"קישור בין גניבת האשראי למאגר הביומטרי? לא מכירים את העובדות"
פרסום כרטיסי האשראי ברשת העלה את החשש שגם המאגר הביומטרי המוקם בימים אלה ייפרץ. הרשות האחראית עליו משיבה אש: "אין קשר בין השניים, המאגר יעניק לתושבי המדינה ביטחון שזהותם לא תיגנב". בתוך כך מפרסמים האקרים פלסטינים רשימת אתרים ישראליים הסובלים לדבריהם מבעיות אבטחה
"הניסיון לקשר בין דליפת פרטי כרטיסי אשראי, מאתרי קניות וקופונים ברמת אבטחה נמוכה וללא פיקוח, לבין המאגר הביומטרי, נובע במקרה הטוב מחוסר הכרת העובדות", אמר מנהל הרשות, גון קמני, בהודעה לעיתונות. "המאגר הביומטרי הוא היחיד שיכול להבטיח לתושבי המדינה שקט נפשי וביטחון שזהותם לא תיגנב".
לטענת קמני, החששות מפריצת האקרים היו ידועים כבר בזמן הדיונים על הקמת המאגר, ובניגוד לאתרים שנפרצו, שבהם לא הושקעו משאבי אבטחה ברמה לאומית, המאגר הביומטרי מוגדר כ"סודי ביותר" ומאובטח לפי הכללים המחמירים ביותר של גופי הביטחון. חוק הביומטריה קובע כללים רבים ומפורטים המבטיחים את השמירה ואת ההגנה על המידע שבמאגר.
ברשות המאגר הביומטרי הבהירו שהמאגר יישמר בנפרד ממאגרים אחרים ומכל רשת מחשבים או רשת תקשורת. לא תהיה אליו גישה באמצעות האינטרנט, על מנת למנוע פריצה מצד האקרים. עוד נמסר כי הגישה למאגר הביומטרי תותר למספר מצומצם של עובדים, שיעמדו תחת ביקורת מתמדת של גופי הביטחון. הוא יכיל תמונת פנים ושתי טביעות אצבע, ללא פרטים כמו שם, כתובת או מספר תעודת זהות.
טענות הרשות עוררו ביקורת קשה בקרב מתנגדי המאגר הביומטרי. "המאגר אולי מוגדר כסודי ביותר, אבל אין בכך מזור: טיבם של מאגרים לדלוף", אמר ל"כלכליסט" עו"ד יהונתן קלינגר, מהפעילים הבולטים במאבק המתחולל בנושא. "כל מאגר שאליו יכול כל שוטר במשטרת ישראל לפנות לקבלת מידע, וכל עובד משרד הפנים יכול להזין מידע לתוכו, לא יהיה סודי לאורך זמן. רשות האוכלוסין חייבת להסביר מדוע היא מעכבת את הנפקת תעודות הזהות החכמות ומתנה אותן במידע ביומטרי, ומדוע היא אינה מסוגלת להגן על מרשם האוכלוסין, שגם הוא היה מסווג בעבר אך נמצא היום באינטרנט".
גם עו"ד אבנר פינצ'וק, ראש תחום פרטיות ומידע באגודה לזכויות האזרח, אמר: "המידע של כרטיסי האשראי, ממש כמו מרשם האוכלוסין שמתגלגל ברשת, מזכירים לנו שבמוקדם או במאוחר כל מאגר מידע דולף. ייתכן שהמאגר הביומטרי יהיה מאובטח יותר, אבל בסופו של דבר גם הוא ידלוף – כך לפחות התנבא משה בסול, שהיה אחראי על אבטחת מידע בשב"כ".
"בשונה מהנזק הקטן שנגרם בעקבות הפריצה לנתוני האשראי שלנו, דליפה של מידע מהמאגר הביומטרי יהיה גדול לאין שיעור. משרד הפנים תיאר את הנזק שייגרם לתושבים בעקבות דליפה כ'בלתי הפיך', ומומחים מן השורה הראשונה הזהירו מפגיעה קשה בביטחון. חבל שרשות האוכלוסין מבזבזת כספי ציבור כדי לשווק את המאגר הביומטרי המיותר והמסוכן".
הבנקים שעל כוונת ההאקרים הפלסטינים
בינתיים, נראה שאתרים ישראלים רבים צריכים להיערך לגל התקפות נוסף. לדברי יועץ אבטחת המידע הישראלי, ג'קי אלטל, קבוצה של האקרים המזדהים כפלסטינים פרסמה היום רשימה של האתרים ישראלים שלדבריה חשופים לתקיפות, ועודדה האקרים להתמקד בהם.
ההודעה פורסמה באתר pastebin, שבו גם התפרסמו הודעות ההאקרים שחשפו את פרטי האשראי. האתר נוצר במקור על מנת לאפשר למתכנתים לשתף קודים, ואולם וכיום משמש בין היתר האקרים. בין האתרים שההאקרים נוקבים בשמותיהם: בנק אוצר החייל, בנק מסד, חברת השכרת הרכב אוויס ואוניברסיטת בר-אילן.
"הם פירסמו את הכתובות במטרה שכל ההאקרים האחרים בעולם יוכלו להתמקד בהם, להשתתף במאמץ ולפרוץ לאתרים ישראלים", אמר אלטל ל"כלכליסט". "יכול להיות שהאקר שביצע את 'המחקר' הזה לא יודע איך לנצל את הפריצות. ברגע שהוא מפרסם את הכתובת של האתר, הוא מאפשר להאקרים יותר מנוסים לרכז ולמקד את הכוחות שלהם בשרתים הספציפיים".
אלטל הוסיף שמבדיקות שביצע עולה שאכן האתרים שפורסמו פגיעים להתקפות רשת: "לכולם יש בעיות אבטחה. אין ספק שבעקבות המתקפה האחרונה, אחרי שכולם ראו כמה רעש זה עשה בארץ, יקומו הרבה אנשים שירצו לעשות בדיוק אותו דבר. מכיוון שיש הרבה אתרים שידוע שהם פגיעים, אין ספק שהם יצליחו".
מאוצר החייל ומסד נמסר בתגובה: "כלי הניטור שמפעיל מערך המחשוב שלנו הינם חדישים ומתקדמים, ומאפשרים הגנה מיטבית על אתרי האינטרנט המשמשים את הלקוחות. מערכות האבטחה שאותן מפעילים הבנקים משוכללות ותואמות את דרישות בנק ישראל. יודגש כי צוותי המחשוב לא זיהו כל ניסיון לחדירה או פעולות לשיבוש שמקורן בגורם חיצוני".