הפריצה הגדולה: מה קרה, מה עושים

האקרים גנבו ככל הנראה 1.2 מיליארד סיסמאות וחצי מיליארד אימיילים מ-420 אלף אתרים במה שנראה כאחת מגניבות המידע הגדולות בהסטוריה. כך דווח אתמול על ידי הניו יורק טיימס.

הולד, החברה שגילתה את הפריצה לא מסרה מידע על אילו סיסמאות נגנבו והאם היו מוצפנות, בשל הסכמי סודיות לטענתה. גם לא ברור אם מדובר באתרים קטנים, במידע ישן, במידע עסקי או במשהו גדול יותר שנוגע ליום-יום של רוב הגולשים.  החברה אומרת שורב התקיפה הייתה בארה"ב, אך קשה להבין מהדיווח כמה גולשים נפגעו במדינות שונות בעולם, והאם זה השפיע על גולשים ישראלים.

חברת הולד כן אמרה כי נפגעו חברות גדולות ואתרים קטנים, וכי חלקם עדין לא תיקנו פרצות אבטחה שאפשרו את גניבת המידע. עוד פורסם כי נעשה שימוש במידע שנגנב בשביל לשלוח ספאם דרך טוויטר. אך אין זה אומר בהכרח שנגנב מידע מטוויטר עצמה.

(צילום: Shutterstock)

בהמשך דווח בפורבס כי הולד מציעה תמורת 10 דולר לחודש (ומעלה) בדיקה לאתרים כדי לראת אם נפגעו. בחברה אומרים כי מדובר בתשלום לכיסוי ההוצאות.

חיפשו אתרים לא-מוגנים

דן פסטור, ראש תחום מודיעין בחברת Cytegic, מסביר כי מדובר ב-1.2 מיליארד פריטי מידע בלעדיים והדרך שבה פעלה הכנופייה היא חיפוש של מאגרי מידע מתקיפות קודמות, בפורומים ובשווקים שחורים, וצירופו למידע חדש כדי לבנות מאגר גדול.

"בהמשך הם חברו לכנופיות אחרות והגיבור את קצב האיסוף", אומר פסטור,"רוב התקיפות היו לחברות פשוטות יחסית - למשל אנשים שלא דואגים לאבטח את המחשב הביתי, ועד עסקים קטנים ותאורטית גם חברות גדולות. אך המידע לא נחשף ונמצא בידי חברות הולד".

פסטור מסביר שבנוסף לאגרית המידע הישן, הפורצים הפעילו צבא בוטנטים, כלומר מחשבים נגועים בוירוסים - שבהחלט יכולים להיות המחשבים הביתיים שלנו. מחשבים אלה חיפשו ברחבי האינטרנט אתרים, רשתות ומחשבים שפגיעים לפירצה שמכונה SQL Injection ללא ידיעת הבעלים והעבירו את המידע לפורצים שהמשיכו ללקט ולבנות את המאגר. "זו פריצה שעל פי רוב מוגנים ממנה", אומר פסטור, אך הוא מסביר שיותר קל כיום לבצע חיפושים ולגלות מי לא מוגן.

(צילום: Shutterstock)

מה עושים?

פריצה בהיקף כזה אכן מדאיגה, אך פרצות וגניבת סיסמאות הן כבר לא אירוע נדיר. הפירסומים על הפירמצה האחרונה מצטרפים לדיווח של הפריצה שנעשתה לאיביי, לאדובי, סוני ואתרים אחרים, וכמובן לפריצות וגניבות שנעשות במחשכים ואנחנו לא שומעים עליהן. בחודש אפריל האחרון דווח גם על בעיית אבטחה רצינית בשם Heartbleed שהשפיעה על רוב האתרים הגדולים בעולם, ואפשרה לפחות תאורטית להאזין למידע ולגנוב סיסמאות. כך שתמיד כדאי להיות מוגנים.

אם האתרים עדיין לא תיקנו את פרצות האבטחה אין הרבה מה לעשות בקשר לאתרים הללו, למעט לחכות שהם יתקנו את בעיות האבטחה ויעדכנו גירסאות באתרים. 

מה שכן אפשר לעשות, וזו עצה שנכונה לכל זמן הוא לנהל נכונה את הסיסמאות שלכם בכל האתרים, החל מאתרים שאתם נרשמים חד פעמית בשביל לקבל קופון או ניוזלטר, דרך רשתות חברתיות כמו אינסטגרם וסיקרט, ועד לאתרים הגדולים כמו פייסבוק, ג'ימייל ואתר הבנק שלכם.

(צילום: Shutterstock)

סיסמה מורכבת - נכון. אם גנבו סיסמאות זה לא משנה כמה הסיסמה תהיה מורכבת או ארוכה - היא נמצאת אצל הגנב. אם האתר ששומר עליה לא הצפין אותה באופן ראוי, היא חשופה. אבל סיסמה מורכבת תקשה על מי שירצה לנחש אותה, ויש אתרים שדורשים את זה - לפחות 8 אותיות, בשילוב של אותיות, תווים מיוחדים, ומספרים - ולא מילים מהמילון, שמות או תאריכים.

להחליף סיסמה - כדאי פעם במספר שבועות-חודשים להחליף את הסיסמה. כן. קשה לזכור, אבל זה בדיוק אמצעי שמונע ממידע שזלג עליכם ומתפרסם, או נמכר במחשכים מלשמש נגדכם. החליפו את הסיסמה למשהו אחר, במיוחד בשירותים החשובים שמחזיקים עליכם מידע אישי - בנק, פייסבוק, ג'ימייל וכדומה.

אמצעי שחזור מורכב - חלק מהאתרים מציעים שחזור סיסמה באמצעות שאלה כמו איך קוראים לסבתא שלכם, או באיזו עיר נולדתם. מידע כזה מופיע עליכם ברשתות חברתיות, וכן במקומות אחרים שאולי פרצו אליהם. אם זה פורץ שמחפש אתכם ספציפית אפשר לעשות לו את החיים קשים ולשקר.שם העיר שנולדתם - קחו את העיר שהייתם רוצים להיוולד בה למשל. שם של סבתא? שימו את שם של השכנה.

סיסמה אחת לכל שירות - זה מעצבן, זה קשה לזכור וזה מבלבל. אבל זה אמצעי הגנה חשוב מאוד. אם גנבו את המייל והסיסמה שלכם מאתר חלש שלא מפעיל אמצעי הגנה גדולים, או אפילו מאתר גדול כמו איביי, הפורצים, או מי שהשיג את המידע, ינסו להקליד את אותם מיילים וסיסמאות בשירותים אחרים, ישיגו עליכם יותר מידע, ויפיצו בשמכם וירוסים.

אמצעי אימות כפולים - אתרים כמו פייסבוק וג'ימייל מציעים אימות כפול או דו שלבי. הכוונה היא שבנוסף להכנסת הסיסמה הקבועה, יש להכניס סיסמה חד פעמית בשביל להשלים את התהליך ולקבל גישה לאתר. המשמעות היא שאם יש בידי מישהו אחר את הסיסמה שלכם, הוא לא יוכל להכנס איתה. את הסיסמה החד פעמית מקבלים באפליקציה שמייצרת אותו או בסמס, ומדריך מפורט נמצא ממש כאן.

פסטור מוסיף שעדיף לא לנדב מידע שלא צריך, למשל בטפסים שבהם יש שדות שאינם חובה, ולא לנדב את מספר הטלפון. בעסקות מקוונות, לוודא שמדובר באתר מאובטח (שיש לו מנעול) ולא להקליק על קישורים חשודים, גם אם הם מגיעים מאדם מוכר - כי הפורצים יכולים להתחזות אליו.  

חשוב להגיד שאין 100אחוז אבטחה. "למשתמש הפשוט יש יכולת להפעיל בקרות אבטחה שונות, ובהעיקר התנהגות זהירהב שמונעת פגיעה, אבל הרבה פעמים זה לא בידיים שלך, אלא בידיים של מי שמסרת לו את המידע".