כך איפשרה אורנג’ לחשוף חרדים שהשתמשו במכשירים לא כשרים

נחמן וייס
|
ו' ניסן התשע"ד / 06.04.2014 17:06
בלחיצת כפתור יכל כל אדם לקבל מידע על קו פלאפון של אדם אחר בחברת אורנג’ • חשש במגזר החרדי: האפשרות העניקה חשיפה לכל מי שהשתמש בסתר במכשיר “לא כשר” • פרטנר: “מדובר במקרה יחידני”

חוקר אבטחת מידע, אמיתי דן, גילה היום כי כלי של חברת אורנג’ איפשר לחשוף חרדים המשתמשים במכשירי טלפון שאינם כשרים. לדבריו, הדבר אפשר גם לאסוף מודיעין על טלפונים של חברות ועל טלפונים שמותקנים בכלי רכב. לאחר הדיווח של דן, החברה חסמה את האפשרות להשתמש בכלי ללא פרטי זיהוי ייחודיים.

העיתונאי עודד ירון מ’הארץ’ שחשף את הסיפור מסביר, כי על-פי החוקר, המערכת המדוברת, שנבנתה בכלל לצורכי שירות מכירת הספרים של אורנג’, שימשה כדי לזהות את מכשיר המשתמש. אבל המערכת, תחת הכותרת ‘portalXml Web Service – Orange’, אפשרה לכל מי שהגיע אליה לערוך חיפוש לפי מספר טלפון ולגלות איזה מכשיר משוייך למספר.

בחברת אורנג’ הדגישו כי המערכת לא הייתה חלק גלוי מאתר החברה, ולא ניתן היה להגיע אליה בלינק ישיר מתוכו. אך דן הדגים כיצד הגיע אליה באמצעות חיפוש פשוט בגוגל אחר המחרוזת “msisdn.co.il”. המונח msisdn מתייחס פשוט למספר הטלפון. כלומר, כל אחד שיודע את מספר הטלפון של אדם אחר, יכול היה לגלות איזה מכשיר משוייך אליו בחיפוש פשוט – אם רק ידע מה לחפש.

דן הסביר כי האפשרות הזו יכולה לשמש תוקפים בכמה מקרים – כאשר תוקף מעוניין לחדור לטלפון של לקוח מהשורה, הידע על סוג הטלפון שלו יכול מאוד להועיל לו כדי לדעת עם מה הוא מתמודד. עוד הוסיף עוד כי הידע על דגם הטלפון יכול לסייע למי ששם על הכוונת חברות או ארגונים שמשתמשים במה שמכונה “קומת מספרים” – כלומר קבוצה של מספרי טלפון עוקבים שרק הספרות האחרונות שלהם שונות.

עם פרסום הדבר עולה חשש גדול במגזר החרדי, בעקבות האפשרות שהעניקה חשיפה לכל מי שהשתמש בסתר במכשיר “לא כשר”.

מחברת פרטנר נמסר בתגובה: “מדובר במקרה יחידני אשר טופל באופן מיידי עם היוודעו כבר לפני למעלה מחודשיים. יש להדגיש, כי הקישור המדובר אינו חלק מאתר החברה וניתן להיכנס אליו באמצעות פרטי זיהוי יעודיים בלבד.”