מנכ"ל כ.א.ל: בלי פיקוח, פרטי מיליונים בסכנה
אחרי שההאקר הסעודי פרסם רשימה חדשה של 11 אלף כרטיסי אשראי, הזהיר מנכ"ל כ.א.ל ישראל דוד כי בלי התערבות מצד המדינה, זה רחוק מלהיגמר. חלק מהקורבנות הגיבו באדישות ובהומור. "לפחות הוא לא מחרים מתנחלים", אמר יו"ר מועצת יש"ע. משה מאריאל: "אני לא מודאג, יש ביטוח"
"ללא התערבות הרגולציה שתעמיד תקנים מחמירים ותפקח על האתרים - פרטיהם של מיליוני אזרחים בסכנה" - כך הזהיר אתמול (יום ה') מנכ"ל חברת כ.א.ל, ישראל דוד, בעקבות הדלפת פרטי האשראי של עשרות אלפי ישראלים. הוא הסביר כי בישראל אין אכיפה על רמת האבטחה של האתרים וחברות האשראי תלויות ביכולת האבטחה של כל אתר ואתר.
הדלפת האשראי - הכתבות האחרונות:
ההאקר הסעודי ל-ynet: "זו רק ההתחלה"
11 אלף כרטיסי אשראי חדשים נגנבו
ההאקר הסעודי: יש לי מיליון כרטיסי אשראי
לחצ/י לצפייה ברשימה החדשה שפורסמה
כמעט 11 אלף איש הצטרפו אתמול לרשימה ההולכת ומתארכת של ישראלים שפרטי האשראי שלהם הודלפו לאינטרנט. דוד, שהחברה בניהולו משווקת את כרטיסי ויזה, דיינרס ומסטרקארד, קרא למדינה להתערב בשמירה על הפרטים האישיים של אזרחי ישראל, והדגיש שללא התערבות שכזאת, פרטים נוספים יודלפו לאינטרנט בעתיד.
כמה מקורבנותיו של ההאקר הסעודי 0xOmar הופתעו לגלות כי שמם מופיע ברשימה החדשה, אך נשמו לרווחה כשגילו שלא נעשה שימוש לרעה בפרטיהם. אחד מהם הוא דני דיין, יו"ר מועצת יש"ע, שבחר להתייחס לכל העניין בהומור. "אכן ההאקר הסעודי חצה גם את הקו הירוק וכרטיס האשראי שלי נכלל ברשימה", סיפר, "מה שאני יכול לומר לזכותו של ההאקר הוא שלפחות הוא לא מחרים מתנחלים, כמו שעושות כמה נשמות טובות בישראל. תכל'ס לא נגרם לי שום נזק, אפילו הוראות הקבע שלי הן על כרטיס אשראי אחר, כך שגם לא נגרמה לי אי נוחות".
משה שלמאי, תושב אריאל, סיפר ל-ynet כי גיסתו הודיעה לו שמצאה את שמו ברשימה. "אני לא מודאג", אמר למרות הכל, "יש לי ביטוח. לאחרונה עשיתי עסקאות דרך אתרי קופונים -Ebay, וזה אמנם קצת מדאיג שפרצו לי, אבל גם אם נעשו עסקאות דרך הכרטיס שלי, אין לי מה לעשות עם זה. אני עדיין לא מודאג מהפריצה הזאת".
שמואל בלכר מפתח תקווה הופתע לגלות מ-ynet כי פרטיו פורסמו ברשת ומיהר לבדוק את חיוב האשראי שלו. "בדקתי באתר חברת כרטיסי האשראי שלי ושם היה כתוב כי לא נעשו פעולות חריגות ואין לי מה לדאוג", סיפר, "נכון שכתובת המייל מתאימה לפרטים שלי, אבל כנראה שלא השתמשו בכרטיס שלי אלא רק חשפו אותו".
מוקדי השירות של חברות האשראי:
לאומי קארד - 03-6178888
ישראכרט - 03-6364333
ויזה כ.א.ל - 03-5726444
כמחצית מהכרטיסים שנחשפו אתמול שייכים ללקוחות חברת ישראכרט. מאות מלקוחות ויזה כ.א.ל ועשרות מלקוחות לאומי קארד נפלו קורבן גם הם. הם מצטרפים ל-18 אלף ישראלים שפרטיהם נחשפו כבר ביום שני. ההאקר 0xOmar טען כי ברשותו פרטים של מיליון כרטיסי אשראי ישראלים, ובראיון ל-ynet אמר כי הוא מבקש לנקום בישראל על כך שהיא "תוקפת פלסטינים חפים מפשע ומבצעת רצח עם".
בינתיים, נראה כי רבים מהכרטיסים רק נחשפו אך לא נעשה בהם שימוש לרעה. עמית מול, תושב כפר ידידיה, סיפר כי במהלך השבוע גילה שהכרטיס של אשתו מופיע ברשימות. "בבדיקה שערכנו התברר שלא היו תנועות חריגות ולא מוכרות. גם בכרטיס האשראי שלי לא היה משהו חריג, אז אני לא מודאג".
איתי שרגני ממושב מצליח סיפר כי לא ידע ששמו מופיע ברשימה וגם חברת האשראי לא פנתה אליו. "בדקתי בימים האחרונים את הפעולות בכרטיס שלי ולא היו פעולות חריגות שלא הכרתי", סיפר. שמואל דזאלאשינסקי מחיפה הביע אופטימיות: "הרבה שנים לא עשיתי קניות דרך אתרי אינטרנט או אתרי קופונים. אני מנסה להתקשר לחברת האשראי וכרגע אין תשובה, אבל לא נראה לי שהיתה אפשרות לפרוץ לי לכרטיס".
בעקבות דליפת האשראי, תקיים ביום שלישי ועדת המדע והטכנולוגיה של הכנסת דיון בנושא "מוכנות ישראל למתקפת סייבר". בדיון ישתתפו נציגי משרד ראש הממשלה, משרד המשפטים, משרד האוצר, משרד הביטחון, משרד החוץ, בנק ישראל, מטה הסייבר הלאומי, ספקי שירותי אינטרנט וגורמים נוספים.
"אנו חייבים להיערך כנגד איום הסייבר ולהקדים את אלו המנסים לאמץ את שיטת טרור האינטרנטית ולפגוע במדינת ישראל", אמרה יו"ר הוועדה, ח"כ רונית תירוש. "יש להתייחס לאיום זה כאל טרור לכל דבר, להיערך בהתאם ולהגיב בצורה הנחרצת ביותר".
שרת לא מוגן
הפרשה החלה בערב יום שני. אתר האינטרנט One נפרץ ומי שניסה לגשת אליו הופנה לאתר אחר, שהציג הודעה מאת ההאקר הסעודי וקישור לקובץ, שהכיל 400 אלף פרטים של ישראלים. בין הפרטים הייתה רשימה, הגדולה שפורסמה אי פעם, של כרטיסי אשראי ישראלים. הרשימה הכילה כ-18 אלף מספרים; יש הערכות שונות לגבי כמה מהכרטיסים היו תקפים - מכמה מאות (לטענת חברות האשראי) ועד כ-14 אלף (לטענת חלק ממומחי האבטחה).
בין פרטי האשראי הופיעו שמות של שני אתרי דילים, "קבוצתי" ו"סייל 365", שמאוחסנים בחברת דובל. מנהל החברה, קורן תרשיש, אמר ביום שלישי ל-ynet שהפורצים השתמשו בפירצה באתר אחר שמתאחסן בדובל, ודרכה נכנסו למאגרי הנתונים של שני האתרים. אתרי הדילים נבנו על ידי דובל והיו מאובטחים כראוי, אולם האתר שדרכו התבצעה הפריצה נבנה על ידי חברה אחרת, ועבר לדובל כמו שהוא, עם הפירצה.
שני אתרי הקופונים שמהם נגנבו חלק מפרטי האשראי שנחשפו שלשום דווקא היו מוגנים כראוי - אולם הפורצים חדרו לאתר לא מוגן שנמצא על אותו שרת, ודרכו למאגרי המידע של האתרים המוגנים. כך טוענים בחברת דובל, שאצלה מתאחסנים האתרים. הדבר משול לפורץ שנכנס לדירה נעולה דרך החלון של הדירה השכנה. בדובל אומרים שהאתר שנפרץ נבנה על ידי חברה אחרת והתאחסן אצלהם, ולא מוכנים לחשוף את זהותו בנימוק של הסכמי סודיות.
"חוץ מאתרים שאנחנו בונים, אנחנו נותנים שירותי אחסון לאתרים שאנחנו לא בנינו", אמר ל-ynet קורן תרשיש, מנהל דובל. לדבריו, האתר שנפרץ נבנה על ידי חברה אחרת והועבר להתארח אצלם. כך, כאשר הוא נפרץ, כל השרת היה חשוף. כשהפריצה התגלתה, היא נחסמה מיד והאתר הוסר מהאוויר.
מספרים חוזרים על עצמם
איציק קוטלר, יועץ בכיר לאבטחת מידע ויזם המקים בימים אלה סטראטאפ בתחום, בחן את הקובץ ששחורר אתמול ואמר: "מתוך 11,506 כרטיסי אשראי, הרוב המוחלט משתייך לישראכרט. לא רק מספרי כרטיסי אשראי נמצאים ברשימה: יש שם גם שמות, כתובות, מספרי טלפון בבית ובסלולרי, כתובות מייל, פרטי חשבונות בנק, וגם מספרי תעודת זהות. 51 מתוך הכתובות - ממשלתיות (שייכות למתחם gov.il)".
קשה להאמין שיש בסיס להכרזה שיש בידי ההאקר 0xOmar מיליון כרטיסי אשראי. טענת ההאקר היא ש-27 אלף כרטיסי אשראי פעילים מופיעים רק באחד מן הקבצים שהודלפו כבר. גם הטענות האלו הופרכו בבחינה של הקבצים. הסטודנט עופר שוורץ, שפיענח את הקבצים עבור ynet וגילה שהם מכילים "רק" כמה עשרות מספרים פעילים, אומר ל-ynet בתגובה לטענות: "בחנתי לעומק את הקובץ המדובר, והוא מלא במספרי כרטיסי אשראי שחוזרים על עצמם ובמספרים לא תקינים אחרים. אני לא יודע אם 0xOmar עיין בקבצים שקנה וספר את מספרי כרטיסי האשראי, אבל אני כן ספרתי". עוד מוסיף שוורץ: "מעניינת גם החזרה של ההאקר מהטענה שיש 400 אלף מספרי כרטיסי אשראי לטענה שיש 27 אלף".
גם טענות אחרות שמשמיע ההאקר אינן סבירות. בהודעה הראשונה שלו טען ההאקר שהוא חלק מקבוצת אנונימוס, ואילו הקבוצה
עצמה דחתה את הטענות: “אין לנו אהבה לממשלה הישראלית אבל לתקוף אלפים רק כי הם ישראלים?". הטענה לא מופיעה בהודעה הנוכחית.
"לא מדובר כאן באיום חדש", אומר ל-ynet מומחה האבטחה גדי עברון, "גניבת כרטיסי אשראי באינטרנט מתרחשת כל יום - כך שמחד, זה לא מפתיע ואפילו משהו שיש לצפות לו. מאידך המערכת הפיננסית בישראל הוכיחה לנו שהיא מטפלת במקצועיות בעניין. גניבת כרטיסי אשראי לא תסתיים, לגבי הצרכן הביתי, באובדן כספו. יש להיזהר מפאניקה בעניין הזה - שהיא הסכנה העיקרית בעניין הזה".