שמירה לקויה על אבטחת מידע באתר של מי עדן חשפה פרטים של כ-450 לקוחות. מדובר בשמות, כתובות, מספרי תעודות זהות, מספרי טלפון, כתובות אימייל וכן פרטי העסקה עם החברה. ההסכמים הועלו לאתר ייעודי כקבצי PDF, כאשר שמות הקבצים היו בפורמט אחיד שכלל את מספר ההזמנה. היות ומספרי ההזמנות הם עוקבים, מכתובת של חוזה אחד ניתן היה להגיע לכל ההזמנות שבאתר באמצעות שינוי המספר. מספר שעות לאחר פניית ynet שינו במי עדן את פורמט השמות ומחקו את החוזים הישנים מהשרת.
עוד כתבות שיעניינו אתכם:
"למרות שלא מדובר בפרטי אשראי, זוהי דליפת מידע חמורה", אומר אביב גבאי, מומחה אבטחת מידע. "השילוב בין הידיעה שאדם ביצע הזמנה ממי עדן לבין פרטים דוגמת סכום העסקה, יחד עם פרטי יצירת קשר בדמות אימייל וטלפון, מאפשרים לייצר הונאות ממוקדות ואפקטיביות במיוחד. דמיינו לעצמכם ששעה אחרי השלמת העסקה עם מי עדן אתם מקבלים סמס או מייל שמציין כי בהמשך לעסקה שבוצעה בתאריך הזה, על סכום כזה וכזה, המערכת זיהתה כי מגיע לכם זיכוי על חלק מהסכום, ואתם מתבקשים להכניס את פרטי האשראי אליו ייכנס הזיכוי. בניגוד להונאות הגנריות מהן אנו רגילים להיזהר, כאן האמינות של ההודעה גבוהה הרבה יותר בגלל הפרטים שנמסרים לקורבן".
יש להבהיר כי לא ידוע על מתקפות כאלה נגד לקוחות מי עדן, וכי הלקוחות שפרטיהם היו חשופים הם רק מי שביצעו עסקאות מול החברה בשבועות האחרונים.
לאחרונה, התגברו הניסיונות לשפר את האפקטיביות של קמפייני ה"דיוג" (phishing) - הונאה בהתחזות דרך אמצעי אלקטרוני - שמופנים נגד ישראלים. הודעות באנגלית קלוקלת ועברית רצוצה התחלפו בניסיונות הונאה הרבה יותר אמינים, שמדמים חברות ישראליות והודעות שרבים מאיתנו רגילים לקבל, כמו הודעה על חבילה שנמצאת בתהליך שחרור מהמכס.
בשלב הזה, כל פרט אמיתי שיש לתוקפים על הקורבן הפוטנציאלי יכול להגדיל בצורה מהותית את שיעור האנשים שייפלו קורבן להונאה. דוגמה לכך תוכלו למצוא במיילים שמנסים לסחוט קורבנות בטענה ששולח המייל פרץ למחשביהם, הפעיל את מצלמת הרשת וצילם אותם ברגעים מביכים. תוקפים אלה נוהגים לתת הוכחה לאמיתות דבריהם בדמות סיסמה שכביכול נגנבה מהמשתמש במהלך הפריצה, כשלמעשה מדובר בסיסמה שדלפה ממאגר מידע כזה או אחר שהתוקף רכש גישה אליו.
מי עדן: "לא נעשה שימוש לרעה במידע"
ממי עדן נמסר בתגובה: "מי עדן פועלת עקב בצד אגודל לפי הוראות חוק הגנת הפרטיות, תקנות אבטחת המידע ונהלים מחמירים נוספים לצורך אבטחת מלוא המידע אשר במאגריה. במקרה זה מדובר באתר אשר עלה לאוויר לפני כשבועיים, במטרה לשמש כאתר לחתימת חוזה דיגיטלי ללקוחות החדשים בחברה, וכולל עד כה חוזים בהיקף נקודתי ונמוך של לקוחות חדשים. חשוב להדגיש כי בחוזים אשר נחתמים באתר אין פרטים בדבר אמצעי תשלום או מידע רגיש אחר של הלקוחות. בנוסף, יש להדגיש כי לא נעשה כל שימוש לרעה במידע וכן את העובדה שמכיוון שהאתר פעיל רק כשבועיים השתמשו באתר מספר מצומצם של לקוחות בלבד. אנו מודים ל-ynet על הארת תשומת ליבנו לתקלת אבטחת המידע ושמחים להודיע כי היא תוקנה במהרה".
