פרצות באתר מד"א הביאו לדליפת מידע רפואי

בעקבות החשיפה מד"א הסירה את כל אתריה מהאוויר בעקבות דליפת מידע רפואי ופיננסי. לדברי ההאקר שאיתר את הפרצות, "היה אפשר להשבית את מערכת השליטה והבקרה של מד"א ולפגוע בתקשורת של האמבולנסים עם המוקד".

שורה של פרצות אבטחה חמורות באתר מגן דוד אדום (מד"א) חשפה לרשת מידע מזהה של פציינטים, מידע רפואי רגיש, מידע פיננסי ואף מידע על מתנדבי הארגון. ניתן היה אפילו להפיל חלק משרתי מד"א מרחוק ולפגוע במערכות חיוניות שלה. את הפרצה חשף האקר כובע לבן (כזה שמאתר פרצות במערכות למטרות שיפור והגנה, ולא כדי לגרום נזק) ובעקבות פנייתו לארגון ולרשות הסייבר, כל אתרי מד"א אינם באוויר.

אליאל האוזי הוא מתכנת במקצועו, בוגר יחידת מצו"ב (מרכז צופן וביטחון) בצבא והאקר לבן בזמנו הפנוי. לפני כחודש הוא חשף פרצת אבטחה ראשונה במד"א. "זו הייתה פרצה של דליפת מידע. על ידי שינוי פרמטרים בדפדפן היה אפשר להגיע לפרטים של מטופלים אחרים: אפשר היה לראות שם, כתובת, טלפון, מספר תעודת זהות אבל גם שטרי חוב – כמה אתה חייב למד"א. אחר כך מצאתי גם מסמכים רפואיים, כל מה שנאמר לפראמדיק באמבולנס, למשל, אם בן אדם חולה איידס, זה גם הופיע".

האוזי גם מצא דרך לראות מספרי כרטיס אשראי של מטופלים ואף לשלם כל חשבונית של מד"א בשקל אחד. "הפרצה היתה מאד קלה, כל מי שמבין טיפה איך אתר עובד היה יכול להגיע לזה תוך כמה דקות", הוא מתאר.

החולשה הייתה באתר התשלומים של מד"א. האוזי התלבט רבות אם לפרסם אותה בעיתונות, והחליט לבסוף לדווח רק למד"א על הבעיות – והם סגרו את החור במהירות. חודש לאחר מכן החליט האוזי לבדוק שוב מה קורה באתר מד"א. הוא מצא באתר המתנדבים כרטסת של כל עובדי ומתנדבי מד"א – כולל מספרי תעודת זהות, כתובת מגורים וטלפונים. הוא המשיך לחפור והגיע ל"גביע הקדוש": "מצאתי מקום שדרכו אני יכול להעלות קובץ לשרת ולהשתלט עליו (פרקטיקה המכונה (Remote Shell . אפשר להוריד את כל בסיס הנתונים, לכבות אותו להוריד את כל הקוד. היה אפשר די בוודאות להשבית את מערכת השליטה והבקרה של מד"א ולפגוע בתקשורת של האמבולנסים עם המוקד", הוא מספר.

האוזי דיווח על שתי הפרצות למערך הסייבר הלאומי, לרשות להגנת הפרטיות ולמד"א. בעקבות הדיווח השני, על הפרצה החמורה יותר, מד"א הורידו אתמול את כל האתרים שלהם מהאוויר. מדובר  בפרצה חמורה ביותר שחשפה מידע רפואי ופיננסי רגיש, וגם הוכיחה לכאורה פגיעות במערכת הצלה קריטית בישראל.

למידע נוסף ראו מקור:

פרצות באתר מד"א הביאו לדליפת מידע רפואי

0 תגובות

הצג:
הוסף תגובה
"> ">