דליפת האשראי: הפגזת ה-400 אלף
הסעודי אינו סעודי, האחראים למחדל אינם אחראים למחדל, מי שמגיב בזמן לאסון אינו מגיב בהגיון, וחברות האשראי הן רק הקדמה למאגר הביומטרי: ארבע הערות על
“החלטנו לתת לעולם מתנה לשנה החדשה, מידע על כ-400,000+ אנשים ישראלים”, התגאה הפרצן שפרסם השבוע קבצים עם פרטי אשראי של גולשים. דיווחי התקשורת הראשוניים הסתמכו על המספר הזה, עד שהגיע הגולש עופר שוורץ, סטודנט למתמטיקה ומדעי המחשב בטכניון, עבר על הרשימות, ניפה ואיחד וגילה שמדובר בסך הכל ב-18 אלף רשומות, שחלקן חוזרות מאות פעמים. אבל הזמן קצר, הדדליין דוחק, ו-400 אלף כרטיסי אשראי עושים כותרת הרבה יותר טובה מ-18 אלף.
עוד על מחדל האשראי:
אלף לילה ולילה
זהותו של הקראקר, שהעיד על עצמו שהוא סעודי, מוטלת בספק: האתר שאליו הפנה מאוחסן כנראה בדלאס. טענתו להשתייכות להתארגנות הבלתי מאורגנת “אנונימוס” מפוקפקת גם היא. באחד מפורפילי הטוויטר הגדולים של אנונימוס נכתב: “אין לנו אהבה לממשלה הישראלית אבל לתקוף אלפים רק כי הם ישראלים? סליחה, אתם לא #אנונימוס”. אפשר להאשים את הערפל שאופף את העולם המחתרתי הזה, אבל כשהפורץ עצמו מכריז על עצמו כאנרכיסט ערבי, קשה לעמוד בפיתוי להיתלות בסטריאוטיפ הזה, במקום לתייג אותו פשוט כעבריין.
פרוצים
בין פרטי האשראי הופיעו שמות של שני אתרי דילים, “קבוצתי” ו”סייל 365″, שמאוחסנים בחברת דובל. מנהל החברה, קורן תרשיש, אמר שלשום ל-ynet שהפורצים השתמשו בפירצה באתר אחר שמתאחסן בדובל, ודרכה נכנסו למאגרי הנתונים של שני האתרים. אתרי הדילים נבנו על ידי דובל והיו מאובטחים כראוי, אולם האתר שדרכו התבצעה הפריצה נבנה על ידי חברה אחרת, ועבר לדובל כמו שהוא, עם הפירצה.
מי אחראי למחדל? בעל האתר, שלא הקפיד על האבטחה? דובל, שהסכימו לארח אתר שאת רמת האבטחה שלו לא ידעו? אתרי הדילים, ששמרו את פרטי האשראי שלנו במקום להשמיד אותם בתום השימוש? לדעתי אסור להסיר אחריות משני גורמים אחרים: חברות האשראי ואנחנו הצרכנים. אנחנו לא צריכים לסמוך באופן עיוור על אתרים שאנחנו לא מכירים רק בגלל שהם נראים לנו בסדר. אפשר להתייעץ עם חברים, לחפש את שם האתר בפורומים של צרכנות ולפנות לבעלי האתר ולשאול אותם על נהלי אבטחת המידע שלהם. חברות האשראי, מצדן, צריכות לדרוש מאתרים לעמוד בסטנדרטים בסיסיים של אבטחת מידע, לעשות להם ביקורות מדגמיות ולהעניש אתרים שכשלו בכך, עוד לפני שיש פריצה, ובוודאי אחריה. אתר שמפקיר את פרטי האשראי של לקוחותיו לא צריך לקבל שירותי סליקה מחברות האשראי.
הנדסה חברתית
ביולי 2010 נחשף מסמך עם פרטי אשראי וסיסמאות משתמש של אלפי גולשים ישראליים, שכנראה נגנבו על ידי האקרים טורקיים במחאה על עצירת המשט הטורקי לעזה. המתכנת ארז וולף העלה אז טופס שבו ביקש מהגולשים להזין שם מלא, כתובת אימייל, סיסמה, פרטי אשראי ומספר תעודת זהות כדי לבדוק אם הם נמצאים ברשימה. עשרות גולשים לא הבינו את הסאטירה וסיפקו לוולף את הפרטים שלהם. לו היה האקר זדוני, הוא היה יכול לחגוג עליהם כהוגן. גם במקרה הנוכחי התנדבו גולשים לספק פרטי אשראי לאתרים שהבטיחו לבדוק עבורם אם הם במאגר, ביניהם אתרים רשמיים של חברות אשראי ואתרים פרטיים, כולל הבלוג של כותב שורות אלו.
המתכנת שחר שמש סיפר לאחרונה בבלוגו על בעיית אבטחה דומה בחברות הסלולר. כשעובדיו היו מבקשים לבצע פעולות בטלפונים הסלולריים שהוא סיפק להם, חברת הסלולר היתה מתקשרת אל שמש לקבל את אישורו לפעולה, ומבקשת ממנו לספק ארבע ספרות אחרונות של כרטיס אשראי כדי לוודא את זהותו. שמש הסביר שהוא לא מתכוון לספק פרטים כאלו לאדם שמתקשר ממספר חסוי ומציג את עצמו כנציג חברה סלולרית, אך למעשה עלול להיות האקר שמנסה לדוג פרטים למטרות זדוניות.
מימרה נודעת בעולם אבטחת המידע אומרת שהחלק החשוף ביותר לפגיעות במערכת מחשוב הוא זה שבין מסך המחשב לכסא המשרדי. כל עוד אנשים לא יבינו שהם צריכים להיות חשדנים כשהם מתבקשים לספק פרטים אישיים לזרים, אנשים בעלי כוונות זדון ימשיכו לנצל את החולשה האנושית הזאת.
תנו יד
חברות האשראי מיהרו להרגיע את הציבור: הכסף שלכם בטוח, העסקאות הלא-מאושרות יבוטלו, וכרטיסי אשראי שפרטיהם נחמסו ייחסמו. אבל מה יקרה כשהמאגר הביומטרי, שהמדינה מתעקשת להקים ולהפעיל בצורה שזכתה לביקורת מצד מומחים בתחום, יפרץ וייגנב? בניגוד לכרטיס אשראי שאפשר לבטל ולהחליף, טביעות אצבע ושאר מאפיינים ביומטריים נשארים איתנו עד המוות.