דליפות מידע ממאגרים בישראל הפכו כבר מזמן למכת מדינה. ואם עד כה דיברנו על אלפים עד עשרות אלפים, בדליפה האחרונה — שאירעה בגלל חולשה בחברת פזגז — הגענו כבר למאות אלפים. כל פרטי לקוחות החברה נחשפו: שמות מלאים, תעודות זהות, כתובות מעודכנות, מספרי טלפון, הסכום שהם משלמים מדי חודש וארבע הספרות האחרונות של מספר כרטיס האשראי.
יאיר זרקא, לקוח של חברת פזגז, נכנס לפני כמה שבועות לבדוק דבר מה בחשבונו באתר החברה. אחד הטפסים שם עורר את חשדו. הוא פתח את כלי המפתחים של הדפדפן, בחן באמצעותו את העניין וגילה שקריאה הכוללת את מספר חשבונו מחזירה את הפרטים עליו. כשהעתיק את הכתובת ושינה את המספר למספר אחר, קיבל את כל הנתונים של משתמש נוסף, ללא הפרעה וללא צורך בהזדהות.
"הופתעתי מאוד", אומר זרקא. "בהתחלה חשבתי שהטעות אצלי, אבל אחרי שווידאתי כמה פעמים הבנתי שזה אכן המצב. הופתעתי מכמה הדליפה חמורה ביחס לפשטות — אין צורך במניפולציה, זה פשוט מונח שם. אני עובד בחברת טכנולוגיה אז זה מעורר אצלי מצד אחד רחמים כלפי המפתח, ומצד שני קצת כעס על הרשלנות במקרה הזה"
אין באתר של פזגז מקום לדווח על מקרים כאלה, וזרקא פנה אליי. וידאתי את הפרטים, ואכן — הצלחתי ללא הפרעה להפעיל סקריפט קטן, שנכתב באמצעות שאילתה פשוטה ל-ChatGPT, והצליח לכרות ללא הפרעה פרטים של אלפי אזרחים.
מאחורי הסקריפט היה גם חיבור למערכת Priority — מערכת הניהול הפנימית של החברה, שסיפקה את המידע על הלקוחות. ואם כל זה לא מספיק, גם לקוחות עבר שסיימו את קשריהם עם החברה הופיעו שם, לצד הסיבה שבגינה נותק הקשר עם החברה.
במדינות אחרות הזכות לפרטיות היא זכות אינהרנטית, ואזרחים יודעים לדרוש שחברה עסקית לא תחשוף מידע על הלקוחות שלה — בטח ובטח לא מידע אישי כמו מספר כרטיס האשראי (או ארבע הספרות האחרונות שלו), טלפונים ומיילים. אך בישראל אין תודעת פרטיות, ובדיווחים שלי אני נאלץ כל פעם להסביר למה זה כל כך נורא מהבחינה האופרטיבית.
פניתי לחברה, ולשם שינוי הופתעתי מתגובה יעילה. ראשית, המערכת ירדה בתוך פחות משעה מפנייתי הראשונית והתיקון שמנע את הכניסה עלה בהמשך היום. החברה ביקשה כמה ימים לבדיקות ולמענה רציני, ונתתי את הזמן הזה בשמחה.
מקץ שבוע, קיבלתי מפזגז את התגובה הבאה: "פזגז מתייחסת לנושא אבטחת המידע בכובד ראש ומשקיעה בכך משאבים רבים, כולל ביצוע מבחני חולשות. מרגע קבלת הפניה הנושא טופל ותוקן באופן מיידי. החברה מבקשת להבהיר כי מדובר במערכת שכוללת נתונים מוגבלים בלבד, וכי מהתחקור עולה, כי מספר הרשומות שנחשף הוא נמוך ביותר. מרגע קבלת הפנייה החברה פעלה מיידית לחסום את הפגיעות, שלצערנו לא עלתה בבדיקת אבטחת מידע שביצע גוף חיצוני המתמחה בתחום. אנו פועלים להמשך תחקור האירוע בעזרת צוות IR חיצוני כדי להבטיח שמקרים כאלה לא ישנו". (הכתבה המלאה בדה מרקר)
