פירצת אבטחה בלוח הדרושים של NRG: למעלה מ-50 אלף קורות חיים נחשפו

פורבס ישראל
30 ביולי 2013

במציאות של היום, איתור מקום עבודה היא בדרך כלל משימה לא פשוטה: שליחת קורות חיים עבור עשרות אם לא מאות משרות, פנייה למעסיקים דרך חברים, מכרים, משפחה, אתרי אינטרנט, חברות השמה ומה לא. טופס קורות החיים כולל מידע אישי רב בנוגע לאדם החתום עליהם משמו המלא למספר תעודת הזהות, מספר הנייד, פרטי המשרות הקודמים ואפילו ההיסטוריה הצבאית שלו יחד עם הכתובת המלאה ופרטים אישיים נוספים שהיינו שמחים שלא יהפכו לנחלת הכלל.

סעיף 17 לחוק הגנת הפרטיות קובע כי "בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע." סעיף 17א' לחוק קובע כי "מחזיק במאגרי מידע של בעלים שונים יבטיח כי אפשרות הגישה לכל מאגר תהיה נתונה רק למי שהורשו לכך במפורש בהסכם בכתב בינו לבין בעליו של אותו מאגר." בהיעדר אבטחת מידע כלשהי על המאגר (הגישה למאגר ניתנת ללא שם משתמש, סיסמא, או איזשהו פרט מזהה או מפריד לצורך אימות מבקש הגישה), מדובר בהפרה ברורה של הסעיפים הללו.

יותר מ-50 אלף – זהו המספר הבלתי נתפס של קורות חיים השייכים לאנשים במדינת ישראל שנחשפו במלואם בפירצת אבטחה פשוטה ביותר בלוח הדרושים של קבוצת מעריב – Jobox, שנחשפה על ידי גיקטיים בעקבות פנייה שהועברה לאתר במייל האדום. מסמכים בפורמט doc, rtf, pdf המכילים פרטים אישיים רגישים הכוללים תעודת זהות, שם מלא, כתובת, טלפון ורשימה מפורטת של כישורים אישיים ואף מידע משפחתי ורפואי לפעמים, של עשרות אלפי אנשים מחפשי עבודה בין השנים 2009-2013.

אז איך זה קרה בעצם?

פירצת האבטחה כה פשוטה ואינה דורשת רקע טכנולוגי כלל, כך שלמעשה כל מה שעליכם היה לעשות זה להיכנס לכתובת הבאה: https://jobox.nrg.co.il/core-maariv/sites/nrg/_media/nrg_cv_send ולעיין בעשרות אלפי קורות חיים, להוריד אותם למחשב שלכם, לשמור את הפרטים בקובץ אקסל ולעשות שימוש בתעודות הזהות של האנשים למטרות זדוניות. התמונה הבאה ממחישה את היקף פירצת האבטחה, מהקובץ הראשון ברשימה ועד האחרון:

(נציין כי בעקבות פנייתנו ל-NRG, נחסמה הפירצה טרם פרסום הידיעה)

דוגמא לקורות החיים שנחשפו:

תגובת מעריב: "מדובר במאגר ישן שנמצא במערכת ושייך לחברה חיצונית. אנו דואגים לטפל בבעיה ולהוריד את המאגר מאתר NRG עד לסוף היום".

מ-Consist נמסר: "החברה לא מתחזקת את לוח הדרושים של NRG כבר למעלה משנתיים".

מהרשות למשפט טכנולוגיה ומידע במשרד המשפטים נמסר כי זו פתחה בהליך פיקוח מול מפעילי אתר NRG.

לידיעה המקורית באתר גיקטיים

עוד בגיקטיים:

Askem: המרכיב הישראלי בקהילת הסלבריטאים

על רקע הדאגה לזכויות עובדים, נחשף האייפון המוזל של אפל