"80% מאתרי המסחר בישראל לא עומדים בתקן"
כל האתרים שנפרצו אינם מיישמים תקן אבטחה מחמיר שהיה מונע, קרוב לוודאי, את גניבת פרטי כרטיסי האשראי מהם. למרות זאת, ממשיכות חברות האשראי לעבוד עמם ומסתפקות בהערכה עצמית של האתרים לגבי עמידתם בתקן. דובר המשטרה: הגשנו תלונה לאינטרפול
כל האתרים שנפרצו על ידי ההאקרים, שפרסמו את פרטי כרטיסי האשראי באופן גלוי ברשת, השתמשו בשירותי הסליקה של ישראכרט - כך נודע ל"כלכליסט". מאז הפרסום על הפריצה טענו חברות כרטיסי האשראי ומומחים שונים כי האחריות
מוטלת רק על האתרים שמהם נגנב המידע, ולא על חברות האשראי, שכל המידע בבסיסי הנתונים שלהן מאובטח. ואולם ממידע שהגיע ל"כלכליסט" עולה שלפחות לאחת מהן יש לכאורה אחריות, ולו עקיפה.
נוסף על כך, שי בליצבלאו, מנכ"ל חברת האבטחה מגלן, סיפר ל"כלכליסט" כי בחיפושיו אחר ההאקרים הגיע לאתר חבוי הכתוב בערבית, ובו קובץ שכלל את פרטיהם של עשרות אלפי כרטיסי אשראי נוספים. עם זאת, קובץ זה עדיין לא הודלף. הוא כולל גם כרטיסי אשראי ישראליים, אך היקפם מתוך המאגר אינו ידוע. בליצבלאו ציין כי הקבוצה העומדת מאחורי הפריצה כוללת לפחות שלושה האקרים, שאחד מהם נמצא בקרואטיה והאחרים משתמשים בכתובות IP של כווית וערב הסעודית.
דובר משטרת ישראל, אלון לבבי, אמר בעקבות פניית "כלכליסט" כי הוגשה תלונה בעניין למחלקת פשעי המחשב של האינטרפול.
התקן הבינלאומי מחמיר
פרט לפעילותה כמנפיקת כרטיסים, משמשת ישראכרט גוף סליקה של כרטיסי אשראי, וככזה היא יכולה לסלוק גם כרטיסים שהנפיקו מתחרותיה - ויזה כאל ולאומי קארד. פעילות זו נעשית באישור חברות האשראי הבינלאומיות, ויזה ומסטרקארד, המצריך עמידה בתקנים מחמירים ביותר. בין השאר, מחויבת חברת הסליקה לעבוד רק עם אתרי קניות מקוונים שמיישמים את תקן PCI DSS (Payment Card Industry Data Securiy Standard). מדובר בתקן מחמיר במיוחד ומורכב ליישום, שמאלץ את האתר לאכוף אבטחת מידע בשכבות מרובות - באתר, בבסיס הנתונים, באופן אחסון המידע ובשימוש במוצרי הגנה. יישום התקן משפר את אבטחת המידע באתרים לרמה של יותר מ־99%.
חברות האשראי הישראליות החלו ליישם את התקן בהדרגה, והמועד האחרון ליישור הקו עם תנאיו המחמירים הוא במרץ הקרוב, שלאחריו חברות האשראי יסרבו לעבוד עם אתר שאינו עומד בתקן. כל האתרים שהחלו לעבוד עם ישראכרט בחודשים האחרונים כבר נדרשים לעמוד בתקן, אך אתרים שכבר עבדו עמה קודם קיבלו ארכה עד מרץ להתאים את עצמם לתקן.
לפי מידע שהגיע ל"כלכליסט" נראה כי אף אחד מהאתרים שנפרצו לא יישם את תקן PCI המחמיר, שלדברי מומחי אבטחה היה כנראה מונע את הגניבה הנוכחית. לדברי מקור בתחום, עובדה זו צפויה למשוך עתה את תשומת לבן של חברות האשראי הבינלאומיות. רק לפני כחודשיים קנסו ויזה העולמית ומסטרקארד את ויזה כאל הישראלית בסכום של 18 מיליון שקל, בגין בעיות בסליקה של אתרי הימורים ופורנו.
"ישראל מפגרת באבטחה"
בנימין ברוך, מומחה אבטחת מידע בחברת אינפיניטי יועצים, אמר ל"כלכליסט" כי שוק המסחר המקוון בישראל סובל מכשלים רבים מסוג זה, שאינם אופייניים רק לישראכרט או לאתרים שנפרצו. "בשוק המסחר המקוון, ישראל מפגרת בכל מה שקשור לאבטחה של זהויות, ושמירה והגנה על פרטים אישיים וכרטיסי אשראי", הוא אמר.
לדבריו, הסיבה לכך היא "אכיפה רעועה" מצד חברות האשראי כולן: "80% מאתרי המסחר אינם עומדים בתקן. האכיפה לא מתבצעת כמו שצריך. חברות האשראי לא ברורות מספיק, ואין להן מספיק מידע כדי לעזור לארגונים לעמוד בתקן. האתרים מקבלים טופס הערכה עצמית כדי שהם יעמדו בתקן כביכול ויוכלו לקבל שירותי סליקה. ברגע שממלאים את הטופס ומגישים לחברות האשראי - בזה נגמרת האכיפה. רק ארגונים שסולקים יותר מ־6 מיליון עסקאות בשנה נאכפים בצורה מלאה".
ברוך הביא דוגמה נוספת להתנהלות בעייתית שנובעת מאי־אכיפת התקן המחמיר. "רבים מהאתרים קיבלו הוראה מחברות האשראי לאסוף CVV (קוד ביטחון של שלוש ספרות בגב הכרטיס) בעמוד החיוב", הוא סיפר. "הבעיה היא שרוב האתרים שומרים את הקוד, אף שזה אסור בתכלית האיסור. יותר מ־60% מהאתרים שומרים, ויותר מ־50% לא יודעים שהם שומרים".
בלאומי קארד הבהירו כי אף אחד מבתי העסק שנפרצו אינו משתמש בשירותי הסליקה שלה, וכי היא דורשת מכל לקוחותיה העסקיים לעמוד בתקני אבטחת המידע הבינלאומיים של תקן PCI. גם ויזה כאל הודיעה שהיא לא סלקה אף אחד מהאתרים שנפרצו. בישראכרט לא הגיבו לידיעה.
בבנק ישראל אמרו בתגובה: "העניין נמצא בבדיקה ובשלב זה לא נוכל להתייחס באופן פומבי לנקודות הספציפיות שהועלו בשאלה".