במסגרת עבודתו בשיתוף עם מעבדת המחקר של SafetyDetective, נעם רותם, האקר ואקטיביסט ישראלי, חשף פרצת אבטחה חמורה במערכת של JDECo, חברת החשמל המזרח ירושלמית.
החברה הוקמה ב-1956, וכיום היא מספקת חשמל לעשרות אלפי לקוחות בירושלים, בית לחם, רמאללה, ויריחו. מרבית לקוחות החברה הם בתים פרטיים ועסקים מקומיים.
מדף הפייסבוק של JDECo
מידע אישי בלתי מאובטח
כיוון שהמערכת של JDECo הייתה חשופה לחלוטין, להאקר הייתה גישה קלה למאגר הנתונים – כולל שמות מלאים, כתובות מגורים, מספרי טלפון, תצלומי תעודות זהות, ופרטים אישיים נוספים.
מאגר הנתונים הכיל עשרות אלפי תעודות זהות:
בנוסף לפרטים האישיים, היה ניתן למצוא בקלות מידע לגבי לחשבונות, היסטוריית תשלומים, תקלות חשמל, קריאות שירות, ועוד.
כאן ניתן לראות רשימה של קריאות השירות הפתוחות:
המערכת מאוחסנת על טווח כתובות ה-IP של חברת החשמל לישראל:
כל אחד יכול להיות אדמין
אבטחת השרתים הייתה חלשה עד כדי כך שההאקר יכל להשיג אפילו הרשאת אדמין.
חלק מקבצי האדמין לא בודקים הרשאות או מבקשים אימות מכל סוג שהוא, כך שכל אחד היה יכול לפתוח אותם מבלי להזדקק לשם משתמש או סיסמה.
קובץ בשם adduser.aspx מאפשר הוספת משתמשים חדשים והענקת הרשאות אדמין.
כשההאקר פתח את הקובץ, כל מה שנשאר לו לעשות היה למלא את הטופס הבא וליצור משתמש חדש:
ברגע שהמשתמש נוצר וקיבל הרשאת אדמין, הוא קיבל גישה מלאה למערכת. בנוסף למידע על חשבונות ותשלומים, משתמש שיש לו הרשאת אדמין יכול לראות גם מידע על עובדים, מכשירים, ועוד ועוד.
אדמין מקבל גם הרשאת עריכה מלאה, כך שהיה ניתן להוסיף ולמחוק עובדים ואף לערוך ולשנות את פרטיהם האישיים.
היה ניתן לשנות גם את סטטוס התשלומים של לקוחות, ואף למחוק חובות בקליק.
כשעובדי החברה מטפלים בתקלות, הם לפעמים מצלמים את מוני החשמל. להאקר הייתה גישה גם לתמונות האלה:
וגם לתמונות של תקלות ספציפיות:
האקינג במזרח התיכון
מומחי האבטחה שלנו שמחו לעזור לחברת החשמל המזרח ירושלמית לפתור את כל הבעיות. הצענו לאבטח את השרת, לעבור לתשתית MVC, לבדוק את כל הסקריפטים, ליישם את הפרוטוקולים הנכונים, להשתמש במפתח API תקין, ולבצע בדיקות אבטחה תקופתיות.
אנחנו שמחים לדווח ש-JDECo לקחו את ההצעות שלנו לתשומת ליבם ופתרו את רוב בעיות האבטחה.
מי אנחנו?
SafetyDetectives.com הוא אתר ביקורות האנטי וירוס הגדול בעולם. מעבדת SafetyDetectives הינה שירות למען הקהילה, שמטרתה לעזור לגולשי אינטרנט להתגונן מפני איומים ברשת וללמד ארגונים להגן על נתוני המשתמשים שלהם.
אולי תרצו לקרוא על פרצת אבטחה חמורה שנמצאה במערכות קירור של בתי חולים וסופרמרקטים, או על איך האקרים של אנונימוס הורידו יותר ממיליון עמודים במאות אתרים של תאגידים.
פורסם בתאריך: 7 במאי 2019