אז כולם מדברים הבוקר על הקבצים שפירסמו החבר’ה מערב הסעודית, עם עשרות פרטים מזהים כגון שמות, כתובות email, טלפונים, סיסמאות והכי חשוב פרטים מלאים, כולל מספר כרטיס, תוקף וקוד אימות של כרטיסי אשראי של כמה אלפי ישראלים.
מי שהספיק להוריד את הקבצים, יכול להתרשם שלא מדובר בשיא הטכנולוגיה. אולי הדעה שלי מוסחת מהעובדה שמדובר בבני דודינו, לובשי הגלימות ונסיכי הנפט מדרום, אבל קשה שלא לשאול את השאלה איזה האקר דמיקולו מפרסם קבצים בפורמט MS Access או קבצי HTML. המשפט האחרון היה יכול להיות לא רלוונטי לפוסט זה אבל אם לוקחים דברים אלו בחושבון, קשה לי להאמין שמדובר בפרציה מתוחכמת, מה שהופך את העניין לעוד יותר מרגיז.
מי לא אשם?
התקשורת, שמנפחת את הסיפור מעבר לכל פרופורציות (אבל מה חדש), מחפשת מישהו להפנות אליו את האצבע אבל בסיפור הזה די ברור, לפחות לי, מי לא אשם.
האתר One, שנפרץ אתמול בלילה ושימש פלטפורמה להפצת הודעת הקבוצה הסעודית והלינק לקבצים, צריך להיות נבוך מעט, אבל לא יותר מזה. פריצות מסוג זה שכיחות מאד וקורות לטובים וגדולים מ – One (כולל משרדי ממשלה ומערכת הבטחון). באותו מידה יכלו הסעודים לשים שם דגל פלסטין או את סרטון הוידאו של המרמרה. One תיקנו את התקלה לאחר מספר דקות ועושה רושם שבכך נגמר תפקידם בסיפור.
חברות האשראי גם הן לא צד בעניין. אמנם עשרות אלפי לקוחות שלהם חשופים לגניבה והן חשופות לתשלומי פיצויים במקרה זה, אבל לא המערכות שלהן נפרצו והן לא יכלו לעשות דבר על מנת למנוע זאת.
מי כן?
יש פה רק אשם אחד. קבוצה של אתרי אינטרנט, חסרי ידע ובעיקר חסרי אחריות, שידעו לקחת מידע חסוי מהלקוחות שלהם, אבל לא עשו דבר על מנת להגן עליו. ואם זה לא מספיק, אתרים אלו התעלמו לחלוטין מכל מה שקשור לתקנות שמירת פרטי אשראי של לקוחות ואני בטוח שאם נשאל אותם, אף אחד מהם לא שמע מעולם על תקן מוזר שנקרא PCI.
פריצה למאגר נתונים של אתר אינטרנט היא דבר שכיח. זה לא אמור לקרות אבל זה קורה, כמעט לכולם.
למה זה קורה? כי אבטחת מידע ברמה גבוהה עולה הרבה מאד כסף ומסבכת מאד את הגישה למאגר הנתונים. מפתחים רבים מעדיפים (ובמקרים רבים בצדק) לוותר על המורכבות והעלות וכל עוד המידע שנשמר הוא בסיסי, הנזק שבדליפתו הוא קטן ופרטים חסויים, כגון סיסמאות, מוצפנים, מדובר בפשרה הגיונית.
כשמדובר במידע רגיש, כגון פרטי אשראי, הסיפור הוא הרבה יותר מורכב. קיימים תקנים, מחמירים ביותר, הכוללים את כל האספקטים של המערכת, החל מהקוד, דרך החומרה, בקרה ותיעוד ועד גישה פיזית לשרתים, המאפשרים לשמור מידע מסוג זה רק לחברות שעומדות בתקנים אלו. כל אתר שלא עבר תקינה אסור לו לשמור פרטי אשראי של לקוחות.
תהליך התקינה הוא לא פשוט ובעיקר לא זול ועל כן חברות רבות נמנעות מלהיכנס לתחום זה. חברות עם אחריות ציבורית מחפשות אלטרנטיבות לבעיית סליקת האשראי, מבלי להתחייב לתקנים, אך גם מבלי לעבור עליהם מצד שני. מאות חברות בעולם (חלקן בישראל) ישמחו לקחת מכם את האחריות הזאת ולספק לכם שרותים אלו ללא כל סיכון מצדכם. אמנם גם חברות אלו מחוייבות לתקנים מחמירים אבל כיוון שהן מספקות את השרות לאלפי לקוחות, ההשקעה של ספקי שרות אלו באבטחת מידע גדולה בסדרי גודל מכל מה שאתר, מצליח וגדול ככל שיהיה, יכול היה להשקיע. זה לא אומר שספקים אלו חסינים לפריצות אבל האקרים פורצים למקומות שקל לפרוץ אליהם. אין שום סיבה בעולם לשרוף ימים על מנת לפצח מספר הגנות במערכות מאובטחות במקום לפרוץ בדקות אתר לא מאובטח, התוצאה היא אותה תוצאה.
האתרים מהם נגנב המידע של הסעודים עברו על כל כלל בסיסי של אבטחת מידע. לא רק שהם שמרו מידע של לקוחות שהם לא אמורים לשמור (למה אתר קופונים צריך לשמור את פרטי כרטיס האשראי של הלקוח???) הם שמרו אותם במה שנקרא Clear Text, פשוט, קריא ולא מוצפן. אגב, השטות של שמירת מידע לא מוצפן חוזרת על עצמה בחלק מהקבצים גם לסיסמאות המשתמש לאתרים אלו. אם השם שלכם מופיע באחד הקבצים, ממולץ להחליף את הסיסמא שבה אתם משתמשים בדרך כלל לרישום לאתרים. אחרי הפרסום של ערוץ 10 אתמול בלילה וההמשך הבוקר, לכמה עשרות אלפי אנשים יש אותה.
ומי סובל?
הכי מסכנים מכל הסיפור הזה הם הלקוחות. רק מהכאב ראש של להחליף כרטיס אשראי בגלל שרצית לקנות חופשה בים המלח (כן, גם מידע זה מגיע מאותו קובץ) בהנחה של 200 שקל, הופך את העסקה ללא ממש משתלמת, גם אם חברת האשראי תחזיר לכם את מה שעלולים לגנוב מכם.