פרצת אבטחה חמורה התגלתה במערכת שהקים פיקוד העורף להענקת תעודות הוקרה לחיילים שהשתתפו במבצע "שאגת הארי". המערכת, שנבנתה באמצעות בינה מלאכותית, איפשרה לכל גולש ליצור לעצמו תעודת הוקרה עם שם, דרגה ויחידה צבאית לבחירתו - ללא כל אימות או בקרה.
על פי הדיווח ב"דה מרקר", המערכת תוכננה לשלוח תעודות אישיות לחיילים באמצעות קישור ב-SMS, אך הממשק עצמו היה פתוח לחלוטין. כל מי שנכנס ישירות לכתובת lion-cer.duckdns.org יכול היה למלא את פרטיו ולקבל תעודת הוקרה רשמית לכאורה מפיקוד העורף, כולל בחירת דרגה ויחידה.
פיקוד העורף שלח את הקישור הפתוח בעצמו
המצב הפך למבוכה כפולה כאשר התגלתה תקלה במערכת ששלחה חלק מהתעודות עם שמות שגויים. במקום לתקן את הבעיה, בחר פיקוד העורף בפתרון "יצירתי": שליחת הודעה לכלל הזכאים עם הקישור הפתוח והנחיה למלא את הפרטים בעצמם.
"בשל תקלה רוחבית במערכת, נוצרו שיבושי שמות בחלק מהתעודות", נכתב בהודעה שנשלחה לחיילים. "להלן לינק למילוי אישי והורדת התעודה: https://lion-cer.duckdns.org/ בהערכה רבה, מחוז חיפה פקע"ר". כלומר, פיקוד העורף ויתר מראש על כל מראית עין של בקרה על הפקת התעודות.
חשיפת מידע מודיעיני חמורה
מעבר לסיפור ההיתולי, הפרשה חושפת בעיית אבטחת מידע משמעותית. השירות שדרכו הוקמה הכתובת - duckdns.org - מציע רישום חינמי ואנונימי לחלוטין, ומשמש לעיתים קרובות גם גורמים זדוניים בשל האפשרות להקים כתובת ללא זיהוי.
כאשר גוף צבאי בוחר להשתמש בשירות כזה, הוא למעשה ממקם את הפעילות הרשמית שלו באותו מקום בדיוק שבו פועלים אלו שמנסים לאסוף עליו מודיעין. כל חייל שלחץ על הקישור מסר מיד פרטים על עצמו ועל הפעילות שלו - נתונים שנאספו ונשמרו בידיים פרטיות, ללא כל אפשרות לדעת מי צופה בהם או אם הם מועברים הלאה.
צה"ל: "אין חשיפה של מידע אישי"
בתגובה לפרסום, מסר דובר צה"ל כי "המערכת הוקמה כיוזמה ייעודית ויחידתית במסגרת מבצע 'שאגת הארי' שמטרתה היא הוקרת תודה למשרתי המילואים. המערכת משמשת כפלטפורמה להפקת תעודות בלבד, ואין בה כל שימוש או חשיפה של מידע אישי".
דובר צה"ל הוסיף כי "הזנת הפרטים נועדה אך ורק לאפשר למפקדים בשטח להעניק לחיילים תעודת הוקרה כאות הערכה על פועלם. צה"ל רואה חשיבות עליונה בשמירה על ביטחון המידע של חיילינו".
0 תגובות