שוב: פרטי גולשים דלפו לרשת
אם נרשמתם בעבר לאתר הקופונים גרופאנץ', ייתכן שהסיסמאות שלכם דלפו לרשת בשל מחדל אבטחה; עוד דלפו: פרטים אישיים של פונים לחברות שונות, ביניהן חברה להסרת שיער
עוד בחדר 404:
- יורשי בוב מארלי מאיימים לתבוע את ח"כ אריה אלדד
- אודטה נגד ספאם בפייסבוק
- יועצי הניו מדיה של אובמה גורמים לנו להראות רע
חדד פנה אלינו, ומהבדיקה שערכנו עולה שהסיסמאות המופיעות בקובץ לא פועלות עוד באתר גרופאנץ'. עם זאת, ובשל נטייתם של גולשים להשתמש באותן סיסמאות לשירותים שונים, חלק מהסיסמאות עדיין שמישות באתרים אחרים. בדיקה מדגמית שערכנו הראתה שניתן להשתמש בסיסמאות כדי לחדור לחשבונות ג'ימייל, וואלה מייל ופייפאל.
אם נרשמתם לאתר גרופאנץ', חפשו את שמכם ברשימה הזו (הסרנו ממנה את כתובות האימייל והסיסמאות). אם מצאתם את שמכם, מומלץ להחליף את הסיסמה בכל שירות שבו אתם עושים בה שימוש.
אבל זה לא הכל: בבדיקה שערכנו גילינו באותו דומיין כמה וכמה קבצי נתונים של בתי עסק נוספים, ובהם פרטים אישיים של לקוחות. הקבצים מגוונים: חלקם עוסקים בסטטיסטיקות של משתמשים, חלקם - בפרטי לקוחות פוטנציאלים ("לידים") שאנשי מכירות יצרו איתם קשר טלפוני. באחד הקבצים, המרכז לידים של עסק להסרת שיער, יש פירוט אינטימי של הפונים ושל הטיפולים שהם מעוניינים בהם, וכן הערות, מעליבות בחלקן, על הלקוחות ("עור כהה מלא שיער!", "דפוקקקקקקקקקקק").
מקור הדליפה –- חברת "שיא טכנולוגיות"
המשותף לכל הקבצים הוא שכולם מופיעים באתר squares.co.il. המתחם רשום על שם שי פינקלשטיין, מנכ"ל שיא טכנולוגיות, המוכרת מערכת ניהול קשרי לקוחות בשם CSM. בין לקוחותיה מונה שיא טכנולוגיות חברות גדולות כמו בלוקבאסטר, הד ארצי, NMC יונייטד וטאוור רקורדס. גם אתר הקופונים גרופאנץ', שפרטיו של חדד נלקחו ממנו, משתמש במערכת של שיא טכנולוגיות. הקבצים שהמערכת מייצרת, כך נראה, מופיעים באופן גלוי למנועי חיפוש ואינם מוגנים בסיסמה.
אבי עמר, שכתובת המתחם של גרופאנץ' רשומה על שמו, מסר בתגובה: "זה אתר שלי שהקמנו לפני שנה וחצי, הם (החברה של פינקלשטיין, ע.ק) כבר שנה משכירים את הדומיין ממני ומפעילים אותו תחת החברה שלהם".
לקוח ששמו הופיע בקובץ הסרת השיער העיד שפנה לשם לפני זמן רב – לפי הערה בגוף הקובץ, נקבע לו תור לסוף ספטמבר (לא מצוין איזו שנה). בקובץ אחר, שעוסק ככל הנראה בהקמת קבוצות נטוורקינג, מופיעים תאריכי פגישות מ-2006 ועד 2010. קובץ נוסף שייך לבית עסק שהשתמש ב-CSM לתקופת ניסיון בלבד. "עבדנו איתם תקופה קצרה, בערך שבועיים, ועזבנו", מספרת בעלת העסק, שביקשה ששמה לא יוזכר. משמעות הדבר היא שבשיא טכנולוגיות לא רק שלא שמרו כראוי על אבטחת המידע של לקוחותיהם – הם גם לא מחקו קבצים של לקוחות שהפסיקו לעבוד איתם.
"הורדנו את הקובץ", הודיע פינקלשטיין בערבות פנייתנו. "זה קובץ ישן שהיה על השרת - קובץ טסטים. בהעברה של בסיס הנתונים העברנו רשומות כדי לראות שהכל עובר כמו שצריך, היה שם קובץ טסטים שכנראה נשכח על השרת".
זה לא הקובץ היחיד, יש שם יותר מעשרה קבצים של עסקים שונים עם המון מידע על אנשים.
פינקלשטיין ביקש לבדוק את הדברים, ומסר בהמשך תגובה מעודכנת: "הקבצים אשר הופיעו על השרת היו קבצי טסט, אשר עקב טעות אנוש לא הוסרו לאחר השימוש בהם. הקבצים הכילו מספר מועט של פרטים וכמובן לא הכילו פרטים רגישים, חברתנו נוקטת בכל צעדי האבטחה האפשריים ותמשיך לנהוג כך".
הכלל: אתר אחד - סיסמה אחת
הפרשה הזו מצביעה על מחדל אבטחה חמור מצד שיא טכנולוגיות, וכן על הקלות שבה כל אחד יכול להחזיק במאגרי מידע, גם אם הוא לא מגלה אחריות לאבטחתם. גם בפרשה הקודמת, שבה עשרות אלפי פרטי אשראי של ישראלים דלפו לרשת, מקור הדליפה היה אתר קופונים קטן. אבל גם מצידנו נדרשת אחריות: ראשית, אל תספקו פרטים אישיים לאתר שאתם לא סומכים עליו (בגרופאנץ', למשל, אין אפילו מספר טלפון לפניות, רק כתובת אימייל). שנית, חשוב לוודא שלכל שירות משתמשים בסיסמה שונה (מי שמתקשה לזכור עשרות סיסמאות מוזמן להשתמש באותה סיסמה אך בשינויים קטנים, למשל password_paypal, password_gmail, וכן הלאה.
"חשבתי לשלוח מייל לכל התפוצה של האימיילים, שהסיסמאות שלהם נפרצו", אמר חדד, קורבן הפריצה. אחרי שנכווה הוא מבקש להעביר מסר: "שאנשים יחליפו סיסמאות מדי פעם ולא ישתמשו באותה סיסמה לאתרים שונים כמו שאני עשיתי".
לפנייה לכתב/ת 
