גלובס - עיתון העסקים של ישראלאתר נגיש

פירצת אבטחה חמורה בזאפ: "אין ספק שיש מי שניצל אותה"

פרטיהם האישיים של כמיליון ישראלים היו חשופים עד השבוע בגלל פירצת אבטחה ■ "לא נדרש תחכום טכני כדי לעלות על הפירצה הזאת", אומר רן בר זיק, שחשף אותה ■ זאפ: "הנושא בבדיקה מקיפה. לא זיהינו כל שימוש לרעה בפירצה"

רן בר זיק, מתכנת במרכז הפיתוח הישראלי של Oath (חברת הדיגיטל של ורייזון), ניצל את הפסקת משחק הכדורשת שבו השתתפה אישתו בשבוע שעבר כדי להיכנס לאתר זאפ ולחפש מקרר. החיפוש הציף בתוך דקות ספורות פירצת אבטחה חמורה, שאפשרה תיאורטית לשלוף מידע אישי על כמיליון הישראלים הרשומים באתר: שמות מלאים, מספרי טלפון, כתובות מייל, כתובות מגורים, חשבונות פייסבוק, תמונות משתמשים וביקורות שהם כתבו. למרבה המזל, מאגר הנתונים של זאפ אינו כולל פרטי כרטיסי אשראי. הפירצה, שנסגרה השבוע בעקבות הגילוי, איפשרה גם למחוק או לשנות פרטי מידע מהמאגר.

"חשוב לי להבהיר שאני לא כזה מתוחכם טכנית, לקח כמה דקות לעלות על זה באופן הכי פשוט שיש", אומר בר זיק, אושיית רשת ותיקה ומנהל אתר "אינטרנט ישראל". אף שחשף בעבר פירצות אבטחה נוספות, בין השאר באתר רמי לוי תקשורת, ברשות האוכלוסין ובזכיינית הטלוויזיה קשת, בר זיק מדגיש כמה פעמים שלכנות אותו חוקר אבטחה תהיה הגזמה. במקרה הנוכחי הוא אף שלח את המידע על הפירצה לחוקר האבטחה עידו פרידלנדר, שביצע בדיקת עומק ואישר את הערכת בר זיק שמדובר בפירצה משמעותית.

"כשחושבים על האקרים חושבים על אנשים שיושבים עם קפוצ'ונים, אבל זה לא המקרה", אומר בר זיק. "לא נדרש תחכום טכני כדי לעלות על הפירצה הזאת, לכן אני בטוח שיש אנשים שניצלו את מאגר המידע הזה. כשאני אומר 'אנשים', אלה יכולות להיות גם חברות שכורות מידע ואוספות מיילים, אבל גם ארגוני טרור. החמאס ששולח סמסים לישראלים בכל מבצע צבאי, 'היזהרו היזהרו, הנה אנחנו באים' - זה קצת מצחיק לפעמים, אבל מלחיץ במקרים אחרים. הוא מקבל את מספרי הטלפון האלה מאיזשהו מקום, ממקומות כאלה. זה כל-כך פשוט, קשה אפילו לקרוא לזה פירצות".

פירצת האבטחה, לדבריו, נבעה מפיתוח רשלני של שרתי החברה. "החולשה באפליקציה ובאתר של זאפ היא בשידור לא מוגן לשרתים. יש נטייה בקרב אלה שכותבים את האפליקציות לחשוב שכל תשדורת בין אפליקציה לשרת היא מוצפנת ומוגנת היטב, אבל זה לא המצב. כשאני משתמש בג'ימייל אני נדרש להכניס שם משתמש וסיסמה כדי לגשת לשרתים של גוגל ולבדוק את המיילים שלי. בזאפ, במקום להכניס שם משתמש וסיסמה ייחודיים לכל משתמש, שם המשתמש והסיסמה בכניסה לשרת הם אחידים לכולם. כל עוד אני משתמש באפליקציה ומושך את המיילים שלי זה בסדר, אבל אם אם אני מאזין לתשדורת, ואני יודע דרך איזו קריאה לגשת לשרת, אני יכול לגשת גם למיילים שלך או של כל אחד אחר.

"בנוסף, בדרך-כלל יש מגבלה של כמות קריאות שאפשר לקרוא לשרת. אם אנסה להשתמש בג'ימייל כמה פעמים ברציפות, אפילו אם אכנס לחשבונות אחרים, הוא ינסה לעצור אותי, יעשה איזו בדיקת זהות נוספת או יחסום אותי לגמרי. במקרה הזה אין שום דבר כזה. אלה חולשות מאוד בסיסיות ומפתיעות כשמדובר באפליקציה בסדר גודל כזה. זה כל-כך עצוב. יש המון חוקרי אבטחה מוכשרים בישראל, שעושים מחקרים ומגיעים לתוצאות יפות, ולעומת זאת יש מתכנתים שבונים כל מיני ממשקים קקמייקה, באופן הכי רשלני שאפשר, וחושפים מידע בצורה מטורפת".

ויש עוד היבט, ציבורי, שכרוך במחדל אבטחת המידע של זאפ. בעוד שבעולם מקובל לתגמל האקרים או אנשי אבטחה המדווחים לחברות על פירצות שהתגלו אצלן, משום שהאינטרס של החברות הוא לגלות את הפירצות מוקדם ככל האפשר, המציאות בישראל שונה. "ברגע שמתכנת כמוני או חוקר אבטחה פונה לחברות ישראליות, הדבר הראשון שהן עושות זה להכחיש, והדבר השני שהן עושות זה לשלוח כתב תביעה או מכתב אזהרה לפני תביעה", אומר בר זיק. לכן למד עם השנים לחשוף את הפירצות בתקשורת.

בהקשר זה ראוי להזכיר את כללי ה-GDPR של האיחוד האירופי (General Data Protection Regulation), שייכנסו לתוקף בסוף חודש מאי השנה. הרגולציה החדשה מחמירה מאוד את נהלי ההגנה על מאגרי מידע שבהם מידע אישי על אזרחים, ומחייבת בין השאר לדווח על כל פירצת אבטחה משמעותית, לשמור תיעוד מפורט של כל תהליכי עיבוד המידע, ולאפשר לאזרחים את "הזכות להישכח" באמצעות מחיקת המידע עליהם. הכללים יחולו גם על חברות לא אירופיות המחזיקות מידע על אזרחי האיחוד, והפרתם עלולה לגרור קנסות בגובה 4% מהכנסותיהן, עד רף של 20 מיליון יורו, ללא צורך באישור בתי המשפט. בישראל ממונה על הנושא הרשות להגנה על הפרטיות במשרד המשפטים, שניסחה תקנות חדשות לחוק הגנת הפרטיות, שייכנסו לתוקף במקביל ל-GDPR, ופועלת להגביר משמעותית את האכיפה בנושא.

מזאפ נמסר בתגובה: "זאפ מקפידה על שמירת מאגרי המידע שלה ופועלת על פי הכללים הקיימים בחוק לרבות כללי אבטחת המידע. אנו מודים לכם על הבדיקה והפניית תשומת הלב. מדובר במערכת ניהול חוות הדעת, והגישה אליה נחסמה מידית עם קבלת הפנייה. הנושא נמצא כעת בבדיקה מקיפה ונעשה את כל הפעולות הנדרשות על מנת שהדבר לא יחזור על עצמו. לאחר בדיקה מקיפה שביצעה קבוצת זאפ, גם לאחר פניית גלובס לפני 4 ימים, לא זיהינו כל שימוש לרעה בפירצה".

עוד כתבות

מטוס בואינג 787 דרימליינר של אל על / צילום: יח"צ

אל על במבצע לצמצום ההחזרים: מציעה ללקוחות שובר בשווי 125% ממחיר כרטיס הטיסה שבוטל

עד ל-1 באוקטובר מחויבת אל על להשיב לנוסעים כמיליארד שקל על טיסות שבוטלו בחודשים האחרונים ● כעת החברה מציעה ללקוחות שובר בשווי מוגדל במקום החזר כספי

ינסן הואנג. החוק שלו יוכל לשפר הרבה בפרק זמן קצר יחסית / צילום: Chiang Ying ying, Associated Press

No More Moore? העולם עובר לחיות לפי החוק של מייסד אנבידיה

במשך עשורים הכלל החשוב בתעשיית השבבים היה "חוק מור", שהומצא על ידי מייסד אינטל, ומדגים את הזינוק הטכנולוגי שניתן להשיג בכל שנה וחצי ● עכשיו, לאחר שביצועי השבבים לבינה המלאכותית של אנבידיה השתפרו פי 317 מ-2012, אפשר לייסד את "חוק הואנג", על שם מנכ"ל החברה ● איך הכלל החדש משנה את חיינו ומה הקשר לרכישת הענק שביצעה אנבידיה באחרונה?

אמיר ירון, נגיד בנק ישראל. קצב רכישות האג”ח מעיד כי הבנק מתכנן להתערב בשוק עוד תקופה ארוכה / צילום: Ronen Zvulun, רויטרס

הנגיד חושף את השיטה: משרד האוצר מנפח אומדנים, והפוליטיקאים חוגגים

בדיון בממשלה הזהיר הנגיד אמיר ירון מפני שימוש בעייתי ביתרות שנוצרות ונתן רוח גבית לשר כ"ץ בוויכוח עם מרידור • במסגרת הדיון טען ירון שהאוצר מחלק רזרבות ללא דיון מקצועי

תוכנית ההתחדשות העירונית של שכונת גבעת רמב"ם בגבעתיים / הדמיה: אדר' יחיאל קורין

תוכנית חדשה תאפשר הכפלת הדירות בשכונת רמב"ם בגבעתיים

הופקדה תוכנית ההתחדשות העירונית של שכונת גבעת רמב"ם בגבעתיים, שכוללת תוספת אפשרית של 3,827 יח"ד ● ראש העירייה רן קוניק: " גבעתיים לא תישאר לעד עיר של 60 אלף איש. אם אתה רוצה להתחדש צריך לעשות את זה בצורה נכונה"

שר האנרגיה יובל שטייניץ בחתימת ההסכם להקמת ארגון הגז האזורי איסטמד / צילום: משרד האנרגיה

בהשתתפות ישראל: נחתם ההסכם להקמת ארגון הגז האזורי במזרח התיכון

ההסכם הרשמי להקמת ארגון הגז האזורי EMGF - East Mediterranean Gas Forum נחתם היום בקהיר ● הפורום יכלול את ישראל, מצרים, איטליה, יוון, ירדן, קפריסין והרשות הפלסטינית

טופז לוק/ צילום: באדיבות המצולם

יועצי רה"מ הגישו תביעת דיבה: "לא ביימנו הפגנה"

עופר גולן וטופז לוק הגישו תביעת דיבה בסף 420 אלף שקל נגד ראש הממשלה לשעבר אהוד ברק, העיתונאי אורי משגב ונגד רוית נאור שהאשימו אותם בבימוי של הפגנה במסגרת ההפגנות נגד ראש הממשלה

חנויות סגורות לאורך הרחוב בעקבות הסגר השני / צילום: כדיה לוי, גלובס

מחלוקת בין ארגוני התעשיינים והעסקים סביב מתווה האוצר לתשלום ימי הבידוד

עוד 8 ימים אמורה המדינה לספק תשובה לשאלה מי ישלם על ימי הבידוד של העובדים במשק, אך מתברר כי עד כה אין הסכמה על המתווה שהציע האוצר ● בנשיאות המגזר העסקי ובהתאחדות המלאכה והתעשייה מסרבים לשמוע על כל מתווה שממשיך להטיל נטל של ימי בידוד על המעסיקים

מירב קירשנר / צילום: דובר צה"ל

לראשונה: מועמדת אישה לתפקיד מנכ"לית התעשייה האווירית. ומי עוד במועמדים?

תא"ל במיל' מירב קירשנר, שהייתה ראש מטה אגף כוח אדם בצה"ל, תתמודד על התפקיד בין היתר מול שי באב"ד, לשעבר מנכ"ל משרד האוצר, אלוף במיל' חגי טופולנסקי ובכירים בתע"א ובאלתא

אחמד אל-חבטור (קבוצת "אמפא" בדובאי) ושלומי פוגל  / צילום: יח"צ

עוד קבוצת ענק מדובאי בדרך לארץ: קונגלומרט המלונאות והנדל"ן אל-חבטור יפתח משרד בישראל

היקף נכסיה של קבוצת אל-חבטור נאמד בלמעלה מ-8.5 מיליארד דולר ● בנוסף, הודיעה הקבוצה בניהולו של חאלד אל-חבטור כי החלה במגעים עם חברת "ישראייר" על פתיחת קו טיסות סדיר

ראש הממשלה בנימין נתניהו ושר האוצר ישראל כ"ץ / צילום: אמיל סלמן-הארץ

קבינט הקורונה יתכנס היום לדון בהמשך הסגר

עוד על הפרק בדיון שיתנהל בצל שיעורי התחלואה הגוברים: צמצום התפילות בתוך בתי הכנסת במהלך יום הכיפורים, סגירת השווקים הפתוחים וצמצום מקומות עבודה במגזר הפרטי ● כ"ץ יציג את תוכנית "הלב הפועם" לשימור המגזר העסקי הפרטי פתוח בתקופת הסגר

יו"ר iCreate מנוג' קומאר דאס, השגריר רון מלכא ועל המסך מנכ"ל SNC יוג'ין קנדל / צילום: iCreate

SNC ומרכז היזמות ההודי icreate ינגישו את השוק ההודי לסטארט-אפים ישראלים

מיזם חדש של סטארט-אפ ניישן סנטראל (SNC) והמרכז הבינלאומי ליזמות ולטכנולוגיה בהודו "icreate" יפעל להנגשת השוק ההודי לחברות ישראליות ● מטרת המיזם היא להוביל למיסחור בשוק ההודי או להשקעות אסטרטגיות של חברות הודיות בחברות ישראליות

בניין הבורסה לניירות ערך בתל אביב / צילום: Baz Ratner , רויטרס

ת"א ננעלה בעליות קלות; ירידות בבנקים ובפיננסים

מדד ת"א 35 התחזק ב-0.1%, ת"א 125 התקדם ב-0.2% ות"א 90 הוסיף 0.4% ● מדד הבנקים ירד ב-1.3% ● רם און טסה 52%, סמוטו קפצה ב-8% ואבוג'ן המשיכה וקפצה בעוד 8%

קניות בשופרסל בת"א לקראת ראש השנה ובצל הסגר הצפוי / צילום: שני מוזס, גלובס

ההיערכות לסגר השני הביאה לזינוק ברכישות ברשתות המזון ב-23% לעומת ראש השנה הקודם

לפי נתוני שב"א שמודדת רכישות בכרטיסי אשראי מדובר בתוספת כספית של מעל ל-300 מיליון שקל בימים שקדמו לחג לעומת התקופה המקבילה אשתקד ● הגידול נרשם לא רק בחנויות הפיזיות: המכירות באונליין קרוב להכפילו את עצמן בתקופה שקדמה לחג

מחלקת עסקים של אמירייטס. הוכתרה כחברה הטובה בעולם / צילום: shutterstock, שאטרסטוק

התחרותית, היוקרתית והשירותית: חברות התעופה מהאמירויות ששווה להכיר | צ'ק אין

ישראייר לא לבד. אל על אמנם לא הכריזה עדיין כי בכוונתה להשיק קווים לאמירויות אבל החברות האמירתיות כבר הניחו את הכוונות שלהן על השולחן ● בתפריט: הקמת קו מזון כשר ו"חוויות לקוח" מבטיחות ● גם בגזרת הלואו קוסט צפויה להיות נוכחות בקו

ישי דוידי / צילום: יונתן בלום

אקזיט מפלסטיק: פימי מקדמת הנפקת פולירם בת"א לפי שווי של כמיליארד שקל

מדובר בשווי כפול מזה שבו רכשה פימי את השליטה בחברה מידי חברת רם-און ● מניית רם-און, שנותרה להחזיק 35% ממניות פולירם, טסה ביותר 50%

אלדד פרי / צילום: איל יצהר, גלובס

אלדד פרי מוכר החלומות: מה היה תפקיד עורכי הדין ורואי החשבון, מה אפשר ללמוד מפרשת ענבל אור, ואיפה המדינה?

הקפאת ההליכים של פרי נדל"ן הזכירה לרבים את הקריסה של מלכת קבוצות הרכישה, ענבל אור, ב-2016 • איך "שומרי הסף" שליוו אותה צלחו את הסופה? "גלובס" חזר לפרשה ההיא, בניסיון לברר האם לאנשי המקצוע שסבבו את אלדד פרי יש סיבה לחשוש

ישראל כ"ץ / צילום: אמיל סלמן-הארץ

לקראת החמרות בסגר: כ"ץ הורה להכין תוכנית להפעלה מצומצמת של הסקטור העסקי

התוכנית תוצג בפני רה"מ ותועלה לדיון בקבינט הקורונה ● השר כ"ץ הבהיר לרה"מ כי המגזר העיסקי הוא הלב הפועם של הכלכלה הישראלית ויש לעשות הכל כדי לשמר את פעילותו, תוך התנהלות נכונה

רבקה ראם / צילום: "משורת הדין"

תביעת הדיבה שגרמה לפעילת BDS לנעול את הפייסבוק האישי שלה

ארגון שורת הדין הגיש השבוע תביעת דיבה ולשון הרע בסך 6 מיליון דולר נגד סוהיר נפאל, פעילה מרכזית בתנועת BDS, לאחר שזו הפיצה פרסומים שקריים בנוגע לחיילת צה"ל משוחררת

הנשיא ריבלין / צילום: כדיה לוי, גלובס

מצטרפים לשרים: נשיא המדינה ונשיאת העליון מבקשים לקצץ 10% משכרם

נשיא המדינה ונשיאת בית המשפט העליון מצטרפים לצעד עליו הוחלט בממשלה, על-פיו שכר חברי הכנסת והשרים יקוצץ ב-10% ● שכרו העדכני של הנשיא ריבלין עומד על 64,673 אלף שקל בחודש

בנקאות בימי קורונה - עמלות וריביות / עיבוד: טלי בוגדנובסקי , גלובס

העו"ש, החיסכון והקורונה: איך נכון להתמודד עם החשבון בתקופה הזו

הבנקים הגיעו מוכנים יותר לסגר הנוכחי, והם מציעים הקלות חדשות לצד ההקלות הקיימות • האם עדיין אפשר לדחות הלוואה, איך ליצור קשר עם הבנקאי, והאם יהיה מספיק כסף בכספומטים? • "גלובס" מציג: בנקאות בתקופת הסגר • כתבה ראשונה בסדרה