פריצת אבטחה בתפוז: אלפי סיסמאות נחשפו

בין החשבונות שנפרצו: עובדים במשרד החוץ בלונדון ■ מנכ"ל תפוז: לא ניתן להיכנס לאתר עם הפרטים שנחשפו, יידענו את הגולשים שעליהם להחליף סיסמה, ומייל לכלל המשתמשים יישלח בימים הקרובים

בסוף השבוע האחרון התגלתה באתר הפורומים והבלוגים המוביל תפוז פריצת אבטחה חמורה, במסגרתה האקר פרץ את הגנות האתר ושם ידיו על אלפי רשומות של כתובות דואר אלקטרוני וסיסמאות של משתמשי האתר. ההאקר פרסם את ממצאיו באתר Pastebin, כשהודעה זו התגלתה על-ידי עובד בחברת אבנת אבטחת מידע.

קיראו עוד ב"גלובס"


באתר תפוז מיהרו לחסום את הכניסה לאתר למשך כמה שעות ולאחר מכן יידעו את כל מי שביקש להתחבר מחדש כי עליו להחליף סיסמה. הפעם התבקשו הגולשים להכניס סיסמה קשה יותר לפיצוח ולא כזו שמורכבת מ-4 תווים כמו מקודם. כמו כן, הפעם דאגו בתפוז להצפין את הסיסמאות. בנוסף, הם פרסמו הודעה בפורום הראשי של תפוז.

יש לציין כי דבר הפריצה החל להתפרסם בפורומים ברחבי האינטרנט כבר ביום חמישי בערב, אך רק בראשון בערב טרחו בתפוז ליידע את הגולשים בפורום הראשי של הבלוגיה שלהם, אף שלא רבים קוראים אותו.

מנכ"ל תפוז, דן חן, מבהיר כי "מדובר בכמה אלפים בודדים של משתמשים, ואנחנו עדיין לא יודעים אם כל הפרטים שפורסמו אכן נכונים. בכל מקרה, אי-אפשר להיכנס רק עם סיסמה וכתובת מייל".

באשר לשאלה אם האתר דאג ליידע במייל גם משתמשים שאינם נכנסים באופן תדיר לאתר כיוון שאולי הסיסמאות שהם בחרו לאתר תפוז משמשות אותם גם באתרים אחרים, לרבות אתרי בנקים, אמר חן כי "בימים הקרובים נשלח מייל לכלל המשתמשים".

דנור כהן, האקר בצוות התקיפה והסייבר באבנת אבטחת מידע, שחשף את הפריצה באתר Pastebin, התייחס לסיסמאות הקלות שבחרו בכירים במשרד החוץ ובממשלת ישראל לאתר.

"מעבר לחולשת ההגנה באתר תפוז שאיפשרה את הוצאתו של מאגר המידע הזה, אנחנו עדים לחולשת אבטחה בעייתית מאוד במודעות של בעלי תפקידים בכירים ביחס לגלישה ברשת", אומר כהן. "לא יתכן שמחזיקי משרות בתפקידים רשמיים ירשמו לאתרי צד ג' באמצעות הדואר האלקטרוני הרשמי שלהם, בטח ובטח כשהסיסמה שבה הם משתמשים כל-כך פשוטה לאיתור".

עוד הוסיף כהן ואמר כי "אני ממליץ לרענן את הידע בכללי ההתנהלות ברשת ובהמלצות הנכונות לבחירת סיסמה מורכבת והזדהות שלא באמצעות הדואר האלקטרוני הרשמי. כשאני רואה שימוש בשם המשפחה כסיסמה, אני לא יכול שלא לתהות אם אותו אדם לא משתמש באותה הסיסמה ואותה כתובת דואר אלקטרוני בעוד אתרים ושירותים ברשת, ובכך בעצם חושף את עצמו ואת הארגון כולו להתקפות יעודיות מבעלי עניין זדוני".