בקרוב בנטפליקס? אסיר השתלט על עמדות מחשב בבית חולים וגרם בלגן שלם. הסיפור שלא יאמן!
בקרוב בנטפליקס?
אסיר בבית סוהר ברומניה נשלח לבית החולים לאסירים בעיר Dej עבור טיפול רפואי, אבל הצליח לעשות שימוש בעמדות המחשוב שבבית החולים ולגרום לבלגן שלם.
הסיפור מתחיל באוגוסט אז נשלח האסיר מבית הכלא לבית החולים לאסירים עבור קבלת טיפול רפואי.
האסיר, שכלוא היה בשל עבירות מחשב שונות, ניגש לאחד הקיוסקים (עמדות מחשוב) בבית החולים והתחבר משם למערכת בשם ANP המשמשת אסירים בפעולות שונות (כגון הגשת בקשות לצפיה בקבצים מסויימים, לפדות ימי חופש על ידי ביצוע עבודות, להוסיף כסף לחשבון בנק המשמש את האסיר ועוד)
האסיר גילה כי הטאבלט ממנו התחבר למערכת מאפשר לו לצאת מהממשק של מערכת ANP ולעשות שימוש באפליקציות נוספות בטאבלט, הוא פתח את הדפדפן, חיטט קצת ברשת וגילה מדפסת רשת שניתן לגשת לממשק הניהול שלה.
מתוך ממשק הניהול הוא הצליח לשלוף לוגים כשאלו כוללים גם שמות משתמשים וסיסמאות.
האסיר לקח חלק מנתוני ההזדהות וניסה לעשות בהם שימוש במערכת ANP וגילה לתדהמתו כי לא רק שהוא מצליח לבצע הזדהות עם אחד החשבונות, אלא שמדובר בחשבון של מנהל בית כלא לשעבר(!) מה שלמעשה העניק לו גישת ניהול מלאה למערכת.
כמו כל אסיר טוב, האסיר שיתף את המידע הזה עם אסירים נוספים שהיו איתו בבית החולים, אך מאחר והשהות בבית החולים לאסירים הייתה קצרה לא נעשה שימוש נוסף בחשבון זה.
אבל זה לא נמשך לאורך זמן…
אחד האסירים שקיבל את המידע מהאסיר המקורי, חזר מבית החולים לבית הכלא בו הוא שוהה וניסה לעשות שימוש עם פרטי שם המשתמש שקיבל מהאסיר בבית החולים.
להפתעתו פרטי המשתמש של מנהל בית הכלא לשעבר עבדו גם בבית הכלא שלו, זאת מאחר ומערכת ANP היא מערכת לאומית שמשמשת מספר בתי כלא.
בקיצור לאסיר יש עכשיו הרשאות ניהול מלאות על מערכת ANP…
האסיר ניצל את הגישה כדי לפתוח במסע של מתן הרשאות, שינוי הגדרות ועוד, כשהדבר הראשון היה להעניק לכל האסירים גישה לאתרי פורנו…
לאחר מכן הוא ניגש למערכת הפיננסית והתחיל להוסיף סכומים בחשבונות של אסירים, למחוק כספים מחשבונות של אסירים אחרים ועוד.
למעשה הוא כ”כ הגזים עם שינוי הנתונים כאשר לחלק מהאסירים פתאום היו בחשבון סכומים של מיליון דולר ומעלה.
האסיר לא נרגע והחליט לקחת את זה צעד קדימה תוך שהוא משנה אפילו את הערכים הקשורים לשחרור מוקדם של אסירים.
בסה”כ שינה האסיר מידע לכ-15 אסירים עד שנתפס תוך שהצליח גם לבזבז אלפי דולרים בתוך בית הסוהר על שירותים ומוצרים שונים.
התעלול נמשך כחודשיים, זאת עד עד שרואי החשבון/בנקאים שמו לב לאי התאמות בחשבונות הבנק של האסירים ולאחר חקירה קצרה התברר המחדל.
עם זיהוי האירוע השביתו בבית הסוהר את כל עמדות המחשוב. והתברר כי הפריצה התרחשה בעוד שני בתי סוהר נוספים.
מפה לשם, הרשויות במדינה כועסות עכשיו על בתי הסוהר שלא זיהו את הפריצה, זאת למרות שהאסירים השונים היו מחוברים למערכת עם הרשאות ניהול כ-300 שעות במצטבר ולמרות שהגיעו דיווחים על הפריצה ממקורות שונים אך אלה זכו להתעלמות…
קרדיט: חדשות סייבר – ארז דסה קרדיט לתמונות: רשתות חברתיות