‫‪11.3.24‬‬ ‫מאת יובל שגב‬ ‫האם הפרטיות מתה?

‬
‫דלף המידע מחברת ‪ ToysRus‬הינו משחק ילדים‬
‫אנשים אשר ביצעו בעבר רכישה בחברת ‪ , ToysRus‬עשויים לגלות שמידע אישי שלהם דלף‪ .‬סביר‬
‫להניח‪ ,‬שפרטים אלו הם חלק מאירוע הפריצה מתקפת סייבר אותה חוותה חברת אחסון האתרים‬
‫‪ ,Signature-IT‬אשר השביתה את הפעילות של עשרות חברות המפעילות אתרי סחר מקוונים‬
‫בנובמבר האחרון (נראה כמו נצח בעולם של סייבר ופרטיות)‪ .‬כחלק מאירוע זה‪ ,‬התוקפים הצליחו‬
‫בין היתר לקבל גישה לרשימות דיוור שנשמרו בשרתי החברה‪ ,‬באמצעותם הפיצו לאלפי ישראלים‬
‫הודעות ‪ SMS‬ומיילים עם מסרי נאצה‪ .‬על פי הפרסום ב ‪ ,ynet‬נראה שהקובץ שדלף ומיוחס לאירוע‬
‫כולל דלף של "מיליוני רשומות" של משתמשים אשר ביצעו רכישה באתר (שם ‪ +‬מייל)‪.‬‬

‫אין זה מפתיע‪ ,‬כאשר אנו זוכרים כי הישראלי הממוצע השאיר את פרטיו האישיים במאות אתרי‬
‫אינטרנט של חברות ושירותים מקוונים (כ ‪ 20% -‬יותר מהממוצע העולמי)‪ .‬אבל בעוד שהכתבות‬
‫בעיתונים מפעילות ברומטר של "אוי אוי אוי" לפי "כמות" המידע שדלף‪ ,‬אין ספק שהגיע הזמן לכייל את הברומטר לגבי האיכות (עוצמת הנזק)‪.‬‬
‫כותרות בגין מיליון רשומות שדלפו‪ ,‬או מאה מיליון‪ ,‬משיגות רייטינג‪ ,‬אך כמות המידע הינה מימד אחד בלבד‪ ,‬ואני לא בטוח שהחשוב שבהם‪ ,‬וחודש‬
‫פברואר האחרון יוכיח כמאה עדים‪.‬‬

‫אז לטובת מי שלא עוקב אחרי החדשות‪ ,‬או לא עוקב אחר פורומים מקצועיים בהם מסקרים את הנושאים החמים ביותר (אם אתם לא עוקבים אחרי ארז‬
‫דסה‪ ,‬מומלץ לעצור את הכתבה ולהצטרף בחינם לערוץ שלו)‪.‬‬

‫מספר הטלפון שלי לא מעניין אף אחד‪ ,‬והוא גם ידוע לכולם ומפורסם ממילא‬
‫אחד הקטעים המצוטטים ביותר בספר אליס בארץ הפלאות של לואיס קרול הוא הקטע בו החתול שונר צ'שר עונה לשאלה של אליס על לאן עליה ללכת‪:‬‬
‫אליס‪" ,‬התואיל להגיד לי‪ ,‬בבקשה‪ ,‬באיזו דרך עלי ללכת מכאן"? "זה תלוי במידה רבה לאן את רוצה להגיע‪ ",‬אמר החתול‪.‬‬
‫"לא איכפת לי כל‪-‬כך לאן – " אמרה אליס‪" .‬אם כך‪ ,‬לא משנה באיזו דרך תלכי‪ ",‬אמר החתול‪.‬‬

‫מספר הטלפון שלנו אולי איננו "מטריד" חלק גדול מהקוראים‪ ,‬אך מה קורה אם הוא דלף בהקשר של טיפול רפואי? או פסיכולוגי? או מאתר המספק‬
‫שירותים דיסקרטיים?‬

‫אז מה קרה בחודש שעבר?‬

‫בתאריך ‪ ,5/3‬קיבלו חברי הסגל האקדמי ומנהלי קהילות‬

‫הסטודנטים במכללת קיי הודעה בדבר אירוע סייבר אשר כלל‬
‫פריצה למערכת "ראשים" איתה המכללה עובדת‪ .‬למעשה‪,‬‬
‫מכללת קיי איננה היחידה‪ .‬לצידה‪ ,‬עמדו מכללות וגופי הדרכה‬
‫רבים נוספים‪ ,‬אשר נמצאים בין לקוחות "ראשים" (מבית מלם‬
‫טים)‪ .‬פריצה זו‪ ,‬יכולה להיות "עוד אירוע דלף מידע" בו "שוב‬
‫נפגעה הפרטיות השחוקה ממילא"‪ ,‬אבל לא כך המצב‪.‬‬
‫שוני זה‪ ,‬נובע הן בשל ההקשר של המידע שדלף‪ ,‬אבל לא פחות‬
‫מכך בשל פירוט וסוג המידע שדלף באירוע זה‪ .‬הנזק שנוצר‬
‫מדלף המכיל שילוב של מידע רגיש מסוגים שונים הוא חמור‬
‫עשרות מונים‪ ,‬כיוון שאנו מסתמכים על אימות באמצעות‬
‫פריטי מידע שונים במקרה של ספק או חשד‪.‬‬

‫האם דלף ‪ 100,000‬רשומות = = ‪ 100,000‬רשומות? חישבו לכמה אנשים יש מוטיבציה‪ ,‬ומה הם יכולים לעשות אם הם יקבלו "רק" את השם שלכם‬
‫וכתובת המייל או מספר הטלפון‪ .‬עכשיו‪ ,‬תחשבו מה ניתן לעשות אם יודעים עליכם את ציוני הבגרות‪ ,‬מצב רפואי כולל יכולת לקבל אישורים מקוריים‪,‬‬
‫צילום תעודת זהות עם כל הפרטים (כולל תאריך הנפקה וכו')‪ ,‬פרטי הוראות קבע ועוד‪ .‬אז זה מה שקרה לאזרחים רבים בחודש שעבר‪ .‬אגב‪ ,‬הפרצה‬
‫הייתה ידועה זמן רב ונבעה מרמת אבטחה נמוכה מאוד ואי יישום של עקרונות מאוד בסיסיים‪ .‬הנושא היה ידוע לחברה (ולמערך הסייבר הלאומי) לאחר‬
‫שחוקר האבטחה ליאור בן דוד דיווח להם‪ ,‬וחלק גדול מהמידע שדלף‪ ,‬זמין גם בימים אלו ברחבי הרשת במקומות שונים‪.‬‬

‫חלק מהקוראים‪ ,‬יטענו עדיין "אוקי‪ ,‬זה מידע שאני מחלק לשליחים שמביאים לי משלוח בדואר” וכו'‪ .‬על בסיס המידע שדלף‪ ,‬ניתן בקלות רבה לגרום‬
‫לנזקים דוגמת שינוי מוטבים במקרה של פטירה באתרים מסוימים‪ ,‬הפקת אישורים רשמיים אודות השירות הצבאי באמצעות אתר האישורים של צהל‪,‬‬
‫הפקת מסמכים מאתר משרד החינוך‪ ,‬הוצאת מידע אישי של בעל התעודה מגופים פיננסיים ועוד‪ .‬אמנם מערך הסייבר הנחה את משרדי הממשלה כבר‬
‫באוגוסט ‪ 2019‬להפסיק להשתמש בתאריך הנפקת תעודת זהות כגורם אימות במערכות הזדהות לקבלת שירותים דיגיטליים במשרדי הממשלה‪ ,‬אך‬
‫כמות האתרים שעדיין בשנת ‪ 2024‬מתבססים על נתון זה‪ ,‬הינה עצומה‪ .‬ונזכור שאין מדובר רק על דלף של צילומי תעודות זהות‪ .‬רוצים המחשה? תשאלו‬
‫את אלי אלברכט‪ ,‬שהגיע לשגרירות ישראל בארה"ב במטרה לחדש את דרכונו לקראת ביקור בישראל עם משפחתו‪ ,‬אך גילה שבשנים שלא היה בארץ‬
‫נעשו עסקאות בשמו ונפתח נגדו הליך הוצאה לפועל ללא ידיעתו‪ .‬בשל החובות‪ ,‬חושש אלי שגם אם יורשה להיכנס לישראל‪ ,‬הוא לא יוכל לצאת ממנה‬
‫חזרה לביתו בארה"ב‪ .‬עם הרבה פחות נתונים מזהים אודות פרט‪ ,‬מתבצעות בישראל תרמיות רבות הכוללות התחזות למס הכנסה וגניבת כספים‪,‬‬
‫באמצעות זיוף הזהות שלכם אפשר לפתוח חשבון בנק‪ ,‬לפזר צ׳קים‪ ,‬לקחת הלוואות ולפתוח חשבונות‪ ,‬לבצע מכירת נכסים ועוד‪ .‬דוגמאות למכביר ניתן‬
‫למצוא בסרטון של רשות האוכלוסין וההגירה‪.‬‬
 ‫מה עוד קרה בפברואר? אתר חילופי הזוגות ‪ swinging.co.il‬הכיל פרצות אשר מובילות לגישה קלה למידע שכולל מספרי כרטיסי אשראי‪ ,‬פרטים‬
‫מזהים‪ ,‬צ'טים ותמונות עירום של משתמשי הפלטפורמה‪ .‬כפי שנכתב על המקרה הזה‪" :‬חשיפת מספרי האשראי‪ ,‬זה מהדברים הפחות רגישים ומדאיגים‬
‫שנחשפו שם"‪ .‬חשבו מה היה קורה בחודש שעבר‪ ,‬במהלך הבחירות לשלטון המקומי‪ ,‬לו היו מתפרסמות תמונות של אחד‪/‬ת המועמדים? ואם לאחר‬
‫הבחירות‪ ,‬תפורסם כעת תמונה מהאתר של מועמד שנבחר לכהן כראש העיר‪ ,‬במקום עם ציון מסוים או ממגזר מסוים? ומה לגבי משפחות‪ ,‬נושאי משרה‬
‫שנתונים לסחטנות‪ ,‬פוליטיקאים או אנשי כוחות הבטחון שעלולים לקבל מייל ממקור מאיים?‬
‫למתעניינים לדעת מה קרה באירוע זה בפירוט רב יותר‪ ,‬ראו תחקיר שפורסם על ידי עידו קינן ונועם רותם בנושא‪.‬‬

‫לאחרונה‪ ,‬פרסמה הרשות להגנת הפרטיות מסמך בדבר האחריות של חברי הדירקטוריון בחברות על הגנת הפרטיות‪ .‬בטיוטת הנחיה זו‪ ,‬מסמנת לנו‬
‫הרשות כיוון וצורת חשיבה רלוונטיים‪ .‬וכך נכתב בטיוטה‪:‬‬
‫"הנחיה זו חלה על חברות אשר עיבוד מידע אישי מצוי בליבת הפעילות שלהן‪ ,‬או על חברות אשר פעילותן יוצרת סיכון מוגבר לפגיעה בפרטיות‪ .‬זאת‪ ,‬בין‬
‫בשל מאפייני הארגון‪ ,‬כגון חברות ציבוריות או חברות העוסקות בסחר במידע; בין בשל סוג המידע המעובד על ידן ורגישותו‪ ,‬כגון סוגי המידע‬
‫המפורטים בפרט ‪ 1‬לתוספת הראשונה לתקנות או מידע על אוכלוסיות מיוחדות כדוגמת קטינים; ובין בשל היקף המידע או מספר מורשי הגישה אליו‬
‫וכו'"‬
‫היכן זה פוגש אותך?‬

‫ארגון אשר יודע כי הוא סבל מאירוע דלף‬ ‫ארגון אשר מחזיק נתונים רגישים‬ ‫פרט שחושש שפרטיו האישיים‬
‫דלפו‬

‫ידע את נשואי המידע בהתאם‪ .‬היה שקוף ושתף‬ ‫•‬ ‫בדוק בצורה עיתית את הצורך‬ ‫•‬ ‫הירשם לשירותים אשר‬ ‫•‬
‫אודות האירוע‪ ,‬והצעדים שעליהם לעשות בנדון‬ ‫להחזיק בכל המידע (עסקית‪,‬‬ ‫מאפשרים לך לדעת האם‬
‫במטרה למזער את הנזק‬ ‫משפטית וכו')‪ .‬דאג למחוק מידע‬ ‫פרטייך נמצאו באירועי‬
‫וודא כי הפרצה באמת נסגרה‪ .‬באירוע ראשים‪,‬‬ ‫•‬ ‫עודף‬ ‫דלף (באמצעות הגדרה‬
‫החולשה הייתה ידועה ודווחה על ידי חוקר‬ ‫וודאי כי בוצע ‪Threat Modeling‬‬ ‫•‬ ‫בגוגל או שימוש באתר‬
‫האבטחה ליאור בן דוד חודשים רבים מראש‬ ‫עבור הנכס הרגיש‪ ,‬וכנגזרת שלו‬ ‫חינמי כגון זה)‬
‫(כולל סרטון ‪ POC‬שמדגים את החולשה)‪ ,‬ואף‬ ‫תכנית להפחתת הסיכונים‬ ‫פעל למזעור הנזק ככל‬ ‫•‬
‫לאחר אירוע הדלף ויציאתו לתקשורת‪ ,‬הצליח‬ ‫בצע תסקיר להגנה על הפרטיות‪.‬‬ ‫•‬ ‫וניתן (החלפת סיסמאות‪,‬‬
‫ליאור להוכיח כי עדיין ניתן לגשת למערכות‬ ‫ניתן להיעזר במדריך של הרשות‬ ‫יציאה מאתרים וממאגרים‬
‫החברה‪ .‬במקרה של סוויניגינג‪ ,‬גם לאחר הטיפול‬ ‫להגנת הפרטיות בנושא‬ ‫"רגישים" ובקשה כי הם‬
‫הראשוני באירוע‪ ,‬נמצא כי יש "חור נוסף"‬ ‫ימחקו את פרטייך‪,‬‬
‫וודא כי קיימת דרך ברורה ונוחה‬ ‫•‬
‫שמאפשר גישה לכל המידע‪ .‬השתמשו בחוקרי‬ ‫התייעצות עם מומחי תוכן‬
‫לקבל דיווח על בעיות אבטחת‬
‫אבטחה לטובת וידוא כי הפרצות נסגרו באמת‪.‬‬ ‫(כגון פה או פה)‬
‫מידע ופרטיות‬
‫היעזרו באנשי מקצוע‪/‬מנהלי משברים‬ ‫•‬
‫הימנעו מביסוס תהליך ההזדהות‬ ‫•‬
‫מול המערכת על סמך נתונים‬
‫שזמינים באינטרנט או בפורומים‬
‫שונים (לדוגמא‪ ,‬שיקלו להחשיב‬
‫את מספר הנפקת תעודת הזהות‬
‫כנתון שאיננו מוכמן)‬
‫היערך לגרוע מכל‪ .‬שקול להשתמש‬ ‫•‬
‫בכלים ייעודיים אשר מסייעים‬
‫לצלוח את המשבר במינימום נזק‪,‬‬
‫ותוך שימוש בידע אשר נצבר‬
‫בתעשייה מאירועים דומים (כגון‬
‫כלי זה)‬