הזמנתם טיסה לחו"ל? הפרטים שלכם בסכנה
פרצת אבטחה מביכה במערכת אמדאוס, המשמשת חלק ניכר מחברות התעופה בעולם • בין החברות שמשתמשות בשירותי אמדאוס, גם אל-על הישראלית • אל-על: "מתייחסים במלוא הרצינות לדיווח"
חדשות בארץ 17.1.2019 | 13:24
פרטיות ברשת זה כל כך 2019: אחת ממערכות המידע הפופולריות ביותר של חברות התעופה בעולם, היא אמדאוס. החברה מספקת פתרונות טכנולוגיה בתחום התיירות והנסיעות, והיא עובדת עם חברות רבות מכל רחבי העולם.
נתח השוק של אמדאוס, מגיע ללמעלה מ-40% והיא נחשבת לספקית החזקה בתחום. החברה עצמה מגלגלת מיליארדים רבים בכל שנה ומחזור המכירות שלה עומד על כמעט 6 מיליארד אירו. מבין 16,000 עובדי החברה ברחבי העולם יש גם כמה בישראל שמרכזים את הפעילות השוטפת של אמדאוס מול חברות התעופה וסוכני הנסיעות השונים.
גם חברת אל-על הישראלית, משתמשת במערכת של אמדאוס בכל עניין הזמנת כרטיסי הטיסה דרך הרשת. כאשר הם סומכים ובטוחים על אמינות ובטיחות המידע, אותו מזינים למערכת האנשים השונים.
כעת נחשף, כי בצורה פשוטה ביותר ניתן היה לעקוף את כל מערכות ההגנה של אמדאוס, ולעשות כמעט הכל במערכת, וזאת בצורה פשוטה מאוד.
למעשה, כל אדם שמזמין כרטיס טיסה, מקבל במייל לינק לאישור הרכישה, כאשר באל-על (ובעצם בכל המערכות והחברות שעובדות עם אמדאוס) הוא מקבל גם מספר זיהוי, איתו אפשר לנהל את ההזמנה ולשנות את פרטיה, גם שלא באתר אל-על.
בדיקה פשוטה העלתה, שכאשר משנים את מספר הזיהוי שינוי קל, הרי שניתן להגיע לפרטי ההזמנות של נוסעים אחרים.
מלבד הפרטים האישיים של כל נוסע ונוסע שיכולים להיחשף בקלות. הרי שכאשר מגיעים לפרטי ההזמנה של הנוסע, ניתן לשנות דברים שונים בטיסה, כמו מושב, כבודת יתר, ואפילו להזמין אוכל כשר לאותו נוסע.
מדובר בפרצת אבטחה חמורה, שטכנית אם היו מריצים תוכנה ש"מריצה" מספרים בתוך המערכת, סביר להניח שהייתה יכולה לשאוב את כמעט כל הפרטים של כל נוסעי אל-על שפרטיהם שמורים במערכת האינטרנטית של אמדאוס.
מי שחשף את הפרצה המביכה הוא נועם רותם, חוקר אבטחה ישראלי, שפנה לאל-על ואמדאוס עם הממצאים המביכים וחיכה לתגובתן.
אמדאוס מסרו בתגובה כי אבטחת המידע היא בעדיפות עליונה, וכי הם מעדכנים את המערכות שלהם בכל הזמן "הצוותים הטכניים שלנו פעלו מיידית ואנחנו יכולים לאשר כעת שהסוגיה נפתרה. כדי לחזק את האבטחה, הוספנו Recovery PTR כדי למנוע ממשתמשים זדוניים גישה למידע הפרטי של הנוסעים. אנחנו מתנצלים על כל אי נוחות שעלולה היתה להיגרם בגלל המצב הזה", מסרו באמדאוס.
ב'אל-על' מסרו בתגובה לפנייתו של רותם, כי "אל על קיבלה פניה מלקוח של החברה המתמחה בתום הסייבר ממנה עולה חשש לליקוי אבטחת מידע. הלקוח מסר כי לא עשה ואינו מתכוון לעשות שימוש במידע אליו נחשף וכי מטרת הפניה הינה בחינת הליקוי במטרה לתקנו. החברה התייחסה במלוא הרצינות לדיווח וביצעה בדיקות מיידיות אשר לאחריהן פנתה לדרגים הבכירים של ספק המערכת שנרתם ותיקן את הליקוי בזמן קצר".
עוד הוסיפו ב'אל על', כי "מדובר במערכת בעלת רמת אבטחה גבוהה המשמשת חברות תעופה רבות בעולם. אל על מייחסת חשיבות רבה לאבטחת מידע ולהגנה על מאגרי המידע שלה ומשקיעה משאבים רבים בתחום".
