האם אתרי הבנקים מסכנים את הלקוחות שלהם?

לפי בדיקה שערך הבלוגר וההאקר רן בר-זיק, כמה מאתרי המוסדות הפיננסיים עלולים לאפשר ניטור של התקשורת בינם לבין הלקוחות • בנק מזרחי-טפחות קיבל ציון נכשל בטיפול בנושא, ותיקן זאת בעקבות פניית "גלובס"  • הבעיה התגלתה גם באתר ישראכרט, אך לדבריה מדובר בטעות של מערכת הבדיקות

קמפיין מזרחי טפחות/ צילום: מסך
קמפיין מזרחי טפחות/ צילום: מסך

קוראים את "גלובס" בדפדפן, דרך הנייד או המחשב? אם תציצו לשורת הכתובת, תראו שכתובת האתר מתחילה ב-https, ויש לידה אייקון של מנעול. בעבר כתובת רוב אתרי האינטרנט החלה ב-http בלבד, ללא s, האות הראשונה של המילה Security, אלא שכיום האתרים נדרשים לעמוד בתקן האבטחה המעודכן. משמעותו היא שהתקשורת בין הדפדפן לבין השרתים שמאחסנים את האתרים שאליהם אתם גולשים - מאובטחת. לכאורה, אף אחד לא יכול לצותת לה, להציג דרכה מידע שגוי, להונות את הגולש ולהפנותו לאתרים זדוניים.

הבלוגר ומומחה אבטחת המידע רן בר-זיק מפרסם מעת לעת סיפורים של פרצות אבטחה המתגלות במערכות של גופים במשק הישראלי. בדיקה מקרית שערך לאחרונה העלתה שכמה מהאתרים של בנקים וחברות כרטיסי אשראי בישראל אמנם מכילים את סמל המנעול, אולם מנגנון ההצפנה שבו משתמשים אותם אתרים מאחורי הקלעים אינו מעודכן, וכתוצאה מכך רמת ההצפנה של התקשורת בין מחשבי הלקוחות לבנקים אינה מיטבית.

הבדיקה בוצעה באמצעות כלי פומבי, שכל אחד יכול להשתמש בו כדי לבדוק את רמת האבטחה של כל אתר. פשוט נכנסים לכתובת ssllabs.com, ומקלידים את כתובת האתר שמבקשים לבדוק. אתר הבדיקות יוצר קשר עם שרתי האתר, מספק תוצאות מפורטות לבדיקה ובסופה ציון מסכם בין A ל-F. המשמעות של ציון נמוך מ-A הוא שתעודת האבטחה של האתר שקובעת את רמת ההצפנה של התקשורת אינה מעודכנת, ולכן התקשורת בין הגולש לאתר חשופה יותר לפריצה.

בבדיקה שערך בר-זיק נמצאו כמה אתרים של חברות אשראי ובנקים שקיבלו ציונים נמוכים. אתרי הבנק הבינלאומי, הפועלים, דיסקונט ולאומי קארד קיבלו ציון B, ואילו האתרים של בנק מזרחי-טפחות וישראכרט קיבלו ציון נכשל - F. למען הסר ספק - ההתראות על חולשת האבטחה הועברו למוסדות המוזכרים ואלה תיקנו את הדרוש תיקון. ציון A קיבלו האתרים של בנק לאומי, בנק אגוד, ויזה כאל, בנק ירושלים ובנק יהב.

אתר בנק מזרחי־טפחות./  צילום מסך
 אתר בנק מזרחי־טפחות./ צילום מסך

לדברי מומחה אבטחת מידע ששוחחנו עמו, המכיר את הנושא מקרוב, "סיכון האבטחה לאתרים בעלי ציון B עד D קיים אך מינימלי, משום שקשה לנצלו. לעומת זאת, רמת הסיכון של אתרים שקיבלו ציונים נמוכים יותר חמורה מאוד משום שאף על פי שדרושה רמת תחכום מסוימת, עדיין מדובר בחולשות קלות לניצול". עם זאת ציין המומחה כי בחלק מהמקרים השימוש בתעודות אבטחה שאינן מעודכנות נעשה בכוונה וביודעין, כדי לאפשר תאימות ללקוחות שמשתמשים במערכות הפעלה ישנות. במקרים כאלה מפעילים מומחי אבטחת המידע שכבות הגנה אחרות כדי לפצות על חולשת האבטחה של האתר.

ממזרחי-טפחות נמסר בתגובה כי "מתבצעות בדיקות אבטחה על איכות תעודת ההצפנה של האתר בצורה רציפה והחלפת התעודות ותחזוקתן מבוצעת בצורה שוטפת. מרגע שהתוודענו לנושא טיפלנו בו. לא היה בשום שלב סיכון מהותי ללקוחות הבנק".

ישראכרט, מצדה, גורסת שהמקרה שלה שונה. לדבריה, באתר החברה "אין ולא הייתה בעיית אבטחה או חשיפה הנובעות מחולשה בתעודות ההצפנה". לפי חברת האבטחה F5, המנהלת את התעודות, הבעיה טופלה עוד בדצמבר האחרון, ואיתור החולשה כעת נבע מזיהוי שגוי של אתר הבדיקות. עם זאת, כדי למנוע את הישנות המקרה, עדכנה החברה בשבועיים האחרונים את תעודות ההצפנה. בדיקה חוזרת העלתה כי היא אכן מקבלת כעת את הציון המקסימלי.

האתרים שדורגו בציון B השיבו לפניית "גלובס" כי הנושא מוכר להם. מלאומי קארד נמסר כי "עדכון התקן מתבצע מעת לעת בהתאם למדיניות אבטחת המידע שלנו וכחלק מתכנית העבודה. לקוחותינו יכולים להמשיך לגלוש בבטחה". הבינלאומי מסר כי "עדכון מתוכנן להתבצע בקרוב, אם כי גם המצב שנדגם מהווה ממצא שולי בלבד מבחינת אבטחת מידע בהתחשב במנגנוני ההגנה והבקרה הנוספים שמופעלים במערכות".

דיסקונט והפועלים ציינו כי הם מבקשים להנגיש את השירותים הדיגיטליים גם למי שאינם מחזיקים במכשירים המתקדמים ביותר, ועל כן מיישמים מנגנוני אבטחה המפצים על כך שתקן ההצפנה אינו המתקדם ביותר שבנמצא. לדברי שני הבנקים, מצב זה אינו מציב סיכון של ממש.