פירצת אבטחה חמורה בזאפ: "אין ספק שיש מי שניצל אותה"

פרטיהם האישיים של כמיליון ישראלים היו חשופים עד השבוע בגלל פירצת אבטחה ■ "לא נדרש תחכום טכני כדי לעלות על הפירצה הזאת", אומר רן בר זיק, שחשף אותה ■ זאפ: "הנושא בבדיקה מקיפה. לא זיהינו כל שימוש לרעה בפירצה"

רן בר זיק, מתכנת במרכז הפיתוח הישראלי של Oath (חברת הדיגיטל של ורייזון), ניצל את הפסקת משחק הכדורשת שבו השתתפה אישתו בשבוע שעבר כדי להיכנס לאתר זאפ ולחפש מקרר. החיפוש הציף בתוך דקות ספורות פירצת אבטחה חמורה, שאפשרה תיאורטית לשלוף מידע אישי על כמיליון הישראלים הרשומים באתר: שמות מלאים, מספרי טלפון, כתובות מייל, כתובות מגורים, חשבונות פייסבוק, תמונות משתמשים וביקורות שהם כתבו. למרבה המזל, מאגר הנתונים של זאפ אינו כולל פרטי כרטיסי אשראי. הפירצה, שנסגרה השבוע בעקבות הגילוי, איפשרה גם למחוק או לשנות פרטי מידע מהמאגר.

"חשוב לי להבהיר שאני לא כזה מתוחכם טכנית, לקח כמה דקות לעלות על זה באופן הכי פשוט שיש", אומר בר זיק, אושיית רשת ותיקה ומנהל אתר "אינטרנט ישראל". אף שחשף בעבר פירצות אבטחה נוספות, בין השאר באתר רמי לוי תקשורת, ברשות האוכלוסין ובזכיינית הטלוויזיה קשת, בר זיק מדגיש כמה פעמים שלכנות אותו חוקר אבטחה תהיה הגזמה. במקרה הנוכחי הוא אף שלח את המידע על הפירצה לחוקר האבטחה עידו פרידלנדר, שביצע בדיקת עומק ואישר את הערכת בר זיק שמדובר בפירצה משמעותית.

"כשחושבים על האקרים חושבים על אנשים שיושבים עם קפוצ'ונים, אבל זה לא המקרה", אומר בר זיק. "לא נדרש תחכום טכני כדי לעלות על הפירצה הזאת, לכן אני בטוח שיש אנשים שניצלו את מאגר המידע הזה. כשאני אומר 'אנשים', אלה יכולות להיות גם חברות שכורות מידע ואוספות מיילים, אבל גם ארגוני טרור. החמאס ששולח סמסים לישראלים בכל מבצע צבאי, 'היזהרו היזהרו, הנה אנחנו באים' - זה קצת מצחיק לפעמים, אבל מלחיץ במקרים אחרים. הוא מקבל את מספרי הטלפון האלה מאיזשהו מקום, ממקומות כאלה. זה כל-כך פשוט, קשה אפילו לקרוא לזה פירצות".

פירצת האבטחה, לדבריו, נבעה מפיתוח רשלני של שרתי החברה. "החולשה באפליקציה ובאתר של זאפ היא בשידור לא מוגן לשרתים. יש נטייה בקרב אלה שכותבים את האפליקציות לחשוב שכל תשדורת בין אפליקציה לשרת היא מוצפנת ומוגנת היטב, אבל זה לא המצב. כשאני משתמש בג'ימייל אני נדרש להכניס שם משתמש וסיסמה כדי לגשת לשרתים של גוגל ולבדוק את המיילים שלי. בזאפ, במקום להכניס שם משתמש וסיסמה ייחודיים לכל משתמש, שם המשתמש והסיסמה בכניסה לשרת הם אחידים לכולם. כל עוד אני משתמש באפליקציה ומושך את המיילים שלי זה בסדר, אבל אם אם אני מאזין לתשדורת, ואני יודע דרך איזו קריאה לגשת לשרת, אני יכול לגשת גם למיילים שלך או של כל אחד אחר.

"בנוסף, בדרך-כלל יש מגבלה של כמות קריאות שאפשר לקרוא לשרת. אם אנסה להשתמש בג'ימייל כמה פעמים ברציפות, אפילו אם אכנס לחשבונות אחרים, הוא ינסה לעצור אותי, יעשה איזו בדיקת זהות נוספת או יחסום אותי לגמרי. במקרה הזה אין שום דבר כזה. אלה חולשות מאוד בסיסיות ומפתיעות כשמדובר באפליקציה בסדר גודל כזה. זה כל-כך עצוב. יש המון חוקרי אבטחה מוכשרים בישראל, שעושים מחקרים ומגיעים לתוצאות יפות, ולעומת זאת יש מתכנתים שבונים כל מיני ממשקים קקמייקה, באופן הכי רשלני שאפשר, וחושפים מידע בצורה מטורפת".

ויש עוד היבט, ציבורי, שכרוך במחדל אבטחת המידע של זאפ. בעוד שבעולם מקובל לתגמל האקרים או אנשי אבטחה המדווחים לחברות על פירצות שהתגלו אצלן, משום שהאינטרס של החברות הוא לגלות את הפירצות מוקדם ככל האפשר, המציאות בישראל שונה. "ברגע שמתכנת כמוני או חוקר אבטחה פונה לחברות ישראליות, הדבר הראשון שהן עושות זה להכחיש, והדבר השני שהן עושות זה לשלוח כתב תביעה או מכתב אזהרה לפני תביעה", אומר בר זיק. לכן למד עם השנים לחשוף את הפירצות בתקשורת.

בהקשר זה ראוי להזכיר את כללי ה-GDPR של האיחוד האירופי (General Data Protection Regulation), שייכנסו לתוקף בסוף חודש מאי השנה. הרגולציה החדשה מחמירה מאוד את נהלי ההגנה על מאגרי מידע שבהם מידע אישי על אזרחים, ומחייבת בין השאר לדווח על כל פירצת אבטחה משמעותית, לשמור תיעוד מפורט של כל תהליכי עיבוד המידע, ולאפשר לאזרחים את "הזכות להישכח" באמצעות מחיקת המידע עליהם. הכללים יחולו גם על חברות לא אירופיות המחזיקות מידע על אזרחי האיחוד, והפרתם עלולה לגרור קנסות בגובה 4% מהכנסותיהן, עד רף של 20 מיליון יורו, ללא צורך באישור בתי המשפט. בישראל ממונה על הנושא הרשות להגנה על הפרטיות במשרד המשפטים, שניסחה תקנות חדשות לחוק הגנת הפרטיות, שייכנסו לתוקף במקביל ל-GDPR, ופועלת להגביר משמעותית את האכיפה בנושא.

מזאפ נמסר בתגובה: "זאפ מקפידה על שמירת מאגרי המידע שלה ופועלת על פי הכללים הקיימים בחוק לרבות כללי אבטחת המידע. אנו מודים לכם על הבדיקה והפניית תשומת הלב. מדובר במערכת ניהול חוות הדעת, והגישה אליה נחסמה מידית עם קבלת הפנייה. הנושא נמצא כעת בבדיקה מקיפה ונעשה את כל הפעולות הנדרשות על מנת שהדבר לא יחזור על עצמו. לאחר בדיקה מקיפה שביצעה קבוצת זאפ, גם לאחר פניית גלובס לפני 4 ימים, לא זיהינו כל שימוש לרעה בפירצה".