מערך הסייבר הלאומי קורא לציבור ולגופים המאמתים: הפסיקו לאלתר להשתמש בתאריך הנפקה כאמצעי אימות.
כבר שנים שתאריך הנפקת תעודת הזהות משמש כאחד מאמצעי האימות ה"קלאסיים" במערכות שונות – החל משירותים ממשלתיים, דרך בנקים ומוסדות פיננסיים, ועד ספקי תקשורת ושירותים מקוונים. השימוש בו, יחד עם מספר תעודת הזהות (ת"ז), אמור היה להוכיח שאכן מדובר באדם הנכון. אולם, המציאות של 2025 היא שונה, ומערך הסייבר הלאומי בישראל מפרסם אזהרה חמורה המורה להפסיק באופן מיידי את השימוש בפרט זה כאמצעי אימות.
הסיבה פשוטה ומטרידה: תאריך ההנפקה הוא פרט סטטי, גלוי ופרוץ. הוא לא עומד בשום תקן אבטחת מידע מודרני והפך ל"נקודת תורפה" שכל האקר מתחיל יודע לנצל.
מדוע תאריך ההנפקה מסוכן כל כך? בניגוד לסיסמה או לקוד חד-פעמי (OTP) שנשלח לטלפון, תאריך ההנפקה הוא נתון שאינו משתנה לעולם. מרגע שהונפקה התעודה, התאריך קבוע. אבל החמור מכל, הוא קל להשגה באופן מפתיע.
בעידן של דליפות מידע המוניות (Data Breaches), בהן נגנבים מיליוני רשומות המכילות פרטים אישיים כגון שמות מלאים, מספרי ת"ז, כתובות ואפילו תאריכי לידה – הנתונים הללו כבר נמצאים ברשת, לעיתים במאגרי מידע פיראטיים הנמכרים בכסף קטן ברשת האפלה (Dark Web).
כשפורץ מחזיק במספר ת"ז ובפרטים אישיים נוספים (אותם הוא יכול להשיג גם דרך הנדסה חברתית, פישינג או חיפוש פשוט ברשתות חברתיות), הוא זקוק רק ל"מפתח" נוסף כדי לעבור את מחסום האימות הראשוני – ותאריך ההנפקה הוא בדיוק המפתח הזה.
"האקרים כבר יודעים לנצל את זה! זה לא 'פריצה' מתוחכמת, זו דלת פתוחה. ברגע שיש לך את מספר התעודה ואת תאריך ההנפקה, אתה יכול להתחזות לאדם, לשנות סיסמאות, לבצע פעולות פיננסיות ולקבל מידע אישי ורגיש," מסביר מומחה אבטחת מידע בכיר.
במונחי אבטחת מידע, תאריך הנפקה נופל בקטגוריית "משהו שאתה יודע, וגם כל העולם יכול לדעת". מערכות אימות חייבות להסתמך על שילוב של גורמים שונים כדי להבטיח את זהות המשתמש:
- משהו שאתה יודע (כמו סיסמה חזקה או קוד סודי).
- משהו שיש לך (כמו טלפון נייד המקבל קוד אימות חד-פעמי, מפתח חכם, או אפליקציית אימות).
- משהו שאתה (כמו טביעת אצבע או סריקת פנים – אימות ביומטרי).
שימוש רק במספר ת"ז ותאריך הנפקה הוא למעשה שימוש בשני פרטים ששניהם, הלכה למעשה, גלויים ויכולים להיות מושגים בקלות יחסית. זהו כשל אבטחתי חמור.
הקריאה של מערך הסייבר הלאומי היא חד-משמעית:
- לגופים המאמתים (בנקים, משרדי ממשלה, חברות): הפסיקו באופן מיידי להסתמך על תאריך הנפקה כשלב אימות מרכזי או יחיד. עברו לשיטות אימות חזקות יותר, כגון אימות רב-שלבי (Multi-Factor Authentication – MFA), בו המשתמש נדרש להזין קוד הנשלח לטלפון שלו לאחר הזנת פרטי זיהוי בסיסיים.
- לציבור הרחב: היו מודעים לסיכון. אם אתם נדרשים להזין את תאריך ההנפקה, חשבו פעמיים מי עומד מולכם. אם גוף כלשהו מאפשר לכם לשחזר סיסמה או לבצע פעולה רגישה באמצעות ת"ז ותאריך הנפקה בלבד – דעו שמערכת האבטחה שלו לקויה
מציאות הדיגיטלית הנוכחית, בה כל הפעולות שלנו נעות לרשת, גניבת זהות היא אחד מהאיומים החמורים ביותר. התחזות עלולה לאפשר לפורץ לפתוח חשבונות, לקחת הלוואות, לשנות פרטי קשר, ולגרום לנזק פיננסי ואישי עצום.
המעבר לפתרונות אימות חזקים, כגון שימוש באפליקציות אימות (כמו Google Authenticator), קוד חד-פעמי (OTP) או מפתחות אבטחה חכמים אינו בגדר מותרות – הוא הכרח בסיסי להגנה על חיינו הדיגיטליים.
לסיכום: האזהרה של מערך הסייבר הלאומי מציבה מראה בפני גופים רבים בישראל: פרקטיקת האימות הישנה של ת"ז + תאריך הנפקה התיישנה והפכה לנטל אבטחתי. הגיע הזמן להיפטר מהכלי הפרוץ הזה, לעבור לשיטות אימות בטוחות יותר, ולהקשות משמעותית על עבודתם של ההאקרים.
הצעד הבא: אם הגוף המעניק לכם שירות עדיין משתמש באמצעי אימות זה, דרשו שינוי. בטחונכם הדיגיטלי מתחיל במודעות ובדרישה לסטנדרטים גבוהים יותר.
