מאת James Taylor
תאריך: 7 במאי 2019

במסגרת עבודתו בשיתוף עם מעבדת המחקר של SafetyDetective, נעם רותם, האקר ואקטיביסט ישראלי, חשף פרצת אבטחה חמורה במערכת של JDECo, חברת החשמל המזרח ירושלמית.

החברה הוקמה ב-1956, וכיום היא מספקת חשמל לעשרות אלפי לקוחות בירושלים, בית לחם, רמאללה, ויריחו. מרבית לקוחות החברה הם בתים פרטיים ועסקים מקומיים.

דוח: פרצת אבטחה חמורה בחברת החשמל המזרח ירושלמית, נחשפו עשרות אלפי תעודות זהות פלסטיניות

מדף הפייסבוק של JDECo

מידע אישי בלתי מאובטח

כיוון שהמערכת של JDECo הייתה חשופה לחלוטין, להאקר הייתה גישה קלה למאגר הנתונים – כולל שמות מלאים, כתובות מגורים, מספרי טלפון, תצלומי תעודות זהות, ופרטים אישיים נוספים.

מאגר הנתונים הכיל עשרות אלפי תעודות זהות:מידע אישי בלתי מאובטח

מידע אישי בלתי מאובטח
בנוסף לפרטים האישיים, היה ניתן למצוא בקלות מידע לגבי לחשבונות, היסטוריית תשלומים, תקלות חשמל, קריאות שירות, ועוד.

כאן ניתן לראות רשימה של קריאות השירות הפתוחות:

מידע אישי בלתי מאובטח
המערכת מאוחסנת על טווח כתובות ה-IP של חברת החשמל לישראל:

מידע אישי בלתי מאובטח

כל אחד יכול להיות אדמין

אבטחת השרתים הייתה חלשה עד כדי כך שההאקר יכל להשיג אפילו הרשאת אדמין.

חלק מקבצי האדמין לא בודקים הרשאות או מבקשים אימות מכל סוג שהוא, כך שכל אחד היה יכול לפתוח אותם מבלי להזדקק לשם משתמש או סיסמה.

קובץ בשם adduser.aspx מאפשר הוספת משתמשים חדשים והענקת הרשאות אדמין.

כשההאקר פתח את הקובץ, כל מה שנשאר לו לעשות היה למלא את הטופס הבא וליצור משתמש חדש:

כל אחד יכול להיות אדמין
ברגע שהמשתמש נוצר וקיבל הרשאת אדמין, הוא קיבל גישה מלאה למערכת. בנוסף למידע על חשבונות ותשלומים, משתמש שיש לו הרשאת אדמין יכול לראות גם מידע על עובדים, מכשירים, ועוד ועוד.

כל אחד יכול להיות אדמין
אדמין מקבל גם הרשאת עריכה מלאה, כך שהיה ניתן להוסיף ולמחוק עובדים ואף לערוך ולשנות את פרטיהם האישיים.

כל אחד יכול להיות אדמין
היה ניתן לשנות גם את סטטוס התשלומים של לקוחות, ואף למחוק חובות בקליק.

כל אחד יכול להיות אדמין
כשעובדי החברה מטפלים בתקלות, הם לפעמים מצלמים את מוני החשמל. להאקר הייתה גישה גם לתמונות האלה:

כל אחד יכול להיות אדמין
וגם לתמונות של תקלות ספציפיות:

כל אחד יכול להיות אדמין

האקינג במזרח התיכון

מומחי האבטחה שלנו שמחו לעזור לחברת החשמל המזרח ירושלמית לפתור את כל הבעיות. הצענו לאבטח את השרת, לעבור לתשתית MVC, לבדוק את כל הסקריפטים, ליישם את הפרוטוקולים הנכונים, להשתמש במפתח API תקין, ולבצע בדיקות אבטחה תקופתיות.

אנחנו שמחים לדווח ש-JDECo לקחו את ההצעות שלנו לתשומת ליבם ופתרו את רוב בעיות האבטחה.

מי אנחנו?

SafetyDetective.com הוא אתר ביקורות האנטי וירוס הגדול בעולם. מעבדת SafetyDetective הינה שירות למען הקהילה, שמטרתה לעזור לגולשי אינטרנט להתגונן מפני איומים ברשת וללמד ארגונים להגן על נתוני המשתמשים שלהם.

אולי תרצו לקרוא על פרצת אבטחה חמורה שנמצאה במערכות קירור של בתי חולים וסופרמרקטים, או על איך האקרים של אנונימוס הורידו יותר ממיליון עמודים במאות אתרים של תאגידים. ‎

אודות המחבר

James Taylor
James Taylor

James is an expert technology writer with a focus on cyber security and BI.