2018-8-31 07:29 |
Гражданин, чей номер удостоверения личности заканчивается на 993, а государственный номерной знак автомобиля – на 563 (полные номера хранятся в редакции), выехал на Трансизраильское шоссе №6 29 июня в 14:45 на развязке Хоршим. Этот человек проехал три отрезка дороги на юг и покинул магистраль на развязке Бен-Шемен. За эту поездку компания «Дерех а-Арец» выписала ему счет на 13,64 шек (до НДС).
Откуда мы это знаем? В системе безопасности сайта шоссе №6 обнаружилась серьезная «дыра». Из-за этого данные тех, кто пользовался автострадой и их предыдущие квитанции появились в сети в открытом доступе. Пробел выявил хакер Ноам Ротем, пытаясь найти свой собственный счет на портале самообслуживания «Дерех а-Арец». «У меня есть счет от шоссе №6, и когда я вошел на сайт, то пришел в ужас, обнаружив, что относительно легко просмотреть счета и сведения о поездках других пользователей», — говорит он.
Как это делается? Просто: вы должны войти в систему как клиент, выбрать в меню опцию «история платежей», а в адресной строке изменить серийный номер, — и все, вы получите чужой счет.
Как уже было сказано, на сайте можно увидеть государственный номерной знак, номер удостоверения личности (что делает эту информацию конфиденциальной с точки зрения закона), время и место въезда на шоссе №6, место выезда, характер отношений с компанией «Дерех а-Арец» (абонент или случайный клиент) и другие данные.
Можно легко узнать о некоторых аспектах поведения человека, а также получить информацию о его платежах и идентификационные сведения. Как утверждает Ротем, теоретически возможно скачать историю платежей любого клиента шоссе №6. «Я не столкнулся с какими-либо ограничениями на сайте», — отметил хакер, но, конечно, он не совершал реальную попытку такие сведения получить. Ротем поясняет, что он передал это сообщение TheMarker после того, как уведомил компанию «Дерех а-Арец», Управление по защите конфиденциальности в министерстве юстиции и Национальное управление киберзащиты.
Вот что мы получили от «Дерех а-Арец»: «После обращения клиента мы начали действовать немедленно. Пробел в системе защиты сайта был устранен. Мы проводим всесторонние и тщательные проверки, чтобы обеспечить невозможность подобных сбоев в будущем».
Новые правила требуют от компаний и организаций сообщать Управлению по защите конфиденциальности о каждой такой утечке личной информации клиента. В последние месяцы были найдены дыры в защите сайта компании Итуран, аппликации АмисраГаз, вообще таких событий было немало.
Амитай Зив, The Marker, Д.Н. На фото: шоссе №6. Фото: Офер Вакнин.
источник »