מקור דליפת האשראי: פרצת אבטחה אצל השכן
מנהל חברת האחסון של האתרים שנפרצו: "נתנו שירות אחסון לאתר שלא בנינו. הבעיה הייתה בבניה של האתר ההוא. האשמים בפרשה - ההאקרים הסעודים"
אמש פרצו האקרים את אתר One והפנו את הגולשים אליו לעמוד שבו סיפרו שהצליחו להשיג כ-400 אלף פרטים אישיים של ישראלים, כולל מספרי כרטיסי אשראי. כל גולש יכל להוריד את הקבצים, שהכילו, כך הסתבר, כ-18 אלף מספרי כרטיסיי אשראי שנגנבו מאתרים שונים. הקבצים הוסרו מהאתר בשעות הלילה, אולם הוא הורד אלפי פעמים והוצב מחדש באתרים אחרים ברשת. (רשימת כרטיסי האשראי, בעילום כמה פרטים, מופיעה כאן).
עוד על כרטיסי האשראי
- בטוח לקנות ברשת? היום שאחרי הגניבה
- אלפי כרטיסי אשראי ישראלים נגנבו על ידי האקרים
- חשיפת האשראי: ניתוקים ועומס במוקדי השירות
פרצו דרך השכן
"חוץ מאתרים שאנחנו בונים, אנחנו נותנים שירותי אחסון לאתרים שאנחנו לא בנינו", אמר ל-ynet קורן תרשיש, מנהל דובל. לדבריו, האתר שנפרץ נבנה על ידי חברה אחרת והועבר להתארח אצלם. כך, כאשר הוא נפרץ, כל השרת היה חשוף. כשהפריצה התגלתה, היא נחסמה מיד והאתר הוסר מהאוויר.
מדוע הוכנס אתר לא מאובטח לשרת? "אין לנו אפשרות לבדוק קוד של אתרים שלא בנינו", אומר תרשיש, "הבעיה הייתה בבניה של האתר ההוא. האתר נבנה בפלטפורמה שאנחנו לא מכירים. זה לא משהו שהיינו יכולים לבדוק או לדעת מראש". תרשיש מוסיף שהחברה בדרך כלל לא מעלה אתרים שלא בנתה בעצמה ומדובר במקרה חריג, ומזכיר, "האשמים הם הסעודים, שפרצו לאתר".
"הפרטים שלנו מוצפנים, וזה כולל את הסיסמאות", מוסיף תרשיש, "הם (ההאקרים) פרצו את ההצפנה. האקרים יכולים גם לפרוץ את ההצפנות. יש תקן מוגדר של חבורת האשראי שהאתרים עומדים בו. כל השרתים שלנו מאובטחים. יש לנו אבטחת מידע של בזק בינלאומי, השרתים לא אצלנו במשרד, אבל האקרים תותחים יכולים לפרוץ גם לפנטגון. אנחנו עושים כל מה שאנחנו יכולים באבטחת מידע. מעולם לא פרצו לנו לאלפי אתרים שאנחנו מארחים. אנחנו בודקים את הנושא".
"אם לא הגנו על המידע - אחראים בנזיקין ללקוחות"
הרשות לטכנולוגיה ומידע במשרד המשפטים גם בודקת את נושא דליפת כרטיסי האשראי. יורם הכהן, ראש הרשות, מסביר שבאופן עקרוני כל מי שמעבד מידע אישי, נמצא תחת המשטר של חוק הגנת הפרטיות. כרטיסי אשראי נחשבים למידע פיננסי, אבל הם יוכלים מהרמאוד להביא למידע אישי כמו מידע על רכישות, או הזדהות באמצעות 4 ספרות בכרטיס האשראי בחברות הסלולר, האינטרנט וחברות אחרות שאנחנו לקוחות שלהן.
בבנקים וחברות גדולות, מסביר הכהן, אמור להיות אחראי על פרטיות ועל מאגרי מידע. חברות קטנות שסולקות כסף באשראי נעזרות לעתים בשירותים חיצוניים או מאחסנות את האתר שלהם בחברת אחסון. לפי הכהן, גם חברת האחסון, במקרה הזה, אחראית על מאגר המידע ועל אבטחתם. בנושא אשראי, יש תקן בינלאומי שנקרא PCI, שאותו קבעו חברות האשראי העולמיות.
הכהן מסביר שבאופן כללי ולא בהכרח בקשר לפרשה הנוכחית שעדיין בבדיקת הרשות, "אם התברר שמישהו הפר את החובה להגן על אבטחת מידע, אז הוא הפר את החוק, והוא בוודאי אחראי בנזיקים ללקוחות שלו. כל לקוח כזה שמידע עליו נחשף יכול לתבוע את האתר בעילה של הפרת חוק הגנת הפרטיות ולקבל פיצויים, גם ללא הוכחת נזק".
הכהן מוסיף, "יכול להיות מצב שמי שמנהל את האתר יש לו יופי של אבטחת מידע ועדיין הצליחו לפרוץ לו. אבל בדרך כלל אין אבטחת מידע ברמה גבוהה", ואומר כי על האתרים להחזיק מינימום של מידע שנדרש, כי "המידע שהכי קל להגן עליו הוא זה שלא קיים". לבעלי האתרים הוא מציע לא לשמור מידע בחלקים גלויים באתר.
מקובל בעולם, גם בחברות גדולות כמו איביי, אמזון ואחרות שפרטי כרטיס האשראי והכתובת נשמרים בשביל רכישות עתידיות. אם המידע לא יישמר, יהיה צריך להקליד אותו מחדש בכל רכישה. "אבטחת מידע זה לא דבר נוח", אומר הכהן, "יותר קל להקיש 12345 ולא לזכור סיסמה. אבל כשמוותרים על אבטחת מידע לטבות נוחות אנשים יכולים להפגע (...) אתרים כמו איביי ואמזון, יש להם השקעה גדולה באבטחת מידע, אבל מצד שני הם נהיים אטרקטיביים לפריצה".
האם אתה מרגיש בטוח לקנות ברשת?
"אני מרגיש בטוח, כי אני חושב שהביעה היא לא הקניה. פעולת הקניה היא מבוטחת. ככל שמדובר בפרטי כרטיס האשראי שלי, הסיכון מגודר. העניין הוא שאתה צריך קודם כל לא למסור הרבה מאוד הפרטים. זה המקרה שבו אתה מוסיף מידע לא רלוונטי. על זה אין ביטוח. אם גונבים את הפרטים שלך האישיים, ונגרם לך נזק כספי ורגשי - אין מי שיפצה אותך". הכהן אומר שיש להזהר מאתרים מתחזים ולתת כמה שפחות מידע לאתרים שנרשמים אליהם.
אם הפרטים שלנו חשופים בעקבות דליפת מרשם האוכלוסין, ודליפה של פרטי האשראי, איך אפשר להגן על הזהות שלנו?
הכהן אומר שהפתרון לטווח הארוך הוא תעודת זהות חכמה, שאמורה היא אמורה להיות מוגנת ואמינה. אפשר גם להשתמש בכרטיסים חכמים או במכשירים שמייצרים סיסמאות מתחלפות ונמצאים בשימוש במגזר העסקי. הכהן מסביר שיש שלושה אמצעי זיהוי - משהו שאתה יודע (כמו סיסמה), משהו שיש לך (כמו כרטיס חכם) ומשהו שהוא אתה (כמו טביעת אצבע). שילוב של לפחות שניים משלושת האמצעים האלה מאפשר זיהוי בטוח יותר.
תעודת זהות חכמה אומרת גם מאגר ביומטרי , שחוששים מהדליפה שלו.
"כמובן שזה מאגר אטרקטיבי, וזה בהחלט משהו שימשיך להיות בדיון, אבל רמת אבטחת המאגר הביומטרי היא לא בליגה של מה שקרה פה".
כל מסעדה שומרת את הפרטים שלך
עו"ד דן חי, מומחה להגנת הפרטיות ולדיני אינטרנט, אומר שהוא קונה באשראי ברשת, אבל לא בכל מקום. "באשראי הבעיה היא שהרבה מאוד גופים שקונים מהם דברים, ולא רק ברשת, שומרים את פרטי האשראי בזכרון של המחשב. כל מסעדה קטנה יש לה את האשראי שלך. צריכה להיות אכיפה ברורה, שגורמים לא יכולים להחזיק את האשראי, ואבטחת המידע צריכה להיות חזקה יותר".
חי מוסיף כי "אנשים אדישים מאוד לזכות שלהם לפרטיות. רק כשזה מציק כולם מתעוררים. כרטיס האשראי זה דבר שאפשר לעבוד איתו נכון. מספיק שבחברה יש תפוח רקוב שיעשה קניות על חשבונך. אני ממליץ לקנות רק באתרים וחנויות שלא שומרים את הפרטים שלך".
כדאי לשמור רק פרטים מזהים מועטים
מיכאל האפרתי, מומחה לאבטחת מידע, אומר כי "מאחר שרוב החנויות המקוונות אינן עובדות ישירות מול חברות האשראי אלא מול ספק שירותי סליקה, כמו paypalגוגל check out וכדומה, לא מומלץ ואין צורך לשמור פרטי כרטיס אשראי מלאים, אלא רק פרטים שישמשו כמזהה חד ערכי לרשומה של כל לקוח. לדוגמה, תוקף הכרטיס וארבע ספרות אחרונות, מבלי לשמור את שאר פרטי הכרטיס".
כך, הוא מסביר, "כל פעולה מתבצעת ישירות מול חברת הסליקה, אשר בנקודת הרכישה, הגולש מועבר לדף מאובטח של ספק זה לצורך הרכישה בפועל, ומוחזר לחנות המקוונות עם תום העיסקה. אם אתר מעוניין לשמור פרטי כרטיסי אשראי, עליו להשתמש בהצפנה חזקה ובשום מקרה לא לשמור על השרת את המפתח הפרטי של הצפנה זו".
תסמונת מאגרי המידע
בימים אלו של פריצות למאגרי מידע, ראוי להזכיר שבימים אלו מקימה מדינת ישראל מאגר משל עצמה - אמנם מאובטח יותר - והיא מתכוונת לכלול בו את כל אזרחיה. המאגר הביומטרי, שנמצא בשנים האחרונות תחת ביקורות נוקבות, בין השאר לגבי כמה מאובטח המאגר.
בעניין הזה אמר היום השר מיקי איתן, "מספרי כרטיסי האשראי שנפרצו ניתן להחליף, אך מה נעשה כאשר יפרץ המאגר הביומטרי? נחליף את הפרצופים של אזרחי המדינה? נצרוב לכולנו טביעות אצבע חדשות? היום אנחנו מדווחים על פריצת מאגר כרטיסי האשראי, לא מזמן דווחנו על פריצת מאגר מרשם האוכלוסין. כל אדם סביר צריך להביא בחשבון שהמאגר הביומטרי יפרץ אף הוא. עדיין לא מאוחר לעצור את מצעד האיוולת של המאגר הביומטרי, שתועלתו מפוקפקת ונזקו בלתי הפיך". חברת הכנסת שלי יחימוביץ' גם היא מבקשת לעצור את יישום החוק: "הלילה הוכח כי הטענה כי מדובר במאגר בלתי ניתן לדליפה היא חסרת שחר, ולמידע אינטימי זה יש אין סוף הזדמנויות לדלוף גם לידי גורמים עוינים, פליליים, או סתם תאבי בצע".