חולשה משמעותית ופשוטה לניצול, בעזרת דפדפן בלבד, חשפה פרטים רפואיים רגישים ותמונות של למעלה מ-25,000 חולים ומטופלים בישראל. זאת על אף קיומו של חוק זכויות החולה, שמטרתו בין היתר להגן על כבודם ועל פרטיותם של אזרחים שפונים לשירותים רפואיים.
בשנים האחרונות בדיקות רבות שאנו עושים עולות לרשת. זה כולל את הצילומים עצמם וגם פענוח שלהם. לעיתים מקבל המטופל קישור לממשק ויכול לצפות בתוצאות, להוריד אותן למחשבו האישי או לשלוח אותן לרופאים לפי בחירתו, שיוכלו לבחון את הממצאים. לעתים הקישור נשלח גם לרופא ששלח את המטופל לבדיקה.
חברת Vision Erc היא חברה כזו, והיא מספקת שירותים למגוון מכוני דימות ישראלים. כשחולה מופנה לאחד מהמכונים שעובדים איתה הוא יקבל קישור לממשק ובו נמצאים צילומי הרנטגן, תמונות נוספות וגם סיכומים רפואיים, עליהם מופיעים הפרטים המלאים של הנבדק, כולל מספר תעודת זהות
הקישור הזה אישי, ומסתיים בטקסט שלעין הלא טכנולוגית יראה אקראי לחלוטין, אבל אנשים טכניים יותר — במיוחד מתכנתים העוסקים ברשת — יזהו מיד: קידוד base64. זו לא הצפנה, פשוט דרך להציג נתונים, כמו שהספרה 3 מופיעה כ-III בספירה רומית. מי שלא מכיר את השיטה לא ידע מה זה MMXXIV וזה יראה לו כמו צופן מסובך לפענוח, אך מי שכן יבין מיד שכתוב שם 2024.
אורי בינה הוא יועץ אבטחת מידע מחברת CWG, וגם מטופל שקיבל את תוצאות הבדיקה שלו באמצעות המערכת של Vision Erc. לאחר שזיהה את הקידוד ושינה אותו הוא גילה שממתין שם מספר רץ. כשהחליף אותו במספר הבא בתור וקידד חזרה לפורמט base64, הגיע לנתונים של אדם אחר. אז פנה למערך הסייבר וגם אלי. אימתי את הממצאים וגיליתי עד כמה נרחב ההיקף שלהם — כ-26,000 לקוחות.
"ההרגשה לא נעימה, במיוחד כאשר אני מיד מבין שגם המידע הרפואי שלי חשוף לכל", אומר בינה. "לא האמנתי. אחרי מעל עשור במקצוע ואין סוף חולשות חריגות בקרב מגוון לקוחות, בהם גם מסווגים, המערכת הזו הצליחה להפתיע אותי. ניהול גישה כה לקוי, שמוביל לחשיפה של עשרות אלפי צילומי רפואיים רגישים לצד מכתבים רפואיים, הוא לא דבר שרואים כל יום. בעיקר הופתעתי מקלות הניצול".
האתר הכיל חולשות אבטחה נוספות: כל האבחנות הרפואיות אוחסנו בתיקיה בשם comprobantes — "מסמכים" בספרדית (עושה רושם שזו שפת אימו של מי שבנה את האתר) — והיו גם הן במספור רץ. העובדה הזו איפשרה לי להוריד מאות מסמכים, וללא הפרעה מצד הגנת האתר.
ההגנות לא התעוררו גם בכניסה שנעשתה כביכול ממדינה זרה (באמצעות VPN), ולא בכניסות רבות מאותו IP. האתר הכיל גם ממשק כניסה חשוף למסד הנתונים ולנתוני השרת, ואני הצלחתי לקבל את הסריקות בזמן שהן עולות למערכת, ממש בזמן אמת ועוד לפני שחוברו מכתבי הסיכום הרשמיים.
באופן מעניין, באתר החברה היא דווקא מתגאה באבטחת המידע של האתר, וכן בשלל הסמכות אבטחה ועמידה בתקני אבטחה נוקשים, שאפילו למתכנתים מנוסים קשה מאוד לעמוד בהם. איך ייתכן שחברה עם כל כך הרבה הסמכות כשלה באופן בסיסי כל כך.
מ-Vision Erc נמסר: "החברה מייחסת לנושא אבטחת המידע חשיבות עליונה, וכל היבט, מניעתי או בזמן אמת, מטופל באופן מיידי ובלתי מתפשר, בידי חברת אבטחת המידע החיצונית אשר אמונה על תחום זה. אתר החברה מאובטח ברמה גבוהה והוא נבדק תדיר. ככל שהתגלה או יתגלה מקום לשיפור, הרי שזה יוטמע ללא דיחוי.
"שירות הפיענוחים הדחופים שהועמד לרשות מכוני הדימות התגלה כיעיל ומועיל, במיוחד בזמן מלחמה, וסייע רפואית למי שביקש ממכוני הדימות להיעזר בו, בהם מוגבלי הניידות ומקרי החירום — ועל כך גאוותנו. בעניינו, האתר נחסם באופן מיידי ובוצעה בדיקה מקיפה לכל תקלה טכנית כלשהי, ככל שאירעה כזו, הוגברה רמת האבטחה, וזאת מבלי שלמעשה אירע דבר, ומבלי שחלילה דלף או נחשף מידע כלשהו, ונקודה זו ראויה להדגשה.
"חברתנו תוסיף ותעמיד לרשות לקוחותיה שירותים רפואה מתקדמים בסטנדרט הטכנולוגי הגבוה ביותר והמאובטח ביותר, ותוסיף להעמיד שירות זה במיוחד בעת מלחמה שבו ציבור המטופלים נזקק לו ביותר" (דה מרקר)
