"הם לא חברה רשלנית, היה להם אנטי-וירוס וחומות והיו גיבויים. האם הם יכולים לעשות יותר? אני לא יודע, אבל הם עשו המון והקשיבו להנחיות מערך הסייבר כשעשו כל מה שהם ביקשו. אם אומרים שהם לא עשו מספיק אז אפשר להעמיד לדין 200 אלף חברות בישראל שעושות כמוהם" - כך אומר בשיחה עם ynet גורם מטעם חברת CyberServe, שקבוצת ההאקרים Black Shadow המזוהה עם איראן פרצה לשרתיה והדליפה יותר ממיליון רשומות, רובן של משתמשי אתר אטרף להיכרויות בקהילת הלהט"ב.
הכתבות הקודמות בנושא:
פרטים של מאות אלפי ישראלים נחשפו: איך חברות יכולות להתמודד עם בקשות הכופר?
(צילום: שחר גולדשטיין)
אחרי המתקפה על CyberServe אמרו במערך הסייבר כי התריעו בפני החברה כי היא חשופה לפריצה. על כך אומרים ב-CyberServe: "מפילים הכל על החברה במקום לרדוף את הטרוריסטים. המדינה הולכת על הראש של הארגון וזו תקלה. גם אם החברה לא הייתה מאה אחוז - ושוב, אני מזכיר שהם עשו המון - מצופה שהמדינה תשנה פרדיגמה ותתקוף את הטרוריסטים. כשמדינה הופכת את אזרחים שלה לקורבנות נחצה קו אדום. למדינה הייתה שנה שלמה מאירוע התקיפה של ההאקרים האלה נגד חברת שירביט לרדוף אחר הטרוריסטים. כשמדינת ישראל רוצה היא מגיעה לכל אחד".
האזינו לריפרש, פודקאסט הטכנולוגיה של ynet:
ממערך הסייבר נמסר בתגובה לטענות CyberServe: "מערך הסייבר הלאומי פנה, גם בשנה האחרונה, מספר פעמים לחברה והתריע בפניה באופן ספציפי על ליקויים ועל נסיונות תקיפה, עם הנחיות פרטניות לתיקון ולהתמודדות יעילה. רמת התחכום של התקיפה הייתה נמוכה ויכלה להימנע אם החברה היתה נוקטת בצעדים, הפשוטים יחסית. בחברות אחרות דומות שעליהן היו נסיונות, כולל בשבוע האחרון, הקשיבו למערך, שמרו על הלקוחות שלהם ומנעו בכך תקיפה".
ביום שלישי הדליפו ההאקרים, לאחר שלא קיבלו כופר בסך מיליון דולר, קובץ שמכיל רשומות של יותר ממיליון פרופילים באטרף, כולל כינויים, שמות, מיילים, סיסמאות, כתובות מגורים, העדפות מיניות, מצב משפחתי, פרטים מזהים כמו גובה וצבע שיער ומספר טלפון. לצדם, התגלו גם כ-17 מיליון רישומי שיחות ונתוני מיקום של משתמשים. גם פרטיהם של 320 אלף פרופילים שנמחקו מהאתר נמצאו במאגר. "מדובר באחד מפיגועי הפרטיות הקשים ביותר שידעה ישראל", הגדיר את האירוע מנכ"ל איגוד האינטרנט הישראלי, יורם כהן. בהמשך הדליפו ההאקרים רשומות של 290 אלף לקוחות של מכון מור, כולל מידע רפואי רגיש, וכן מאות אלפי רשומות מהאתרים של 103FM, של חברת הלוקרים Locker Amblin וכן של האתרים Trip Guaranty ו-Tacy Members.
אתמול נעתר בית משפט השלום בתל אביב לבקשת מחלקת הסייבר בפרקליטות והוציא צו המורה על הסרה של כל מידע אישי שהודלף משרתי CyberServe. מהפרקליטות נמסר כי ספקיות הגישה לאינטרנט יידרשו לחסום גישה לכל אתר אינטרנט שכולל את המידע האישי המודלף, ומנועי החיפוש יידרשו לסנן תוצאות חיפוש שמובילות למידע המודלף. בשלב זה ספקיות הגישה לאינטרנט החלו בחסימת הגישה לאתרים שבהם מופץ המידע האישי. למרות הצו, בבדיקה שערכנו הבוקר ערוץ הטלגרם של Black Shadow היה עדיין באוויר - אך הוא הוסר לאחר פנייתנו לפרקליטות. מהפרקליטות נמסר כי "הבוקר חסמה טלגרם שישה ערוצים נוספים של קבוצת הפצחנים Black Shadow, שבהן הופצו מאגרי המידע שנלקחו בעקבות הפריצה לשרתי חברת האחסון CYBERSERVE. כמו כן, גוגל המשיכה להסיר תוצאות חיפוש נוספות שהובילו לאתר אינטרנט בשימוש קבוצת הפצחנים". אתמול הודיעה הרשות להגנת הפרטיות כי פתחה בחקירה נגד חברת CyberServe בחשד שהתרשלה באבטחת המידע טרם התקיפה. הרשות אסרה על החברה להעלות את אתר אטרף חזרה לאוויר ולא תאפשר את העלאתו עד להודעה חדשה.
בעקבות ההדלפה החמורה משרתיה שכרה CyberServe את שירותיו של בכיר לשעבר במערך הסייבר - אותו גוף שנמצא כעת בעימות עם החברה. נראה שהיועצים של CyberServe מנסים לצייר את התוקפים כ"טרוריסטים" ואת מתקפת הסייבר כ"פיגוע" על מנת להציג אותה כאירוע לאומני ולגלגל את האחריות לידי המדינה. הטקטיקה הזאת עבדה במקרה של חברת הביטוח שירביט, שגם היא הותקפה על ידי קבוצת Black Shadow, אלא שבמקרה של CyberServe ההדלפה חמורה במיוחד, בגלל האופי הרגיש והאינטימי של החומר שפורסם.
גורמים בתחום הסייבר טוענים כי זהותם של ההאקרים כאיראנים לא הוכחה מעבר לכל ספק וגם אם כן, לא ברור אם הם פועלים בשליחות המשטר או משמרות המהפכה. כמו כן, ישראל פועלת כאשר היא יכולה נגד האקרים במדינות שונות בעולם, אבל הטענה שהיא יכולה להגיע לכל האקר בכל מקום היא יומרנית. דורון הדר, שותף בחברת קריטיקל אימפקט, מזכיר כי גם ארה"ב, עם כל המשאבים שלה, לא הצליחה לנטרל את קבוצת ההאקרים הרוסית הידועה לשמצה Revil שתקפה 1,500 חברות אמריקניות ב-4 ביולי.
רונן מואס, מנכ"ל חברת אבטחת המידע ESET ישראל, מציין כי "כמו שמצופה מהמדינה למנוע פיגועי טרור לא חשוב אם זה גוף פרטי או ציבורי כך מצופה ממנה גם למנוע פיגועי טרור סייבר כנגד ארגונים ואנשים פרטיים בישראל. אבל, זה לא פוטר את חברות דוגמת CyberServe להציב שומר בכניסה. כלומר, החברה צריכה לקחת אחריות ולבצע את הפעולות הנדרשות ולהשתמש במנגנונים הנכונים כדי להגן על המידע של הלקוחות שלה, שאלו אנחנו. במיוחד כאשר היא מקבלת התראות על ליקויי אבטחה שיש צורך לטפל בהם בדחיפות".
"יעברו ימים עד שיבינו מה קרה פה"
לדברי הגורם מטעם CyberServe, החברה נמצאת בתהליך העלאה מחדש של האתרים (למעט אטרף) והיא פנתה לרשויות בבקשה להשאיר את הפגיעה מינימלית ככל הניתן. "הם היו צריכים לחסום את Black Shadow ואז הפיגוע הזה לא היה קורה. לא ידוע איזה עוד מידע יש לתוקפים. אנחנו בעיצומה של החקירה ואם הייתה לנו תמונה יותר טובה זה היה מצוין. יעברו ימים עד שיבינו מה קרה פה. יש חשד שהטרוריסטים חדרו לשרתים, הצפינו אותם והעלימו עקבות בשביל לא להשאיר סימנים".
הגורם הדגיש כי החברה התקינה את כל הכלים שמערך הסייבר ביקש ממנה להתקין ומספר עוד על אירוע התקיפה: "ביום חמישי הייתה אינדיקציה על קובץ תקול באחד האתרים והלכו וסרקו והעבירו את הקבצים למערך הסייבר. אבל חשוב לי להדגיש, לא הייתה שום התרעה על אטרף והחברה מילאה אחר כל ההוראות". לדבריו, התחושות במשרדי החברה קשות: ״הצוות המנהל לקח את זה לליבו והוא עושה הכל כדי לצמצם את הנזק כמה שאפשר, כולל לדאוג לקהילה. בסוף זו חברת פיתוח קטנה וקשה לה שהיא נקלעה לסיטואציה הזו. אטרף היה הבייבי שלהם, לא ברמה הכלכלית אלא ברמה האישית".
ההאקרים פרסמו השבוע צילומי מסך של משא ומתן שהתקיים לכאורה עם החברה, אך הגורם מטעמה אומר כי מדובר בשקר וכזב. "חד משמעית הם לא ניהלו משא ומתן", הוא טוען, "לעניות דעתי ההאקרים עשו משא ומתן עם עצמם בשביל לזרוע פחד". על החשש שההאקרים יפרסמו בהמשך מידע נוסף על משתמשי אטרף, למשל תמונות או סרטונים, אמר הגורם: "קשה מאוד מהחומר שנחשף לאסוף תמונת זיהוי על אדם ספציפי. קשה מאוד לעשות הצלבה בין הנתונים לבין אדם מסוים. הטלפונים שפורסמו לפי בדיקה של החברה הם מראשית ימי האתר, לפני עשרים שנה, אז יכלו לקבל הודעות מאטרף לטלפון. זה קשה לאתר ולעשות התאמה בין המספרים והמיילים לאנשים״. הוא גם לא יודע לומר אילו נוספים נמצאים בידי התוקפים וטרם פורסמו: "כרגע הכל מחוק. החברה שלחה את השרתים לשחזור וברגע שיהיה לה את המידע הם יעדכנו את המשתמשים. החברה גם פתחה מוקד (03-5370569) ומי שמרגיש נפגע יכול להתקשר אליה או לארגוני התמיכה".
