Дыра в «Битуах леуми»: возможно, ваш банковский счет взломан

Дыра в «Битуах леуми»: возможно, ваш банковский счет взломан

Недавно Служба национального страхования («Битуах леуми») создала инструмент, который позволяет гражданам проверять, актуальны ли их банковские реквизиты в системе «Битуах леуми», чтобы они могли без сбоев получать пособия и гранты.

В «Битуах леуми» пошли еще дальше, добавив механизм защиты, который должен блокировать все попытки хакеров получить доступ к банковским данным граждан.

Однако этот механизм, основанный на проверке даты выдачи удостоверения личности, вообще не был активирован на сайте. Поэтому любой мог выдать себя за другого человека и даже переоформить получение чужих пособий и грантов на свой счет. После обращения «ХаАрец» эта брешь была устранена.

В обычном порядке, если гражданин желает проверить, значатся ли в базе данных «Битуах леуми» его правильные банковские реквизиты, он должен зайти на сайт и ввести свой номер удостоверения личности и другую важную информацию, которая известна только министерству внутренних дел и самому человеку — дату выдачи удостоверения личности.

Речь идет о важном средстве защиты, которое после бессчетных попыток взлома и хакерских атак было решено использовать, как элемент идентификации в каждом правительственном учреждении. Использование этих двух идентифицирующих деталей де-факто предотвращает кражу данных и неавторизованный доступ к личным профилям граждан. «Битуах леуми» тоже требует идентификации пользователей по этим данным.

Но это всего лишь на первый взгляд. Для входа на личную страничку через интерфейс сайта «Битуах леуми» потребовался только номер удостоверения личности. Поле для указания даты выдачи удостоверения личности там существует, но сайт его вообще не проверяет. Вы можете указать там любую дату. И тут же получите доступ к личной страничке.

Войдя на личную страничку, вы могли увидеть реквизиты банковского счета и имя владельца с указанным идентификационным номером. Иными словами, злоумышленники могли создать солидную базу идентификационных номеров и их банковских реквизитов.

Но все гораздо хуже. Если по какой-либо причине в базе данных «Битуах леуми» отсутствуют банковские реквизиты, и таких людей довольно много, хакер может зарегистрировать там любые банковские реквизиты любого другого лица, и на этот счет будут поступать деньги – пособия или гранты.

Человек, который обнаружил эту проблему, был просто бдительным гражданином (и специалистом по алгоритмам) по имени Дани Хазов — он и связался со мной.

Никаких экстраординарных технических знаний не требуется, чтобы определить эту брешь в системе безопасности. Все, что вам нужно сделать, это ввести несколько разных дат выдачи удостоверения личности, чтобы понять, что это не имеет никакого значения. Сайт не проверяет дату.

Но все оказалось еще хуже. Я связался с Раном Лукаром и Ноамом Ротемом из подкаста CyberCyber и попросил их проверить наши предположения. Они быстро построили примитивный селениум-скрипт, который без особых проблем добыл данные. Так стало ясно, что любой злоумышленник мог провести масштабное заимствование личных данных граждан.

Эта брешь в системе безопасности особенно раздражает, потому что для взлома вообще не требуется никаких хакерских навыков. В этом случае – обратите внимание – любая дата, которую вы вводите на сайте, пропускала вас внутрь. Такие вещи должны многократно проверяться, как автоматически, так и вручную.

Официальная реакция «Битуах леуми»:

«Всего две недели назад была объявлена программа «Грант — каждому гражданину», и только 29 июля был принят соответствующий закон в кнессете, который требовал от нас существенных изменений и подготовки в кратчайшие сроки.

«Битуах леуми» работает в экстренном порядке с марта месяца, чтобы выплачивать сотням тысяч жителей страны пособия по безработице, а также гранты в связи с эпидемией коронавируса в течение нескольких дней. Днем 29 июля, до того, как был запущен специальный веб-сайт для регистрации банковских счетов, были проведены тесты на надежность и безопасность для предотвращения неавторизованного использования информации. А после того, как граждане вводят данные на сайт, система проводит их перекрестную проверку.

Как только мы столкнулись с ошибкой, доступ к информации был полностью заблокирован. Был проведен анализ, чтобы оценить размер бреши, и выяснить, в какой степени ей могли воспользоваться. На практике не было обнаружено никаких аномалий».

Ран Бар-Зик, «ХаАрец», Ц.З. Фото: Элияху Гершкович˜

 

Новости

В разгар войны тысячи госслужащих отправятся в отпуск за счет граждан
Израильские отели завершили отличный год. Что дальше?
В Ашкелоне задержан подозреваемый в серийной краже драгоценностей

Популярное

За два дня до войны приехал торговец из Газы, заплатил наличными и… исчез

Я спрашиваю фермера Офера Селу из мошава Гева-Кармель, как война повлияла на его отношения с торговцами из...

Мы ошибаемся, если думаем, что в Израиле низкие пособия. В будущем их еще больше урежут

Сообщение о будущем и неизбежном банкротстве Службы национального страхования в Израиле («Битуах леуми»)...

МНЕНИЯ