פרשת שירביט חוזרת בגלגול חדש? פושע סייבר בשם Sangkancil טוען כי גנב נתונים של כ-7 מיליון אזרחים ישראלים בפריצה לאתר הרשויות המקומיות CITY4U. אם הוא אומר אמת, מדובר באירוע הפגיעה בפרטיות החמור ביותר בישראל אי פעם. מנגד טוענים מספר גורמים בתחום הגנת הסייבר כי מדובר במסמכים שהושגו בפריצת סייבר לעיריית הרצליה בסוף 2020, ולא בפריצה חדשה, וכי מטרת האירוע היא לפגוע בתדמית ישראל. מעיריית הרצליה נמסר בתגובה כי לא התרחשה כל דליפת נתונים ממערכות העירייה.
מאתמול מפרסם התוקף מספר גדול של מסמכים כהוכחה לדבריו, בהם תעודות זהות, רישיונות נהיגה וחשבונות ארנונה של ישראלים, באירוע שמזכיר את מאפייני התקיפה על חברת הביטוח שירביט בחודש דצמבר האחרון. המסמכים מתפרסמים בקבוצת טלגרם ובמספר פורומים של הדלפות, בהם הפורום שבו פרסם ההאקר DarKrypt את המסמכים שנגנבו לאחרונה מאוניברסיטת בר אילן. בשעות הערב פירסם התוקף את המחיר שהוא דורש עבור כל הנתונים: ביטקוין אחד, כלומר כ-150 אלף שקל.
לפי ההודעה שפרסם התוקף הוא הצליח לחדור למספר עיריות ורשויות מקומיות, ולגנוב מידע על כ-80 אחוזים מאזרחי ישראל. המידע מוצע למכירה בסכום שאינו מפורט. כמו כן התוקף פרסם שני קבצים מרוכזים עם נתוני שמות אזרחים ביזור השרון ותל אביב, המידע כולל את השם המלא, שם האב, תאריך לידה ומספר הטלפון. לדבריו, יש בידיו מידע על נכסי הנדל"ן של האזרחים, ומסמכים נוספים. השבוע נחשף ב-ynet כי מספר אתרים בישראל מכילים חולשה שלא טופלה במערכת ההגנה שלהם. אחד האתרים האלה הוא אתר חברת "אוטומציה החדשה" שמפעילה את אתר CITY4U.
פרסום המסמכים מלווה בהודעות קנטרניות מצידו של התוקף. בהודעה ראשונה הוא הצהיר: "הצלחתי בהשגת גישה למידע רגיש של הרשויות המקומיות בישראל, המתינו למידע נוסף". לאחר מכן פרסם הודעה בה נאמר: "מספר רשויות מקומיות בישראל נפרצו. מידע על הרכוש והזהות של יותר מ-90 אחוזים מאזרחי ישראל הועלה לפורום למכירה. המידע כולל מידע על זהות האזרחים והרכוש שלהם. נתונים כמותיים ומסמכים. 7 מיליון רשומות עם מסמכים מצורפים".
בהמשך הוא פירסם הודעה שמסבירה את עיתוי הפרסום: "ועכשיו, זו ההפתעה הראשונה שלי לכבוד ראש השנה היהודי, תהנו", ולהודעה מצורף קובץ גדול של פרטי אזרחים. והתוקף מבטיח: "המתינו, עוד הפתעות צפויות בקרוב". הפרסומים בקבוצת הטלגרם הביאו מאות עוקבים ישראלים והתוקף הצהיר כי יפרסם מידע נוסף כשהערוץ שלו יגיע ל-2000 עוקבים. מספר העוקבים ממשיך לעלות במהירות והוא הגיע ל-1,200 היום (יום ב') בצהריים. בשעה 19:00 חצה מספר העוקבים את קו ה-2,000 ודקות ספורות לאחר מכן פרסם התוקף קובץ עם 139 צילומי מסמכים של אנשים נוספים וכתב: "הם חושבים שהם מאובטחים. חה חה. אני אפרסם את הרכוש והזהות של אזרחים ישראלים". לאחר מכן כתב כי בכוונתו לפרסם מסמכים נוספים לקראת יום הכיפורים.
האם שמו שם הפורץ יכול להעיד שהוא ממלזיה? Sang Kancil הוא שם שלקוח מאגדות-עם ממלזיה ואינדונזיה. מדובר בדמות של צבי זעיר ("צבי עכבר" או שברוטאן), שבפקחותו ובשנינותו גובר על אויביו ומתחמק מנסיונות ללוכדו. באחרונה היו מספר מתקפות של האקרים מאלזיים על אתרים בישראל, במטרה לגרום להם נזק וזאת כחלק מתמיכתם במאבק הפלסטיני. עם זה, ההתנהגות הקנטרנית והניסיון לבייש את הגנת הסייבר הישראלית מאפיינים מתקפות סייבר איראניות.
אתר CITY4U מופעל על ידי חברת אוטומציה חדשה, בבעלות וואן טכנולוגיות הבורסאית, והוא נותן שירותי מחשוב ל-60 אחוזים מהרשויות המקומיות, בהן 12 מהעיריות הגדולות בישראל וכן לתאגידי מים, חברות עירוניות ואיגודי ערים. השירותים כוללים גבייה, פיננסיים, שכר ומשאבי אנוש, חינוך, חניה, הנדסה ומיפוי GIS. "הלקוח מקבל את כל השירותים מספק אחד מקצה לקצה, שלוקח על הכול אחריות, מה שנותן ללקוחות ביטחון, שקט נפשי וטכנולוגיה מתקדמת תחת קורת גג אחת" נכתב באתר החברה.
מחברת אוטומציה החדשה נמסר: "החברה מתחקרת את הטענות לדלף מידע ממערכת City4U מאז פורסמו לראשונה בערב החג, ונמצאת בקשר שוטף עם מערך הסייבר הלאומי. בבדיקות שנערכו עד כה, לא זוהתה כל חדירה למערכת ולא מן הנמנע שמדובר במידע ישן ומוגבל בהיקפו. ככלל, יש לציין כי מערכת City4U מחזיקה נתונים של כמה מאות אלפי ישראלים לכל היותר, ולא בסדרי הגודל שהזכיר התוקף בהודעתו. אוטומציה החדשה משקיעה משאבים רבים באבטחת מידע והינה מוסמכת תקן אבטחת המידע ISO 27001. החברה עורכת באופן תדיר סקרי סיכונים ומבדקי חדירה, ומקיימת בקרות שוטפות של חדירות המערכות שלה לפריצות סייבר. אנו ממשיכים בחקירת האירוע ונעדכן ככל שיהיו ברשותנו ממצאים חדשים".
מרכז השלטון המקומי שלח הערב הודעה לראשי הרשויות ובו נמסר כי מבירור עם מערך הסייבר הלאומי ועם חברת אוטומציה החדשה, לא היתה בימים האחרונים מתקפת סייבר על החברה. "להבנתנו, וממה שידוע נכון לעכשיו, מדובר במידע ישן שמהימנותו ומקורו נמצאים בבדיקת החברה", נאמר בהודעה.
גורם בתחום הגנת הסייבר העריך כי ריכוז המידע בידי אוטומציה החדשה מוכר מזה זמן על ידי מערך הסייבר, משרד הפנים והרשות הגנת הפרטיות כסיכון משמעותי ואולם לא נעשו פעולות כדי לחייב את החברה בהקמת מערכת הגנת סייבר חזקה. בין אם הפריצה התבצעה עכשיו, או לפני מספר חודשים, מדובר בפגיעה בפרטיות של אזרחים רבים בישראל, ויש חשש כי יימצאו קונים רבים למידע, בין השאר מקרב פושעים העוסקים בגניבת זהויות ובסחר בכרטיסי אשראי גנובים, ואף מחברות שמבצעות הפצות הודעות ספאם בטלפון וחברות שיווק ישיר.
ממערך הסייבר לא נמסרה תגובה. מרשות הגנת הפרטיות נמסר כי הנושא מוכר לרשות ונבחן על ידה. מומחית ההיערכות למתקפות סייבר, עינת מירון, אמרה בתגובה: "הגיע הזמן שהרשות להגנת הפרטיות תבקש מאתנו סליחה. יום כיפור הקרוב הוא רק תירוץ".
מומחה הסייבר והמו"מ, סא"ל (מיל') טיראן פרטוק, העריך כי מדובר באירוע שנועד להשפיע על התודעה: "מפיצים את המידע ומציעים לכאורה למכור אותו כאילו יש לו ערך ציבורי. הערך שלו, אם כבר, יהיה לגורמי מחקר מדינתיים. ערכו עולה כשלא מתפרסם שהאתר נפרץ. ביחד עם ציון ראש השנה היהודי, המוטיביציה כאן להביך היא ברורה מעבר לכל מוטיבציה כלכלית והצעת המכירה נועדה לרתום את המדיה". ד"ר הראל מנשרי, ממקימי מערך הסייבר בשב"כ וראש תחום סייבר במכון הטכנולוגי חולון, אמר: "המידע שהתפרסם עד כה נראה מיושן ויתכן כי זה מידע ממוחזר. גם התנהגות התוקף אינה דומה לתוקפים אחרים מהשנים האחרונות".
עמרי שגב מויאל, מנכ"ל חברת הטיפול במשברי הסייבר Profero, אמר: "הפעילות הזו ניראת חלק מקמפיין תודעה אנטי-ישראלי, שמתנהל בזירה הדיגיטלית ונועד בעיקר להביך את ישראל ולפגוע בשמה כמעצמה טכנולוגית. כחלק מהקמפיין המתמשך הזה, האקרים משתמשים בלא מעט תרגילים, חלקם מפוברקים לחלוטין, במטרה לזרוע פחד בציבור הישראלי. יחד עם זאת, אסור לזלזל: ישראל היא יעד מרכזי למתקפות סייבר מצד מדינות אויב וגורמים אחרים. אסור שישראל תפקיר את העורף שלה בשדה הדיגיטלי והיא חייבת לקחת אחריות על המגזר העסקי. חברות והמדינה, חייבות להגביר את מאמצי הגנת הסייבר שלהן, במיוחד בתקופות רגישות כמו זו של החגים."
הפריצה למערכת המידע של העיריות בישראל אינה הראשונה מסוגה. ב-2018 חשף ההאקר נעם רותם פירצה במערכות המידע של חברת אוטומציה החדשה, שאפשרה גישה למאגרי מידע ובהם תשלומים לעיריות, ארנונה, דו"חות חנייה, הליכי אישור בנייה - ובמקרה אחד, אף איפשרה לשנות חלק מהמידע.
המלצת מערך הסייבר הלאומי למקרה של דליפת תעודת הזהות היא להנפיק תעודת זהות חדשה חכמה. כמו כן, במקרה של אירוע דלף מידע ייתכן שימוש בנתונים למתקפת דיוג ממוקד באמצעות דוא"ל, SMS או VISHING. לכן מומלץ לא ללחוץ על לינקים או צרופות המתקבלות בהודעות אלא להיכנס בצורה יזומה לחשבון על ידי הקלדת כתובת האתר או שימוש במנוע חיפוש, אין לתת פרטים לגורם המחייג אליכם גם אם יש לו מידע שכביכול קיים בחברה כיוון וייתכן שמדובר במתחזה. מומלץ לחייג באופן עצמאי אל החברה לבירור.
פורסם לראשונה: 11:09, 07.09.21
