משבר האשראי: 5 הערות

הפגזת ה-400 אלף.

“החלטנו לתת לעולם מתנה לשנה החדשה, מידע על כ-400,000+ אנשים ישראלים”, התגאה הפרצן שפרסם שלשום קבצים עם פרטי אשראי של גולשים. דיווחי התקשורת הראשוניים הסתמכו על המספר הזה, עד שהגיע הגולש עופר שוורץ, סטודנט למתמטיקה ומדעי המחשב בטכניון, עבר על הרשימות, ניפה ואיחד וגילה שמדובר בסך הכל ב-18 אלף רשומות, שחלקן חוזרות מאות פעמים. אבל הזמן קצר, הדדליין דוחק, ו-400 אלף כרטיסי אשראי עושים כותרת הרבה יותר טובה מ-18 אלף.

אלף לילה ולילה.

זהותו של הקראקר, שהעיד על עצמו שהוא סעודי, מוטלת בספק: האתר שאליו הפנה מאוחסן כנראה בדאלאס. טענתו להשתייכות להתארגנות הבלתי מאורגנת “אנונימוס” מפוקפקת גם היא. באחד מפרופילי הטוויטר הגדולים של אנונימוס נכתב: “אין לנו אהבה לממשלה הישראלית אבל לתקוף אלפים רק כי הם ישראלים? סליחה, אתם לא #אנונימוס”. אפשר להאשים את הערפל שאופף את העולם המחתרתי הזה, אבל כשהפורץ עצמו מכריז על עצמו כאנרכיסט ערבי, קשה לעמוד בפיתוי להיתלות בסטריאוטיפ הזה, במקום לתייג אותו פשוט כעבריין.

פרוצים.

בין פרטי האשראי הופיעו שמות של שני אתרי דילים, “קבוצתי” ו”סייל 365″, שמאוחסנים בחברת דובל. מנהל החברה, קורן תרשיש, אמר אתמול ל-ynet שהפורצים השתמשו בפירצה באתר אחר שמתאחסן בדובל, ודרכה נכנסו למאגרי הנתונים של שני האתרים. אתרי הדילים נבנו על ידי דובל והיו מאובטחים כראוי, אולם האתר שדרכו התבצעה הפריצה נבנה על ידי חברה אחרת, ועבר לדובל כמו שהוא, עם הפירצה.

מי אחראי למחדל? בעל האתר, שלא הקפיד על האבטחה? דובל, שהסכימו לארח אתר שאת רמת האבטחה שלו לא ידעו? אתרי הדילים, ששמרו את פרטי האשראי שלנו במקום להשמיד אותם בתום השימוש? לדעתי אסור להסיר אחריות משני גורמים אחרים: חברות האשראי ואנחנו הצרכנים. אנחנו לא צריכים לסמוך באופן עיוור על אתרים שאנחנו לא מכירים רק בגלל שהם נראים לנו בסדר. אפשר להתייעץ עם חברים, לחפש את שם האתר בפורומים של צרכנות ולפנות לבעלי האתר ולשאול אותם על נהלי אבטחת המידע שלהם. חברות האשראי, מצדן, צריכות לדרוש מאתרים לעמוד בסטנדרטים בסיסיים של אבטחת מידע, לעשות להם ביקורות מדגמיות ולהעניש אתרים שכשלו בכך, עוד לפני שיש פריצה, ובוודאי אחריה. אתר שמפקיר את פרטי האשראי של לקוחותיו לא צריך לקבל שירותי סליקה מחברות האשראי.

הנדסה חברתית.

ביולי 2010 נחשף מסמך עם פרטי אשראי וסיסמאות משתמש של אלפי גולשים ישראליים, שכנראה נגנבו על ידי האקרים טורקיים במחאה על עצירת המשט הטורקי לעזה. המתכנת ארז וולף העלה אז טופס שבו ביקש מאנשים להזין שם מלא, כתובת אימייל, סיסמה, פרטי אשראי ומספר תעודת זהות כדי לבדוק אם הם נמצאים ברשימה. עשרות גולשים לא הבינו את הסאטירה וסיפקו לוולף את הפרטים שלהם. לו היה האקר זדוני, הוא היה יכול לחגוג עליהם כהוגן. גם במקרה הנוכחי התנדבו גולשים לספק פרטי אשראי לאתרים שהבטיחו לבדוק עבורם אם הם במאגר, ביניהם אתרים רשמיים של חברות אשראי ואתרים פרטיים, כולל הבלוג של כותב שורות אלו.

המתכנת שחר שמש סיפר לאחרונה בבלוגו על בעיית אבטחה דומה בחברות הסלולר. כשעובדיו היו מבקשים לבצע פעולות בטלפונים הסלולריים שהוא סיפק להם, חברת הסלולר היתה מתקשרת אל שמש לקבל את אישורו לפעולה, ומבקשת ממנו לספק ארבע ספרות אחרונות של כרטיס אשראי כדי לוודא את זהותו. שמש הסביר שהוא לא מתכוון לספק פרטים כאלו לאדם שמתקשר ממספר חסוי ומציג את עצמו כנציג חברה סלולרית, אך למעשה עלול להיות האקר שמנסה לדוג פרטים למטרות זדוניות.

מימרה נודעת בעולם אבטחת המידע אומרת שהחלק החשוף ביותר לפגיעות במערכת מחשוב הוא זה שבין מסך המחשב לכסא המשרדי. כל עוד אנשים לא יבינו שהם צריכים להיות חשדנים כשהם מתבקשים לספק פרטים אישיים לזרים, אנשים בעלי כוונות זדון ימשיכו לנצל את החולשה האנושית הזאת.

תנו יד.

חברות האשראי מיהרו להרגיע את הציבור: הכסף שלכם בטוח, העסקאות הלא-מאושרות יבוטלו, וכרטיסי אשראי שפרטיהם נחמסו ייחסמו. אבל מה יקרה כשהמאגר הביומטרי, שהמדינה מתעקשת להקים ולהפעיל בצורה שזכתה לביקורת מצד מומחים בתחום, יפרץ וייגנב? בניגוד לכרטיס אשראי שאפשר לבטל ולהחליף, טביעות אצבע ושאר מאפיינים ביומטריים נשארים איתנו עד המוות.

__________________________
התפרסם במקור בגירסה שונה ב”ידיעות אחרונות”, 4.1.2012:

תגובות

5 תגובות לפוסט “משבר האשראי: 5 הערות”

  1. גיל on 5 בינואר, 2012 06:59

    מעניין שאת החלק הביקורתי על ההגזמה במספר הכרטיסים המעורב בחר העורך בידיעות להוריד.

    וקונספירציה קטנה לסיום: נכנסתי אתמול בערב לבדוק אם הכרטיס שלי נחשף באתר של ישראכרט והופתעתי לראות שהם העלו בדיוק עיצוב חדש ונוצץ. צירוף מקרים או אפשרות מעולה ליצור חשיפה?

  2. שי on 5 בינואר, 2012 09:35

    בחברת הוסטניג שיודעת מה היא עושה אין כזה דבר “אתר שדרכו התבצעה הפריצה”. כל אתר אמור להיות ב sandbox משלו. אם אפשר לפרוץ לאתר אחד דרך אתר אחר שיושב באותו הוסטינג, זו אך ורק אשמת חברת ההוסטינג שלא עשתה את עבודתה נאמנה.

  3. ראובן on 6 בינואר, 2012 13:44

    שי הקדמת אותי. איך חברה רצינית יכולה להתנער מאחריות על האפשרות שאפשר לפרוץ לאתר דרך אתר המאוכסן על אותו שרת? אתם מפגרים? ןאני מחר קונה אצלכם אכסון ופורץ לכל הפסיכים שאכסנו אצלכם.
    בטח שרת וינדוס…

  4. ישי on 7 בינואר, 2012 21:38

    למעשה, בשני הקבצים הגדולים, אלה שהכילו ארבע מאות אלף רשומות, לא היה אפילו כרטיס אשראי אחד אמיתי…

  5. עקיצה של 50$ בחשבון פייפאל ישראלי הובילה לחשיפת דליפת פרטי גולשים. בדקו אם אתם ברשימה. | חדר 404 on 3 במאי, 2012 14:41

    […] גם אם הוא לא מגלה אחריות לאבטחתם. גם בפרשה הקודמת, שבה עשרות אלפי פרטי אשראי של ישראלים דלפו לרשת, מקור הדליפה היה אתר קופונים קטן. אבל גם מצידנו נדרשת […]

פרסום תגובה