פרסום ראשון
פרצה באתר חברת Box הישראלית חשפה מידע של 30 אלף לקוחות
פרצה במערכות חברת רישום הדומיינים איפשרה לגורמים לא מורשים לדלות מידע לקוחות דרך האתר בקלות. החברה תיקנה את הליקוי ואיגוד האינטרנט הישראלי, שמספק אישורי הפעלת רישום דומיינים בארץ, בודק את המקרה
- נחשפה פרצת אבטחה קריטית במערכות הרשויות המקומיות בישראל
- מומחי סייבר: בניגוד לטענות התעשייה, Kodi היא לא סכנת אבטחה
- נחשפה פרצת אבטחה חמורה במערכת כרטיסי המסעדות סיבוס
על פי החשד, הפרצה יכולה להסביר את ריבוי הספאם שתועד בקרב כמה מלקוחות החברה. בחלק מהמיילים הופיעו גם כתובות המייל של הלקוחות בשדה ה-CC בגלוי, כך היה ניתן לזהות שמדובר בכתובות של לקוחותיה. עם זאת, אין שום ראיה שקושרת ישירות בין הפצת הספאם לבין הפרצה.
לדברי רן בר זיק, הפרצה לא דורשת מומחיות טכנית בכלל בכל הקשור לזיהוי שלה. "הקישורים האלו נשלחו לכל הלקוחות במיילים כחלק מעדכון תקופתי. כל מה שהיה צריך לעשות זה להכנס לכתובת ולשנות את המספר", סיפר ל"כלכליסט". "זה מה שעשיתי וזה איפשר לי לראות פרטים של לקוחות אחרים. לא צריך להיות האקר גדול כדי להבין את הפרצה".
אילו סכנות עולות ממנה?
"מאגר שלם של לקוחות החברה הוא אוצר לכל פושע וירטואלי. למה? כיוון שהמידע הזה מאפשר לבצע תקיפות נוספות. אם מדובר בבעלי אתר, אפשר לתקוף את האתר שלו ולהשתיל בו קוד זדוני שכורה מטבע וירטואלי או קוד שיפגע במשתמשים. אפשר לשלוח פרטים עם משלוח הודעות מזויפות המזמינות את ׳הלקוח׳ להתקין תוכנה זדונית, להיכנס לאתר מסוכן ואפילו להתקשר ללקוח לשם ׳עדכון כרטיס אשראי׳. האקרים המשתתפים במבצעי תנועת אנונימוס משחררים מאגרים כאלו בהתקפות ומשיגים רווח תעמולתי. כמובן יש כאן את עניין הפרטיות של לקוחות החברה. לא כל אחד מעוניין שהפרטים שלו ייחשפו ברשת".
לאחר שהבאנו את הנושא לידיעת אחד מבכירי בוקס, אופיר רותם, תוקן הליקוי במהירות: "הנושא נבדק בימים אלו על ידי החברה בליווי חברת אבטחה באופן הדוק ומקצועי. בכל אופן, החברה מחויבת לשמירה על אבטחת המידע של לקוחותיה ועל פרטיותם", מסרה בוקס ל"כלכליסט".
רשות הפרטיות שבמשרד המשפטים מסרה שאינה מתייחסת לאירועים ספציפיים, אך תטפל בכל מידע שיגיע לידיה בהתאם לחוקי הגנת הפרטיות הקיימים.
איגוד האינטרנט הישראלי, שאחראי על הענקת רישיונות למכירת דומיינים ברשת הישראלית, מסר בתגובה: "חברת גורני אינטראקטיב (BOX) היא חברה מסחרית ועצמאית שמספקת שירותים טכנולוגיים במגוון תחומים, ובין היתר משמשת כרשם מוסמך מטעם איגוד האינטרנט לשמות דומיין בסיומות שונות במרחב il. וכן עוסקת בשמות מתחם גם במרחבים אחרים. באירוע המדובר ניסה גורם שזהותו לא ידועה לבצע פעולת פישינג באמצעות התחזות לכתובת מייל רשמית של החברה, ושלח מייל לקבוצה של לקוחותיה. מכוח הסכם ההסמכה כרשם דומיינים, על בוקס לוודא כי רמת אבטחת המידע שלה הולמת, ולציית להוראות הדין הישראלי הרלוונטיות בנושא הגנת פרטיות ואבטחת מידע. לפיכך בשלב ראשון בדק איגוד האינטרנט שאף אחד מלקוחותיה של החברה המחזיק בשם מתחם במרחב il. לא ניזוק. משהתברר שאכן לא התקיימה פגיעה שכזו באבטחת המידע, נמשכת בדיקת המקרה על ידי מספר גורמים, לרבות גורמים רשמיים של מדינת ישראל. בשלב זה טרם התבררו סופית פרטי האירוע והבדיקה בנושא נמשכת".
מחיר החשיפה: איומים בתביעות
הפרצה מעלה שוב את בעיות אבטחת המידע בחברות קטנות ובינוניות. במקרים רבים, חברות ישראליות נוטות לעגל פינות בנוגע לאבטחת משאבי הרשת שלהן מתוך הנחה שאינן מטרה ראויה בעיני האקרים. הבעיה אינה רק בחברות או בתי עסק קטנים שאינם משופעים בתקציבים לטובת הגנת סייבר. גם מוסדות מדינה, רשויות מקומיות ואפילו חברות שכביכול אמורות לעמוד בתקנים מחמירים נתפסו עם פרצות - כאלה שלא פעם מנוצלות בידי פושעי רשת. עיריות בכל העולם, בתי חולים ואפילו משרדים ממשלתיים נפגעו מנוזקות שהשביתו מחשבים.
בעולם מקובל שחוקרי סייבר ובעלי מקצוע אחרים שחושפים פרצות מתוגמלים על הגילוי - שבסך הכל מיטיב עם החברה; הרי אין מערכת מחשוב שאינה מכילה פרצות וחשיפתן מאפשר תיקון מהיר ומניעת נזקים. אבל בישראל, שכה אוהבת להתהדר בקהילת הסייבר שלה, המצב שונה: "אני לא חושף את הפרצות ישירות לחברות ישראליות מהסיבה המאוד פשוטה שברוב המקרים אם אני עושה את זה ללא תיווך של עיתונאי, אני מקבל איומים בתביעה, איומים בכך שהקריירה שלי תחוסל ואיומים נוספים", סיפר בר זיק.