שירים של עומר אדם ותמונות אישיות: סיור בשרתים של אפליקציית 100

חוקר אבטחה גילה כי ניתן לגשת בקלות למפתחות הפרטיים של שרתי המשטרה באמצעות האפליקציה שלה. חיכו לו שם שלל קבצים מוזרים מ-2018. לאחר שדיווח - פעלה המשטרה במקצועיות וסגרה את פרצת האבטחה

משטרת ישראל מציעה שירותים רבים לאזרח, ביניהם גם אפליקציית 100, בה ניתן לדווח על מפגעים, להגיש בקשות לביטול דו"חות ועוד. לא כולם יודעים, אך אפליקציות בנויות בבסיסן כאתר אינטרנט, והפעולות שנעשות בהן מתבצעות מול שרתי אינטרנט. באפליקציות יש אשליה של קוד שסגור בפני המשתמש (בניגוד לזה עליו בנוי אתר, וניתן לראות בקלות בעזרת קליק ימני), אך למעשה כל משתמש יכול להציץ גם לקרביהן של האפליקציות שלו באמצעות כלי Decompiler פשוט. ניתן גם לעקוב אחר התקשורת בין האפליקציה לשרת ולפענח אותה. מפתחי אפליקציות יודעים זאת, ונזהרים מהכנסת נתונים רגישים לאפליקציה. אך מפתחיה של אפליקציית 100 ככל הנראה דילגו על השיעור הזה.

חוקר האבטחה נעם רותם בחן את האפליקציה של משטרת ישראל, וגילה שם מפתחות פרטיים של שרתי המשטרה היושבים על הענן של מיקרוסופט (Azure), ומאפשרים לאוחז בהם לצפות בקבצים ולבצע פעולות נוספות, תיאורטית – גם להיכנס ולהפעיל קוד תפעולי בתוך השרתים הללו. כל פעילות על שרתי המשטרה מהווה עבירה על החוק, ולכן פעילות החקירה הפרטית של רותם נעצרה כאן.

רותם מצא על השרתים כמות גדולה של קבצים מסוגים שונים ומגוונים: חלקם תמוהים, כמו שלל שירים של זמרים כעומר אדם, רועי הרוש ואברהם המר, וגם תמונות אישיות של המפתחים (עובדי ממשלה) והמשתמשים השונים במערכת. חלקם קשורים יותר לעבודת המשטרה, כריכוזי פניות של אזרחים ושל שוטרים, תכנון יציאת גרסה של אחד המוקדים וגם, למרבה המבוכה, אישורים על מעבר קורס באבטחת מידע:

אמנם לא מדובר במערכת ליבה של המשטרה, וחשוב לציין כי הקבצים תוארכו לשנת 2018 ומטה, אך עדיין – מדובר במאגר מידע פרוץ, שגופים עוינים בהחלט היו חוגגים עליו לו נתקלו בו. רותם פנה למערך הסייבר ודיווח להם על ממצאיו, ואלו הועברו למשטרה. זו הזדרזה לסגור את חורי האבטחה, ולאחר שבדקה את העניין מסרה לרותם כי מדובר בשרתים ישנים. למרבה השמחה תגובתם הייתה נעימה ומקצועית. אין לקחת זאת כמובן מאליו – לא מעט גופים מאיימים על חושפי ליקויים.

ממשטרת ישראל נמסר:

במסגרת שיתוף פעולה בין גורמים שונים לזיהוי חולשות, הובא לידיעתנו כי ישנה היתכנות לחשיפת מידע. מיד עם קבלת המידע הנושא נבחן וטופל. נדגיש כי אין מדובר בנתונים עדכניים או רגישים ומדובר בסביבת פיתוח ישנה שמזה תקופה ארוכה אינה בשימוש. משטרת ישראל פועלת תחת אבטחה סדורה לצד יישום בקרות לאיתור חולשות וכמובן במידת הצורך סגירתן המידית.