חברת אבטחת המידע הישראלית MADSEC סקיוריטי דיווחה היום כי מרבית לקוחות בזק ו-HOT, פרטיים ועסקיים וכן חברות העושות שימוש בנתב (router) מתוצרת חברת TP-Link הסינית, הפופולרית מאוד בישראל, חשופים לסכנת פריצה מוחשית (exploit) של האקרים העלולה להוביל לגניבת מידע חסוי ויקר ערך, המוערך במיליוני ש"ח.
סכנת הפריצה לראוטר האלחוטי של החברה, מדגם TL-WR841N נתגלתה עלי ידי מתן אזוגי, מנהל צוות בדיקות אבטחה בחברת MADSEC סקיוריטי ובעזרתה ניתן בקלות לגנוב את החשבונות והסיסמאות המאוחסנות בנתב.
הפרצה, המוגדרת כפירצת Local File Inclusion (LFI), נמצאת בממשק הניהול, מבוסס הרשת ומאפשרת שליפת קובץ הסיסמאות מהנתב ללא צורך בשם משתמש וסיסמה, דבר המאפשר לתוקף זדוני לפצח את סיסמת האדמיניסטראטור (המשתמש הראשי) וכך לשלוט בנתב. לאחר קבלת השליטה על הנתב יכול התוקף להשיג שליטה מלאה על הרשת כולה.
דורון סיון, מנכ"ל חברת MADSEC סקיוריטי ומומחה אבטחת מידע, אמר: "מדובר בפרצה מסוכנת ביותר משתי סיבות: הראשונה הינה הקלות בה ניתן לבצעה והיכולת לפרוץ לרשתות של חברות ואנשים פרטיים ולגנוב משם מידע חסוי והשנייה קשורה להיקף הנרחב של נתבים מסוג זה במאות אלפי בתי אב ומשרדי חברות בישראל.
כחברת אבטחת מידע, העוסקת מדי יום באיתור פגיעויות בתחום תשתיות התקשורת ומתן שירותי אבטחה במערכות שליטה ובקרה, אנו נתקלים מדי יום בניסיונות הולכים וגוברים של האקרים לפרוץ לרשתות ולגנוב מידע עסקי, אישי ולעיתים אף רגיש מבחינה ביטחונית ועוסקים במתן פתרונות למניעת נזקים שעלולים להסתכם במיליוני ש"ח".
התקלה דווחה לחברת TP-Link ופורסמה באתרים של אבטחת מידע והאקרים, דוגמת:
[קישור].
על MADSEC סיקיוריטי
חברת MADSEC סקיוריטי הינה חברה מובילה בתחום אבטחת המידע בישראל.
החברה מספקת ללקוחותיה פתרונות מתקדמים בתחום הייעוץ. סל השירותים של החברה כולל בין היתר: מבדקי חוסן אפליקטיביים, מבדקי חוסן תשתיתיים, סקרי סיכונים, ניהול סיכונים וייעוץ ליווי וניהול פרויקטים באבטחת מידע . בחברה מועסקים מומחים בעלי ניסיון רב והסמכות רבות בתחום אבטחת המידע.
לקוחות נבחרים של החברה כוללים את: אחים עופר, עיריית ירושלים, חברות בבעלות
סטף ורטהימר, מלם תים, משרד התמ"ת, אלביט מערכות, תמה, גטר טק, exlibris ועוד.
מנכ"ל החברה, דורון סיון, הינו מומחה אבטחת מידע ומחבר ספרים בנושא, שהבולט בהם הינו רב המכר "מדריך אבטחת מידע והגנה בפני האקרים" בהוצאת הוד-עמי.