Личная информация более 6 000 израильтян оказалась в открытом доступе из-за использования  «веб-кодинга»

В Израиле произошла масштабная утечка персональных данных, затронувшая 6 098 граждан, сообщавших о повреждениях имущества во время войны.

Как выяснилось, данные, включая имена, адреса, номера удостоверений личности, фотографии и номера заявок в Налоговом управлении, оказались доступны в сети из-за ошибки в системе, созданной добровольцами на платформе искусственного интеллекта.

После начала войны израильские госструктуры оказались в состоянии паралича, и частные ИТ-компании при поддержке добровольцев начали помогать в создании цифровых решений. Одним из таких проектов стала онлайн-система для подачи заявлений о компенсации ущерба, созданная Национальным управлением цифровых технологий в сотрудничестве с Налоговым управлением.

Добровольцы использовали технологию «web coding» — инструмент, основанный на генерации кода при помощи искусственного интеллекта (LLM). Инструмент создает системы и веб-сайты с использованием свободного языка. Например, запроса: «Создай мне систему, которая будет получать электронные письма от клиентов».

В результате сайт, построенный на платформе Base44, содержал незащищенный путь доступа (API), через который любой человек с минимальными техническими знаниями мог скачать полные данные всех заявителей.

Государство: ошибка добровольца, не хакерская атака

Израильский разработчик Алон Волиниц, обнаруживший уязвимость, рассказал: «Друг попросил меня взглянуть на сайт, где он подал заявку на компенсацию. Я сразу понял, что система построена с помощью Base44. Проверив код, я нашел открытый путь, ведущий к файлам с личными данными тысяч граждан».

По его словам, система действительно помогала людям быстрее подавать заявки, однако не обеспечивала элементарного уровня защиты данных. 

В Национальном управлении цифровых технологий подтвердили инцидент и заявили, что доступ к открытым данным был немедленно закрыт: «Проблема возникла из-за человеческой ошибки одного из добровольцев, оставившего незащищённый API-путь. После получения информации уязвимость была устранена. Инцидент не связан с государственными системами и не представляет угрозы их безопасности».

Тем не менее, факт, что чувствительные данные граждан были собраны и размещены в сети без должной защиты, вызвал волну критики и обеспокоенность по поводу способности государства защищать информацию граждан.

Специалисты предупреждают, что даже «незначительные» данные могут быть использованы мошенниками для социальной инженерии и телефонного мошенничества — особенно когда злоумышленники знают детали, которые обычно известны только госорганам.

Случай стал еще одним тревожным сигналом о необходимости жестких стандартов кибербезопасности в государственных онлайн-сервисах, особенно если они собирают личные данные граждан в кризисных ситуациях.

По материалам TheMarker, «Детали». Ю.Л. Фото: Pixabay