יותר מ-10 מיליון קבצים עם פרטים אישיים של אנשים שהזמינו מלונות ברשת, כולל מספרי כרטיסי אשראי, אוחסנו על שרת שהיה חשוף להאקרים - כך חשפה בסוף השבוע חברת אבטחת מידע בשם Website Planet. נכון לעכשיו, לא ידוע אם האקרים אכן חדרו לשרת וניצלו את המידע לרעה.
booking ו-hotelsbooking ו-hotels
האתרים הגדולים נפגעו
(עיבוד תמונה. צילום: shutterstock)
מדובר בקבצים של חברת Prestige Software שפיתחה פלטפורמה בשם Cloud Hospitality אשר משמשת אתרים מוכרים להזמנת מלונות: booking, hotels, expedia, agoda ואחרים. הקבצים כוללים בין היתר שמות מלאים, כתובות מייל, מספרי תעודות זהות, מספרי טלפון, פרטי אשראי מלאים (כולל תוקף וקוד CVV) ומידע נוסף על ההזמנה. המידע היה שמור על שרת של AWS, חטיבת המחשוב ושירותי הענן של אמזון.
ב-Website Planet אמרו כי הקובץ הישן ביותר במאגר הוא מ-2013 והקובץ האחרון הוא ממש מהימים האחרונים. בסך הכל מדובר בקבצים במשקל 24.4 גיגה בייט, כאשר מאוגוסט 2020 בלבד ישנם 180 אלף קבצים. ככל הנראה מיליוני אנשים ברחבי העולם הושפעו מפרצת האבטחה, ופרטי האשראי של מאות אלפים נחשפו. והחוקרים מאמינים שכל חברה שעבדה עם פלטפורמת Cloud Hospitality נפגעה. החברות עצמן, הדגישו, אינן אשמות במחדל האבטחה. ב-AWS אבטחו את המידע בעקבות פניית חוקרי האבטחה.
נכון לעכשיו אין מידע המצביע על כך שנעשה שימוש לרעה במידע של המשתמשים, אבל אי אפשר לשלול זאת לחלוטין. אם זה אכן קרה, "יהיו השלכות אדירות על הפרטיות, הבטיחות והרווחה הפיננסית של מי שפרטיו נחשפו".
מחשב שנפרץמחשב שנפרץ
"שימוש מוגבר בשירותי ענן"
(עיבוד תמונה. צילום: shutterstock)
לוטם פינקלשטיין, מנהל מחלקת מודיעין סייבר בחברת אבטחת המידע הישראלית צ'ק פוינט, מוסיף כי "המעבר המהיר של חברות רבות לעבודה מרחוק הביא לשימוש מוגבר בשירותי ענן במטרה לאפשר גישה גם מהבית למאגרי המידע ומשאבי החברה. אולם, ללא אמצעי אבטחה ראויים, מידע רגיש עלול להיות חשוף לאינטרנט - ובסופו של יום לפגוע בציבור לקוחות החברה. ארגונים חייבים לוודא כי גם בענן הם מיישמים את פרקטיקות האבטחה הנדרשות כדי להבטיח את פרטיות הלקוחות".

מה יכולים האקרים לעשות עם המידע שנחשף:

  • להשתמש בכרטיסי האשראי
  • לגנוב זהות
  • להשתמש במידע כדי לבצע הונאות ומתקפות פישינג
  • להדביק בנוזקות
  • לשנות תאריכים ופרטים אחרים בהזמנות קיימות
  • להשתמש במידע מביך למטרת סחיטה

השתמשתי באחד האתרים. מה עליי לעשות עכשיו?

העצות של צ'ק פוינט
  • להשתמש באימות דו-שלבי לחשבון המייל ולחיובי כרטיס האשראי, כדי להבטיח שלא מתבצעות פעולות ללא ידיעתכם
  • להיות ערניים יותר למתקפות פישינג שנושאות את הפרטים שמסרתם. מתקפות שכאלה עשויות להגיע בתקופה הקרובה
  • לפנות לחברת כרטיס האשראי על מנת לוודא שהכרטיס מוגן מפני רכישות שאינן אופייניות
  • בפעם הבאה להשתמש בשירותי סליקה כגון PayPal אשר אינם חושפים את פרטי כרטיס האשראי ברכישות אונליין. כך תבטיחו שגם אם נחשפו פרטים כמו במקרה הזה, לא יהיה ניתן לבצע רכישה באמצעותם