Professional Documents
Culture Documents
דלף המידע מחברת ToysRusהינו משחק ילדים
אנשים אשר ביצעו בעבר רכישה בחברת , ToysRusעשויים לגלות שמידע אישי שלהם דלף .סביר
להניח ,שפרטים אלו הם חלק מאירוע הפריצה מתקפת סייבר אותה חוותה חברת אחסון האתרים
,Signature-ITאשר השביתה את הפעילות של עשרות חברות המפעילות אתרי סחר מקוונים
בנובמבר האחרון (נראה כמו נצח בעולם של סייבר ופרטיות) .כחלק מאירוע זה ,התוקפים הצליחו
בין היתר לקבל גישה לרשימות דיוור שנשמרו בשרתי החברה ,באמצעותם הפיצו לאלפי ישראלים
הודעות SMSומיילים עם מסרי נאצה .על פי הפרסום ב ,ynetנראה שהקובץ שדלף ומיוחס לאירוע
כולל דלף של "מיליוני רשומות" של משתמשים אשר ביצעו רכישה באתר (שם +מייל).
אין זה מפתיע ,כאשר אנו זוכרים כי הישראלי הממוצע השאיר את פרטיו האישיים במאות אתרי
אינטרנט של חברות ושירותים מקוונים (כ 20% -יותר מהממוצע העולמי) .אבל בעוד שהכתבות
בעיתונים מפעילות ברומטר של "אוי אוי אוי" לפי "כמות" המידע שדלף ,אין ספק שהגיע הזמן לכייל את הברומטר לגבי האיכות (עוצמת הנזק).
כותרות בגין מיליון רשומות שדלפו ,או מאה מיליון ,משיגות רייטינג ,אך כמות המידע הינה מימד אחד בלבד ,ואני לא בטוח שהחשוב שבהם ,וחודש
פברואר האחרון יוכיח כמאה עדים.
אז לטובת מי שלא עוקב אחרי החדשות ,או לא עוקב אחר פורומים מקצועיים בהם מסקרים את הנושאים החמים ביותר (אם אתם לא עוקבים אחרי ארז
דסה ,מומלץ לעצור את הכתבה ולהצטרף בחינם לערוץ שלו).
מספר הטלפון שלי לא מעניין אף אחד ,והוא גם ידוע לכולם ומפורסם ממילא
אחד הקטעים המצוטטים ביותר בספר אליס בארץ הפלאות של לואיס קרול הוא הקטע בו החתול שונר צ'שר עונה לשאלה של אליס על לאן עליה ללכת:
אליס" ,התואיל להגיד לי ,בבקשה ,באיזו דרך עלי ללכת מכאן"? "זה תלוי במידה רבה לאן את רוצה להגיע ",אמר החתול.
"לא איכפת לי כל-כך לאן – " אמרה אליס" .אם כך ,לא משנה באיזו דרך תלכי ",אמר החתול.
מספר הטלפון שלנו אולי איננו "מטריד" חלק גדול מהקוראים ,אך מה קורה אם הוא דלף בהקשר של טיפול רפואי? או פסיכולוגי? או מאתר המספק
שירותים דיסקרטיים?
האם דלף 100,000רשומות = = 100,000רשומות? חישבו לכמה אנשים יש מוטיבציה ,ומה הם יכולים לעשות אם הם יקבלו "רק" את השם שלכם
וכתובת המייל או מספר הטלפון .עכשיו ,תחשבו מה ניתן לעשות אם יודעים עליכם את ציוני הבגרות ,מצב רפואי כולל יכולת לקבל אישורים מקוריים,
צילום תעודת זהות עם כל הפרטים (כולל תאריך הנפקה וכו') ,פרטי הוראות קבע ועוד .אז זה מה שקרה לאזרחים רבים בחודש שעבר .אגב ,הפרצה
הייתה ידועה זמן רב ונבעה מרמת אבטחה נמוכה מאוד ואי יישום של עקרונות מאוד בסיסיים .הנושא היה ידוע לחברה (ולמערך הסייבר הלאומי) לאחר
שחוקר האבטחה ליאור בן דוד דיווח להם ,וחלק גדול מהמידע שדלף ,זמין גם בימים אלו ברחבי הרשת במקומות שונים.
חלק מהקוראים ,יטענו עדיין "אוקי ,זה מידע שאני מחלק לשליחים שמביאים לי משלוח בדואר” וכו' .על בסיס המידע שדלף ,ניתן בקלות רבה לגרום
לנזקים דוגמת שינוי מוטבים במקרה של פטירה באתרים מסוימים ,הפקת אישורים רשמיים אודות השירות הצבאי באמצעות אתר האישורים של צהל,
הפקת מסמכים מאתר משרד החינוך ,הוצאת מידע אישי של בעל התעודה מגופים פיננסיים ועוד .אמנם מערך הסייבר הנחה את משרדי הממשלה כבר
באוגוסט 2019להפסיק להשתמש בתאריך הנפקת תעודת זהות כגורם אימות במערכות הזדהות לקבלת שירותים דיגיטליים במשרדי הממשלה ,אך
כמות האתרים שעדיין בשנת 2024מתבססים על נתון זה ,הינה עצומה .ונזכור שאין מדובר רק על דלף של צילומי תעודות זהות .רוצים המחשה? תשאלו
את אלי אלברכט ,שהגיע לשגרירות ישראל בארה"ב במטרה לחדש את דרכונו לקראת ביקור בישראל עם משפחתו ,אך גילה שבשנים שלא היה בארץ
נעשו עסקאות בשמו ונפתח נגדו הליך הוצאה לפועל ללא ידיעתו .בשל החובות ,חושש אלי שגם אם יורשה להיכנס לישראל ,הוא לא יוכל לצאת ממנה
חזרה לביתו בארה"ב .עם הרבה פחות נתונים מזהים אודות פרט ,מתבצעות בישראל תרמיות רבות הכוללות התחזות למס הכנסה וגניבת כספים,
באמצעות זיוף הזהות שלכם אפשר לפתוח חשבון בנק ,לפזר צ׳קים ,לקחת הלוואות ולפתוח חשבונות ,לבצע מכירת נכסים ועוד .דוגמאות למכביר ניתן
למצוא בסרטון של רשות האוכלוסין וההגירה.
מה עוד קרה בפברואר? אתר חילופי הזוגות swinging.co.ilהכיל פרצות אשר מובילות לגישה קלה למידע שכולל מספרי כרטיסי אשראי ,פרטים
מזהים ,צ'טים ותמונות עירום של משתמשי הפלטפורמה .כפי שנכתב על המקרה הזה" :חשיפת מספרי האשראי ,זה מהדברים הפחות רגישים ומדאיגים
שנחשפו שם" .חשבו מה היה קורה בחודש שעבר ,במהלך הבחירות לשלטון המקומי ,לו היו מתפרסמות תמונות של אחד/ת המועמדים? ואם לאחר
הבחירות ,תפורסם כעת תמונה מהאתר של מועמד שנבחר לכהן כראש העיר ,במקום עם ציון מסוים או ממגזר מסוים? ומה לגבי משפחות ,נושאי משרה
שנתונים לסחטנות ,פוליטיקאים או אנשי כוחות הבטחון שעלולים לקבל מייל ממקור מאיים?
למתעניינים לדעת מה קרה באירוע זה בפירוט רב יותר ,ראו תחקיר שפורסם על ידי עידו קינן ונועם רותם בנושא.
לאחרונה ,פרסמה הרשות להגנת הפרטיות מסמך בדבר האחריות של חברי הדירקטוריון בחברות על הגנת הפרטיות .בטיוטת הנחיה זו ,מסמנת לנו
הרשות כיוון וצורת חשיבה רלוונטיים .וכך נכתב בטיוטה:
"הנחיה זו חלה על חברות אשר עיבוד מידע אישי מצוי בליבת הפעילות שלהן ,או על חברות אשר פעילותן יוצרת סיכון מוגבר לפגיעה בפרטיות .זאת ,בין
בשל מאפייני הארגון ,כגון חברות ציבוריות או חברות העוסקות בסחר במידע; בין בשל סוג המידע המעובד על ידן ורגישותו ,כגון סוגי המידע
המפורטים בפרט 1לתוספת הראשונה לתקנות או מידע על אוכלוסיות מיוחדות כדוגמת קטינים; ובין בשל היקף המידע או מספר מורשי הגישה אליו
וכו'"
היכן זה פוגש אותך?
ארגון אשר יודע כי הוא סבל מאירוע דלף ארגון אשר מחזיק נתונים רגישים פרט שחושש שפרטיו האישיים
דלפו
ידע את נשואי המידע בהתאם .היה שקוף ושתף • בדוק בצורה עיתית את הצורך • הירשם לשירותים אשר •
אודות האירוע ,והצעדים שעליהם לעשות בנדון להחזיק בכל המידע (עסקית, מאפשרים לך לדעת האם
במטרה למזער את הנזק משפטית וכו') .דאג למחוק מידע פרטייך נמצאו באירועי
וודא כי הפרצה באמת נסגרה .באירוע ראשים, • עודף דלף (באמצעות הגדרה
החולשה הייתה ידועה ודווחה על ידי חוקר וודאי כי בוצע Threat Modeling • בגוגל או שימוש באתר
האבטחה ליאור בן דוד חודשים רבים מראש עבור הנכס הרגיש ,וכנגזרת שלו חינמי כגון זה)
(כולל סרטון POCשמדגים את החולשה) ,ואף תכנית להפחתת הסיכונים פעל למזעור הנזק ככל •
לאחר אירוע הדלף ויציאתו לתקשורת ,הצליח בצע תסקיר להגנה על הפרטיות. • וניתן (החלפת סיסמאות,
ליאור להוכיח כי עדיין ניתן לגשת למערכות ניתן להיעזר במדריך של הרשות יציאה מאתרים וממאגרים
החברה .במקרה של סוויניגינג ,גם לאחר הטיפול להגנת הפרטיות בנושא "רגישים" ובקשה כי הם
הראשוני באירוע ,נמצא כי יש "חור נוסף" ימחקו את פרטייך,
וודא כי קיימת דרך ברורה ונוחה •
שמאפשר גישה לכל המידע .השתמשו בחוקרי התייעצות עם מומחי תוכן
לקבל דיווח על בעיות אבטחת
אבטחה לטובת וידוא כי הפרצות נסגרו באמת. (כגון פה או פה)
מידע ופרטיות
היעזרו באנשי מקצוע/מנהלי משברים •
הימנעו מביסוס תהליך ההזדהות •
מול המערכת על סמך נתונים
שזמינים באינטרנט או בפורומים
שונים (לדוגמא ,שיקלו להחשיב
את מספר הנפקת תעודת הזהות
כנתון שאיננו מוכמן)
היערך לגרוע מכל .שקול להשתמש •
בכלים ייעודיים אשר מסייעים
לצלוח את המשבר במינימום נזק,
ותוך שימוש בידע אשר נצבר
בתעשייה מאירועים דומים (כגון
כלי זה)