מחקר: זיוף של מקור השיחה מאפשר גישה מרחוק לתיק רפואי בקופת חולים
חוקר ישראלי בשם אמיתי דן חושף כשל בתחום הפרטיות בגישה מרוחקת לתיק רפואי במרבית קופות חולים באמצעות שימוש במערכת הIVR. הכשל דווח על ידי דן למערך הסייבר ורשות הפרטיות
עמי רוחקס דומבה
| 21/04/2020
צילום מסך מתוך מסמך המחקר של אמיתי דן.
חוקר ישראלי בשם אמיתי דן חושף כשל בתחום הפרטיות בגישה מרוחקת לתיק רפואי במרבית קופות חולים. על פי דן, רק קופת חולים אחת אינה חשופה למתקפה זו. בעקבות משבר הקורונה והסגר החברתי, לקוחות קופות החולים תלויים בשירותי מידע שניתן להשיג מרחוק. דן חשף כי שימוש בשיטה פשוטה של זיוף מספר הטלפון ממנו מתקשרים למערכת הממוחשבת של קופות החולים מאפשר גישה לפרטים רפואיים של כל אזרח.
המתקפה דורשת מספר שלבים. הורדת אפליקציה לשינוי שיחה מזוהה. איסוף מידע בסיסי על הקרבן הכולל תעודת זהות ומספר טלפון. חיוג למספר הטלפון של מערכת הIVR בקופה. הכנסת הפרטים וקבלת קבלת מספר אישור זמני. עם מספר האישור הזמני אפשר לקבל שירות מהקופה, כולל הנפקה חוזרת של מרשמים קבועים וחשיפה למצב הבריאותי של הקורבן כתוצאה מכך.
"לאחר תקופה ארוכה שבה מספר קופות חולים ומשרד הבריאות סירבו לתת מענה לאירוע, הכחישו את הבעיות ופגעו בפרטיות שלכם, אני נאלץ לפרסם מחדל. הנושא דווח גם לרשות להגנת הפרטיות ולרשות הסייבר", כותב דן בפייסבוק. "מערכת ה IVR מספקת שירות קולי תוך בקשה מפורשת להקליד מספר תעודת זהות אשר מעודכנת תחת מספר הטלפון של המחייג, לאחר מכן ניתן אישור זמני לקבלת טיפול על ידי רופא.
"מערכות הנפקת קוד זמני לקופות החולים מבוססות שיחת טלפון ממספר מזוהה, וכך קבלת שירות מלא, לאחר ניפוק מספר הזדהות זמני. על ידי שינוי שיחה מזוהה, התוקף יכול להשיג את המספר הזמני, ולקבל איתו מגוון שירותים פיזיים. בין היתר, מידע על התרופות שהונפקו בתיק הרפואי של בעל מספר הטלפון וניתנות לאיסוף בכל בית מרקחת המחובר למערכות הקופות."
לטענת דן, מדובר על מחדל אבטחה שנוצר בגלל הנחיה לגיטימית של משרד משרד הבריאות, שבמהותה אמרה שיש לאמת את הפציינטים במצבים שבהם אין להם תעודה מזוהה או כרטיס חבר קופה באופן מהימן. "כאמור, שימוש בטכניקת Spoof caller ID בעת חיוג לקופת חולים וקבלת הרשאות לתיק הרפואי. על הקופות לממש באופן מיידי מערכת call back הדורשת בנוסף הקשת סיסמא שמתקבלת בשיחה טלפון/ואו SMS למכשיר הטלפון של הלקוח."
חוקר ישראלי בשם אמיתי דן חושף כשל בתחום הפרטיות בגישה מרוחקת לתיק רפואי במרבית קופות חולים באמצעות שימוש במערכת הIVR. הכשל דווח על ידי דן למערך הסייבר ורשות הפרטיות
צילום מסך מתוך מסמך המחקר של אמיתי דן.
חוקר ישראלי בשם אמיתי דן חושף כשל בתחום הפרטיות בגישה מרוחקת לתיק רפואי במרבית קופות חולים. על פי דן, רק קופת חולים אחת אינה חשופה למתקפה זו. בעקבות משבר הקורונה והסגר החברתי, לקוחות קופות החולים תלויים בשירותי מידע שניתן להשיג מרחוק. דן חשף כי שימוש בשיטה פשוטה של זיוף מספר הטלפון ממנו מתקשרים למערכת הממוחשבת של קופות החולים מאפשר גישה לפרטים רפואיים של כל אזרח.
המתקפה דורשת מספר שלבים. הורדת אפליקציה לשינוי שיחה מזוהה. איסוף מידע בסיסי על הקרבן הכולל תעודת זהות ומספר טלפון. חיוג למספר הטלפון של מערכת הIVR בקופה. הכנסת הפרטים וקבלת קבלת מספר אישור זמני. עם מספר האישור הזמני אפשר לקבל שירות מהקופה, כולל הנפקה חוזרת של מרשמים קבועים וחשיפה למצב הבריאותי של הקורבן כתוצאה מכך.
"לאחר תקופה ארוכה שבה מספר קופות חולים ומשרד הבריאות סירבו לתת מענה לאירוע, הכחישו את הבעיות ופגעו בפרטיות שלכם, אני נאלץ לפרסם מחדל. הנושא דווח גם לרשות להגנת הפרטיות ולרשות הסייבר", כותב דן בפייסבוק. "מערכת ה IVR מספקת שירות קולי תוך בקשה מפורשת להקליד מספר תעודת זהות אשר מעודכנת תחת מספר הטלפון של המחייג, לאחר מכן ניתן אישור זמני לקבלת טיפול על ידי רופא.
"מערכות הנפקת קוד זמני לקופות החולים מבוססות שיחת טלפון ממספר מזוהה, וכך קבלת שירות מלא, לאחר ניפוק מספר הזדהות זמני. על ידי שינוי שיחה מזוהה, התוקף יכול להשיג את המספר הזמני, ולקבל איתו מגוון שירותים פיזיים. בין היתר, מידע על התרופות שהונפקו בתיק הרפואי של בעל מספר הטלפון וניתנות לאיסוף בכל בית מרקחת המחובר למערכות הקופות."
לטענת דן, מדובר על מחדל אבטחה שנוצר בגלל הנחיה לגיטימית של משרד משרד הבריאות, שבמהותה אמרה שיש לאמת את הפציינטים במצבים שבהם אין להם תעודה מזוהה או כרטיס חבר קופה באופן מהימן. "כאמור, שימוש בטכניקת Spoof caller ID בעת חיוג לקופת חולים וקבלת הרשאות לתיק הרפואי. על הקופות לממש באופן מיידי מערכת call back הדורשת בנוסף הקשת סיסמא שמתקבלת בשיחה טלפון/ואו SMS למכשיר הטלפון של הלקוח."
