מבקר המדינה פרסם היום (שלישי) דו"ח על אבטחת המידע של מערך הגיור במשרד רה"מ. נמצא שבבדיקה שנעשתה למערכת התגלו 21 ליקויים. רוב הליקויים נוגעים ל"איום פנימי", כלומר איום פוטנציאלי מצד משתמשים בעלי הרשאת גישה למערכת.
התחום הבעייתי הראשון קשור להנפקת תעודת המרה (גיור) כוזבת. משתמש בעל הרשאה בדרגה הבסיסית הצליח להנפיק תעודת המרה כוזבת. כן הצליחו הבודקים עם הרשאה בסיסית לעשות שינויים כגון שינוי בהחלטתו הכתובה של בית הדין לאשר את המשך הליך הגיור ולציין במקומה שהוחלט לבטל את הגיור.
צוות הביקורת דימה תוקף זדוני והצליח באמצעותו לעשות שינוי בתהליך, העלול להביא לאישור גיור של מתגייר בעל פרטים שונים מפרטיו האמיתיים. בתרחיש אחר הוסף למערכת הגיור מוסד שבו למד המתגייר ללא ציון כמות השעות שנלמדו. הצוות גם הצליח להוסיף לתיק הגיור פרטי מכר, שלא קיים או איש קשר ללא שם.
נמצא גם שהמערכת מאפשרת לשלוח טופסי "בקשה לפתיחת תיק גיור" ללא הגבלה, וכך להציף אותה ולפגוע ביכולת שלה לספק שירות.
המערכת גם מאפשרת למשתמשים לשלוח מספר בלתי מוגבל של הודעות דוא"ל מהדומיין (domain) שלה, כלומר ממערך הגיור, ובכך לגרום לזיהויו של הדומיין כמקור ל"דואר זבל" ולחסום קבלת דוא"ל ממנו. כן תוקף יכול לבצע הזרמה רבה של מידע ופעולות ולצמצם את המקום הפנוי בבסיס הנתונים של המערכת. התוקף יכול גם להוסיף רשומות ובקשות נתונים חדשות בכמות גדולה בתיקים קיימים, וכך למנוע מהמערכת לספק שירות.
מבקר המדינה: מפונים גרים בתנאים מחפירים, מיגוניות שבהן נרצחו אזרחים הפכו לאתרי הנצחה מסוכנים
חוב של 146 מיליון שקלים: המפלגות לוקחות כסף - ויש חשש כבד שלא יחזירו | הסכומים המלאים
פרסומת | דור ההמשך: בוגרי נבחרות המדעים מגדלים את מדעני העתיד
רבנים בארץ ובארה"ב שוקלים: לאסור גיור על משתתפים בהפגנות נגד ישראל
בתשובה לביקורת ציין מערך הדיגיטל הלאומי שהטופס הקיים של מערכת הגיור נמצא במערכת הטפסים הישנה של המערך וכי משרד רה"מ נדרש להעביר אותו למערכת הטפסים החדשה. משרד רוה"מ ציין בתשובתו ממרץ 2024 את פעולותיו לתיקון הליקויים ומשרד המבקר מציין לחיוב פעולות אלו.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו