הבוקר (רביעי) דווח כי פרצה חמורה התגלתה במערכת המשמשת סוכני נסיעות וחשפה מידע על טיסות, בקשות לויזה ומלונות של מיליוני ישראלים, לרבות כתובות מייל שאליהן נשלחים כרטיסי הטיסה – ביניהם בכירים בשירות המדינה ובראשם ראש הממשלה בנימין נתניהו ובני משפחתו.
הפרצה נחשפה באתר ישראלי בשם alp.co.il, המשמש סוכני נסיעות לביצוע הזמנות של טיסות ומלונות. בין החברות שעושות שימוש באתר הן מגדולות חברות התיירות בישראל, לרבות איסתא, הדקה התשעים, גוליבר, השטיח המעופף ועוד, כמו גם ענבל – חברת הנסיעות הממשלתית, האחראית על הזמנת כל הנסיעות לחו"ל של עובדי מדינה.
המערכת של האתר פותחה על ידי חברת אמדאוס, שלוחה ישראלית של חברה שרק בינואר האחרון הייתה מעורבת במחדל אבטחה דומה וחמור – שאפשר לנוסעים לצפות בפרטי טיסות של נוסעים אחרים, ואף לשנות ערכים כמו משקלי מזוודות מותרים או סוג הארוחה המוגש.
החלק המרגיז הוא סוג הפרצה, שכמובן תוקן בינתיים – מדובר בהיעדר הגנה על מסד הנתונים המרכזי ששימש את המערכת, מסוג MySQL, שהיה חשוף לתקיפה ישנה בשם "הזרקת “SQL. ראוי לציין שמדובר בתקיפה בת למעלה מעשור, שכל איש אבטחה מתחיל אמור להכיר בימינו.
המחדל כאן היה כפול: לא רק שמפעילי האתר לא הגנו על בסיס הנתונים האמור, אלא שזה גם היה מחובר לעמודי תדמית באתר המפורסמים ברשת, ושמהם ניתן היה לבצע את המתקפה.
המידע שנחשף כלל פרטים של 36 מיליון טיסות של 15 מיליון נוסעות, למעלה ממיליון הזמנות למלונות ועוד 700 אלף בקשות לוויזה בתוספת סטטוס הטיפול. עוד ציין ההאקר שחשף את הפרצה כי היו שם בנוסף, פרטי חיבור למערכות נוספות, סיסמאות לא מוצפנות ועוד.
ראוי לציין כי עבור גורמי מודיעין זרים וגורמים חורשי רעה מדובר באוצר: לא רק שלוח הזמנים של נסיעות ראש הממשלה ובכירי מערכת הביטחון נחשף, דבר המאפשר לתכנן פגיעה בהם – המידע הזה יכול לשמש גם האקרים למתקפות המשך כמו דיוג ועוד, לצד הפרטים הרגישים הנוספים שהיו חשופים.
מחברת אמדאוס נמסר בתגובה: "ב-20 במאי נודע לחברה על כשל בהגדרות בפלטפורמה של אמדאוס, שבה משתמשות סוכנויות נסיעות ישראליות כדי לקבל הטבות ולבצע הזמנות. בגלל סוגייה זו אפשר היה לזכות בגישה לא מאושרת ולא חוקית למידע".
"צוות האבטחה שלנו נקט בפעולה מידית ותיקן את הבעיה במהירות. באמדאוס, אנחנו נותנים לאבטחה את העדיפות הגבוהה ביותר ותמיד מנטרים ועובדים על שיפור האבטחה של המערכות ושל האפליקציות שלנו".