לא תנאף (ברשת): כל מה שרציתם לדעת על אשלי מדיסון ולא העזתם לשאול
לא טכנולוגיה מתקדמת, לא תקציבי עתק ולא מאמץ גדול - הפריצה לאתר הבגידות אשלי מדיסון בוצעה בשיטה פשוטה להחריד. ההאקר הבא כבר ישתמש בסודות הכי כמוסים שהרשת יודעת עלינו כדי לסחוט מיליונים
ההאקר או קבוצת ההאקרים המכונים צוות אימפקט (Impact Team), שהדליפו לרשת את מאגר הנתונים המלא של אתר הבגידות אשלי מדיסון, נחשבים לעוף מוזר בעולם ההאקינג האקטיביסטי. המאבק שלהם נראה כמונע מתוך אידיאולוגיה שמרנית או פמיניסטית ולא מתוך ליברליזם או קידום שיוויון זכויות כמו במקרה של אקטיביסטים אחרים דוגמת אנונימוס. הקבוצה יחסית חדשה בעולם הסייבר והפעולה על אתר אשלי מדיסון היא כפי הנראה הראשונה שלה בסדר גודל הזה. זאת ועוד, מומחי סייבר רבים גם מאמינים שלא מדובר בקבוצה כלל וכלל אלא בהאקר בודד.
- משתמשים באשלי מדיסון? ההאקרים חשפו אתכם ברשת
- האשליות של אשלי: מצטערים, הדיסקרטיות שלך מתה
- סכנה לבוגדים בבני זוג: נפרץ אתר אשלי מדיסון
הפריצה לאתר אשלי מדיסון כללה כ־37 מיליון רשומות (נכון לאתמול האתר מדווח על 38.9 מיליון משתמשים), מתוכן אחוז קטן של משתמשים פעילים. אם משווים את מספר מספרי האשראי בקובץ הנתונים עם מספר הנרשמים, רואים בבירור שאין שום קורלציה ביניהם. בנוסף, חלק מפרטי התשלום הכילו כתובות אימייל שגויות או נתונים אישיים שהיו ככל הנראה מזויפים. זאת ועוד, הנתונים על המשתמשים הישראלים הפעילים הקיפו בסך הכול כמה אלפי רשומות, מתוכן רק כמה מאות היו של לקוחות משלמים.
נראה שחלק הארי של הרשומות היו של משתמשים שנרשמו רק בשביל "לבדוק" או מתוך סקרנות - אך לא מימשו בפועל את השירותים שמציע האתר. מה שמוכיח שפעולתם של ההאקרים היתה כנראה יותר בשביל הרושם מאשר מתוך רצון אמיתי לשנות את העולם.
מאז הפרסום על דליפת המידע שלשום הועלו חששות שזה ישמש לסחיטת ALM, החברה שבבעלותה האתר, או אף את המשתמשים לצורך רווח כספי. ואולם אלו התבדו אתמול כשההאקרים העלו את כל המידע שגנבו לרשת והפכו אותו לנגיש לכל גולש בעל ידע מספק. המידע, שהועלה תחילה לאתר דארקנט שהגישה אליו לא פשוטה לגולשים מן השורה, הגיע במהרה לביטורנט ומשם לידיהם של גולשים ועיתונאים סקרנים. מאז כבר התפרסמו דיווחים על דמויות מוכרות יותר ופחות שפרטיהן נמצאו באתר. ואולם, יש לקחת את הדיווחים האלו בעירבון מוגבל, שכן פתיחת חשבון באשלי מדיסון לא דורשת אימות של כתובת הדוא"ל, וכל מי שרוצה בכך יכול להירשם עם הכתובת של מישהו אחר, ולו כדי להשחיר את פניו.
בעקבות הדלפת המידע הרגיש, על כל המשמעויות הנלוות של מהלך כזה, "כלכליסט" עושה סדר ועונה על השאלות הבוערות והמטרידות שמעלה הפרשה שמדירה שינה מעיניהם של עשרות מיליוני בני אדם.
איפה נמצא המידע שהודלף?
ההאקרים העלו את המידע לאתר דארקנט, כלומר אתר שלא מאונדקס במנועי חיפוש כמו גוגל, ושכנראה נגיש רק באמצעות כלים שמסווים את זהות המשתמש, כמו הדפדפן האנונימי TOR. לפרסום באופן זה יש שתי מטרות - הראשונה היא להקשות על איתור זהות המשתמשים.
ההאקרים נקטו, יש לשער, אמצעים רבים על מנת להסתיר את זהותם, כמו גלישה באמצעות שרת פרוקסי (שממסך את שרת המוצא האמיתי של המשתמש), ולא בכדי. עכשיו הם לא רק על הכוונת של ALM, אלא גם של כל אחד מ־37 מיליון המשתמשים שפרטיהם נחשפו, ושיש להם עתה סיבה טובה לפגוע בהם.
בנוסף, פרסום המידע באתרי דארקנט, שרבים מהם נמצאים מחוץ להישג ידן המיידי של רשויות החוק במדינות מערביות, יקשה על הסרת המידע מהרשת והעלמתו.
אמצעי זה חשוב בעיקר בזמן המיידי שלאחר פרסום המידע, לפני שעשה דרכו לידי גולשים רבים. בשלב הנוכחי, משהמידע כבר זמין בביטורנט והורד בוודאי על ידי מאות אלפי גולשים, יהיה זה כמעט בלתי אפשרי להעלים אותו באופן מוחלט מהרשת.
מיהם הפורצים, ומה הם בעצם רוצים?
קבוצת ההאקרים שפרצה לאתר, צוות אימפקט, טוענת שפעלה מסיבות אידיאולוגיות. לאחר גניבת המידע הם דרשו מ־ALM להוריד מהרשת את אשלי מדיסון וכן אתרים אחרים שמפעילה החברה, כולם בעלי אופי מפוקפק (למשל Established Men, שאותו החברה מגדירה כשירות לחיבור בין נשים צעירות לגברים עשירים ו־Cougar Life, לנשים מבוגרות שמחפשות פרנטרים צעירים לסקס).
"השתלטנו על כל מערכות המחשוב במשרדיכם, כל בסיסי הנתונים, קוד המקור שלכם, הדו"חות הכספיים ותכתובות האימייל הפנימיות של החברה", הם כתבו לאחר הפריצה. "סגירת האתרים תעלה לכם כסף רב, אבל הימנעות מציות להוראה תעלה לכם יותר - אתם תהיו חשופים לתביעות ענק על הונאה וגרימת נזק עצום למיליוני לקוחות".
ALM לא שעתה לאיומים, אולי מכיוון שבחברה קיוו שמדובר באיומי סרק או שיוכלו לשלם להאקרים כדי שלא יפרסמו את המידע, ועתה מימשו התוקפים את הבטחותיהם והפיצו את כל המידע שגנבו.
"חברת ALM כשלה בהסרת אתר אשלי מדיסון", הם כתבו בהודעה שפרסמו. "הסברנו את ההונאה, ההטעיה והטיפשות של החברה ומשתמשיה. זכרו שהאתר הוא זיוף, עם אלפי פרופילי נשים פיקטיביים. 95% מהמשתמשים הם גברים. יש סיכוי טוב שבן הזוג שלך נרשם לאתר הבגידות הכי גדול בעולם, אבל לא בגד בפועל - רק ניסה לבגוד, אם יש הבדל בעינייך". ההאקרים הוסיפו שמי שמצא את הפרטים שלו ברשת מוזמן לתבוע את ALM.
מומחה הסייבר בריאן קרבס אף הוסיף שמדובר כנראה בפעולה שמתבססת על הנדסה חברתית - כלומר השגת פרטי גישה ראשוניים במרמה מאדם שעובד בחברה (ראו תרשים) - ולאו דווקא על פריצת תוכנה ישירה.
אתרים רבים נוהגים לייצר הגנות חזקות מאוד, אך התוכנה שמפעילה את האתר מאחורי הקלעים עדיין יכולה לכלול פרצות.
האם החברה תפצה את המשתמשים שנפגעו?
סביר להניח שלא. עם הדיווח על הראשוני על הפריצה, החברה טענה שהיא קרובה למציאת האחראים לה וגרסה כי מדובר באדם או כמה אנשים שהיתה להם בעבר גישה למערכות המחשב שלה - כלומר עובד לשעבר או מישהו שעבד עבורה בקבלנות. עם זאת, היא לא הציעה כל פתרון ללקוחות שפרטיהם נחשפו או עלולים להיחשף ואמרה רק: "הצלחנו להסיר את הפוסטים שפרסמו האחראים לתקיפה, כמו גם את המידע המזהה את לקוחותינו שפורסם ברשת".
הצלחה מפוקפקת זו התבטלה לחלוטין עם פרסום המידע המלא, וגם עכשיו אין בתגובת ALM כדי לסייע ללקוחות שנפגעו. "נשקיע בהסרת המידע שנחשף מהרשת", הבטיחה החברה (הבטחה שספק אם תוכל לקיים). "אירוע זה אינו אקטיביזם, כי אם פשע. הפושעים מינו עצמם לשופטים, מושבעים ומוציאים להורג ומנסים לכפות את ערכי המוסר שלהם על החברה כולה". אכן תגובה נחרצת, אך כזו שמתעלמת מאפשרות של מתן פיצויים לנפגעים.
החדשות הטובות הן שהפרשה תקעה מקלות בגלגלים של תוכנית ההנפקה של ALM. באפריל שעבר דווח שהחברה מתכננת הנפקה במטרה לגייס 200 מיליון דולר, על רקע הגידול בביקוש לשירותיה. כעת עולה ספק באשר ליכולתה לגייס משקיעים גדולים לאור העובדה שהיא לא מצליחה לספק את הפיצ'ר העיקרי שלה - אנונימיות. במקום פגישות עם משקיעים ומסיבות נוצצות, בכירי החברה צפויים להקדיש את התקופה הקרובה לבקרת נזקים, התמודדות עם תביעות משפטיות מצד משתמשים ומשפחותיהם, חקירות מצד רשויות שונות ובריחה המונית של משתמשים. כשהסערה תירגע, בכלל לא בטוח שתישאר חברה להנפיק.
האם למי שלא משתמש באתר יש סיבה לדאוג?
בטווח המיידי ייתכן שכן, בטווח הארוך בטוח שכן. הפרטים שהודלפו כוללים בוודאי שמות של נשואים ובעלי משפחות רבים, וברגע שהמידע הזה נמצא ברשת, לא רחוק היום שבו בני זוגם יגלו אותו. כבר עכשיו יש אתרים שמאפשרים לחפש כתובות דוא"ל ושמות במאגר שהודלף, ואפשר להניח שגם גורמים אחרים - כמו למשל עו"ד שמתמחה בגירושין ורוצה לגייס לקוחות - יבצעו פניות יזומות למשתמשים הרשומים או לבני זוגם.
ואולם החשש הגדול יותר, שנוגע להרבה יותר משתמשים, הוא מדליפות עתידיות של מידע מסוג זה. לו רצו, ההאקרים יכלו לנצל את הדליפה כדי לסחוט בסכומים קטנים כל אחד ואחת ממשתמשי האתר, בתמורה לאי־פרסום המידע - מהלך שהיה יכול להפוך אותם למולטי־מיליונרים. במקרה זה, ההאקרים לא חשבו או לא בחרו לבצע זאת. אבל עם כל המידע הרגיש שמסתובב ברשת, לא רחוק היום שבו קבוצת האקרים תשים את ידיה על מאגר מידע רגיש ותשתמש בו כדי לסחוט קורבנות. עם מאגר קורבנות גדול ניתן להרוויח סכומים משמעותיים גם מסחיטה של סכומי כסף קטנים תוך סיכון מינימלי. ומרגע שזה יקרה, תיפתח עונת ציד אחר מאגרי מידע מסוג זה. לכולנו יש סוד, ואין כמעט אחד מאיתנו שלא יסכים לשלם 10 דולר כדי לשמור עליו. מתישהו גם הפושעים יבינו את זה.