12 מסקנות בעקבות הפריצה
מקרה הפריצה שבו נגנבו אלפי פרטי אשראי של ישראלים עורר הרבה שאלות בקרב ציבור הגולשים. כך תוכלו לברר אם נפגעתם, ללמוד איך אפשר לשמור על המידע שלכם בעתיד ולדעת להיזהר מאתרים לא בטוחים
שלשום בלילה התפרסמו ברשת פרטים של אלפי ישראלים, לאחר שקבוצת האקרים פרצה לכמה אתרים ישראליים והוציאה מהם מספרי כרטיסי אשראי ונתונים נוספים. חברות האשראי כבר הבטיחו שהלקוחות שפרטיהם נחשפו לא ייפגעו, אך שאלות רבות עדיין נשארו תלויות באוויר. "כלכליסט" מציג את הפרשה שלב אחר שלב ומסביר כיצד תוכלו להימנע מדליפת הפרטים שלכם בעתיד.
איך נפרצו האתרים ומה בעצם נגנב?
בחודשים האחרונים, קבוצה של האקרים דוברי ערבית השתמשה בתוכנות חינמיות כדי לזהות פרצות באתרים ישראליים ולנצלן לשאיבת מידע על הגולשים, ובראשו מספרי כרטיסי אשראי. על פי נתוני חברות האשראי, בקובץ שפורסם נכללים מספרים מלאים של 15 אלף כרטיסי אשראי, תוקף הכרטיסים וכן, בחלק מהמקרים, כתובות אימייל, שמות וכתובות מגורים, גיל ותאריכי לידה.
גיליתי שהכרטיס שלי נחשף ברשימה. מה עליי לעשות?
ראשית, אין צורך להילחץ. חברות האשראי כבר נערכו לפריצה ויזכו את כל הלקוחות שפרטיהם דלפו ובכרטיסי האשראי שלהם נעשה שימוש.
כדי לבדוק אם מספר כרטיס האשראי שלכם דלף, חברות האשראי מעמידות לרשותכם כמה כלים: לקוחות ישראכרט יכולים להתקשר למספר 03-6364333, להזין את מספר תעודת הזהות ולבדוק האם כרטיס האשראי שלהם נמצא ברשימה. במקביל, ניתן לבצע את הבדיקה גם דרך אתר החברה. גם ויזה כאל מציעה כלי בדיקה באתר האינטרנט שלה ובמוקד שמספרו 03-5726444, ולקוחות לאומי קארד יכולים לפנות למוקד שמספרו 03-6178800 ולבדוק האם כרטיס האשראי שלהם נחשף. בעקבות הפריצה, העומס על מוקדי השירות ואתרי החברות גדול וחלק מהאתרים קרסו אתמול. למרות הבקרה של החברות, מומלץ כי כל הלקוחות יעקבו אחר דפי הפירוט שלהם ברשת ויחפשו עסקאות לא מוכרות.
במקרה שחברת האשראי זיהתה כי מספר הכרטיס שלכם נחשף, תוכלו להמשיך להשתמש בו אך לא לבצע קניות באמצעות הרשת ובטלפון. לקוחות שהכרטיס שלהם בוטל בעקבות הדליפה יקבלו מחברת האשראי כרטיס חדש - בישראכרט מבטיחים כי הכרטיסים יגיעו אל בעליהם עוד היום, ובלאומי קארד אומרים כי כל הלקוחות יקבלו כרטיס חדש ביומיים הקרובים.
מיהם הגורמים שעומדים מאחורי המתקפה?
בפרסום הראשוני של הפריצה הציגו את עצמם ההאקרים העומדים מאחוריה כשלוחה של ארגון ההאקינג אנונימוס בערב הסעודית. אנונימוס הוא ארגון אנונימי ומבוזר שתחת המטרייה שלו התבצעו כמה מתקפות על שרתים שונים, ובהן פריצה לשרתי המשחקים של חברת סוני ותקיפה של אויבי אתר ההדלפות וויקיליקס. עם זאת, האקרים רבים מייחסים פעולות שלהם לארגון, גם אם חברי אנונימוס כלל לא מכירים אותם.
מקור בארגון אנונימוס מסר ל"כלכליסט" כי חברי הארגון אינם מכירים את הקבוצה או את ההאקר העומד מאחורי הפרסום, ואינם חושבים שמדובר בחלק מהארגון הבינלאומי. כמה בכירים נוספים התבטאו בטוויטר ודחו כל קשר למתקפה, ואחד מהם אף אמר: "יש לנו השגות לגבי ממשלת ישראל, אבל לפגוע באלפי אנשים רק בגלל שהם ישראלים? אתם לא אנונימוס".
מעקב אחר מקור פרסום הפריצה לאתר וואן הישראלי, שבו דיווח ההאקר לראשונה על הפריצה, הוביל לכמה שרתים שנמצאים בארה"ב ובקנדה והסתיים בחברת אירוח אתרים וירטואליים בארה"ב. על פי שי בליצבלאו, מנכ"ל חברת האבטחה מגלן, את הפריצות ביצעו שלושה האקרים שנמצאים בקרואטיה, קטאר וערב הסעודית.
בנוסף, גורמי אבטחה אומרים כי יש סבירות גבוהה מאוד לכך שמדובר בפרטי כרטיסי אשראי שנאספו בסדרה של מתקפות שונות ולא קשורות זו לזו, וכלל לא בוצעו על ידי אותה קבוצת האקרים. על פי טענה זו, כל מה שעשו ההאקרים היה לאגד מאגרים שונים שהסתובבו ברשת, הקשורים כולם לפריצות לאתרים ישראליים.
מה עשו ההאקרים עם המידע שגנבו?
רוב הזמן ההאקרים רק אספו את המידע. עם זאת, שלשום בלילה החליטו ההאקרים להעלות לרשת קובץ עם כל הנתונים שאספו ולפרסמו בתפוצה רחבה, ככל הנראה אחרי שחוקר אבטחה ישראלי חדר לפורום שלהם וגילה את המידע (ראה מסגרת). הם עשו זאת באמצעות פריצה לשרתי אתר הספורט וואן והשתלת קוד המפנה לאתר שלהם ובו הקובץ להורדה.
האם באמת נגנבו פרטי אשראי של 400 אלף ישראלים?
לא. הפרסומים הראשונים בנושא התבררו כלא מדויקים. בפועל, נחשפו פרטי אשראי של 15 אלף ישראלים בלבד.
אני תמיד מעדכן פרטים רק באתרים שבהם מופיע סימן של מנעול. האם אני בטוח?
דיוויד ממן, סמנכ"ל טכנלוגיות בחברת אבטחת המידע GreenSQL, מסביר: "המנעול הוא למעשה חסר ערך, ורק אומר שבינך לבין האתר יש תקשורת מוצפנת. המנעול עוזר רק אם בזמן העבודה עם האתר מישהו מאזין ברקע, אבל זה לא מעיד על איך שמאכסנים בו את המידע או מגנים עליו". במקרה הזה, המידע נגנב מבסיסי הנתונים של האתרים, והגניבה התאפשרה בגלל כשלים באופן שבו נבנו אתרים אלו. פעמים רבות, המידע נגנב זמן רב אחרי שהגולשים הזינו אותו.
איך אפשר להיזהר מאתרים לא בטוחים?
"הדרך הטובה ביותר היא לשמור על מודעות", אומר ממן. "כאמור, הצהרה כמו 'האתר מאובטח ב־SSL' אומרת רק כי התקשורת בין הגולש לאתר מאובטחת. אם אני נכנס לאתר שנראה זול, אז הסבירות היא שכלל לא השקיעו בו באבטחת מידע. אם ממש רוצים לקנות מאתר כזה, כדאי לבדוק אם הוא מאפשר תשלום באמצעות שירות כמו פייפאל, שבו פרטי האשראי כלל אינם מגיעים לאתר עצמו".
ואם בכל זאת אני רוצה להירשם לאתר כזה?
ממן: "כשאני נכנס לאתר שאני לא בוטח בו, אני לא אזין את האימייל הראשי שלי אלא אפתח אימייל מיוחד לצורך כך. בנוסף, יש להחליף סיסמה אחת לכמה זמן. אם אני משתמש באותה סיסמה בהרבה אתרים ולא מחליף אותה, זה מאפשר להאקר שגנב אותה להיכנס איתה להרבה אתרים. בכל מקרה, על הסיסמה להיות בת 8 תווים לפחות ולכלול שילוב של אותיות קטנות, גדולות, מספרים וסמלים".
איך עוד אוכל להגן על עצמי?
כיום ניתן לרכוש בסניפי הדואר ובמקומות אחרים כרטיסי אשראי נטענים או חד־פעמיים, המיועדים לשימוש ברשת. כרטיסים אלו אינם כוללים פרטים מזהים, והסכום שאיתו ניתן לרכוש באמצעותם מוגבל. כך, גם אם נגנבו פרטי הכרטיס, הנזק קטן מאוד. בנוסף, יש לדאוג להתקנת תוכנת אנטי־וירוס מתקדמת במחשב. התוכנות יכולות להתריע כיום אם הגולש עובד עם אתר פישינג או עם אתר לא לגיטימי.
אני מנהל אתר. איך אגן על הלקוחות שלי?
ממן: "הכי טוב לעבוד רק עם שירות תשלומים רציני כמו פייפאל. הוא מסיר את האחריות ואת הצורך להגן על מידע כרטיסי האשראי. זה לא אומר שצריך לזלזל באבטחת מידע, אבל זה מסיר ממפעילי האתר אחריות רבה".
ואם אני לא רוצה לעבוד עם שירות שגובה עמלות?
"עדיף לא לשמור את פרטי כרטיס האשראי", אומר ממן, "אבל הרבה פעמים אין ברירה כי יש משתמשים קבועים, ולמען הנוחות הם מבקשים שהפרטים שלהם יישמרו. במקרה כזה יש לקחת אחריות ולבצע תמיכה בתקנים המקובלים. התקן הנפוץ בתחום נקרא תקן בשם PCI DSS, שמשפר את רמת אבטחת המידע ליותר מ־99%".
מה אומר החוק לגבי שמירת מידע באתרים?
"האתרים מחויבים להגן על המידע. יש להם חובה כללית לפי חוק הגנת הפרטיות. מי שמנהל מידע אישי צריך להבין שמחובתו לאבטח אותו", מסביר ראש הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים (רמו"ט), עו"ד יורם הכהן. "אנשים יודעים איך להגן על המידע המדובר, יש כלים לכך בשוק".