פייסבוק נפרצה! 50 מיליון חשבונות נפגעו! האם למישהו אכפת?

הפרצה הגדולה ברשת החברתית לא הייתה חולשת אבטחה תיאורטית, אלא פתח למתקפה חמורה ומסוכנת • למרות זאת, האינפלציה באירועי סייבר - אמיתיים ומזויפים - תקשה להתייחס אליה ברצינות • זה ישתנה רק אם נרגיש את השפעותיה על בשרנו

סייבר/ רויטרס
סייבר/ רויטרס

בעונתה ה-20 של הסדרה סאות' פארק, תושביה של העיירה המצוירת והלא-ציורית עוקבים בחרדה אחרי החדשות מעיירה סמוכה. ממשלת דנמרק, שנקלעה לעימות עם ארצות הברית, הפעילה נגד אותה עיירה את נשק יום הדין: היא חשפה את מה שהתושבים עושים באינטרנט. כל אתר, כל הודעה, כל קללה בעילום שם, כל בגידה, כל מה שכולם ניסו להסתיר. התוצאה הייתה שבר חברתי נורא.

פרצת האבטחה שבה הודתה הרשת החברתית אמש, ושהביאה (אולי) לפגיעה ב-50 מיליון משתמשים (לפחות), יכולה עקרונית לחולל משבר דומה. הפורצים, כפי שהסביר בפירוט לאתר Motherboard סמנכ"ל ניהול המוצר גיא רוזן, ניצלו שלושה באגים באחד הפיצ'רים הפחות ידועים של פייסבוק - View as. הפיצ'ר, שהושבת בינתיים, אפשר לראות את חשבונך כאילו נכנסת אליו מחשבון של אדם אחר, בבחינת "איך אני מצטייר כלפי חוץ".

בניסיון להדגיש שמדובר במתקפה מתוחכמת, רוזן הדגיש שהתוקפים היו צריכים לנצל את כל שלושת הבאגים כדי להגיע למבוקשם - מפתחות הכניסה (Tokens) של המשתמשים. זהו המנגנון שמאפשר לגולשי פייסבוק להישאר מחוברים אליה, מבלי להידרש להזנת סיסמה בכל פעם שהם רוצים, לדוגמה, לעשות לייק לפוסטים בעמוד של "גלובס". אבל אני סוטה מהנושא, וגם רוזן. והנושא הוא שהיו תוקפים. לא בתיאוריה, בפועל.

התוקפים האלה, שנכון לכתיבת שורות אלה לא ידוע מיהם, יכולים היו לקבל גישה לחשבונות של 50 מיליון איש, לפחות. והם אולי עשו את זה. והם אולי ראו את כל היסטוריית הפייסבוק הסודית שלנו, את הפרטים הכי אינטימיים וההודעות הכי פרטיות, כמו ב-Trolltrace. גרוע מכך: "התוקפים היו יכולים להשתמש בחשבון כאילו הם המחזיקים בו", אומר רוזן במפורש. במילים אחרות, הם היו יכולים לכתוב בשם קורבנותיהם בפייסבוק, לשלוח תמונות בשמם, לגנוב את זהותם, להרוס את חייהם. המתקפה עלולה להשפיע גם על התחברות לאפליקציות ושירותים אחרים דרך חשבון הפייסבוק, שהפכה נפוצה יותר ויותר בשנים האחרונות.

ועדיין, יש סיכוי סביר שבעוד זמן מה, לאף אחד לא יהיה אכפת. סביר שלרוב המוחלט של האנשים לא עד כדי כך אכפת כבר עכשיו, כולל אנשים כמוני - שנותקו מחשבונם מחשש שנפגעו. למה?

סייבר, סייבר בכל מקום

קשה להאמין שהמילה "סייבר" קיבלה את משמעותה הנפוצה הנוכחית רק בעשור האחרון (לפני כן, מוזר לחשוב על כך, היא היוותה קיצור מקובל לסייבר סקס). ב-2018 כבר אי אפשר להתחמק מסייבר. אחד מתחומי העיסוק הבולטים של המחשוב בן זמננו. משחק חתול ועכבר חסר תקדים, אינסופי ותמידי, בין האקרים לאנטי-האקרים. תחום עיסוק נחשק בצבא ובאזרחות, מגמה בתיכון, חוג ביסודי. ובמידה רבה - רצף בלתי פוסק של אירועים מבהילים, תרחישי אימים, אסונות שמחשבים להתרחש.

זה לא שהעיסוק בפרצות אבטחה תפל בעיני, בבחינת הפחדה לצורך סנסציה. גם במדור זה אנחנו עוסקים בהן לעתים קרובות. המצב שבו "האקרים טובים" (White hats) מדווחים על פרצות בקביעות לתקשורת ולגופים שעלולים להיפגע, ואחרים מקבלים מחברות תשלום עבור איתור פרצות כאלה, הוא מבורך - וכך גם חובת הדיווח על חברות שנפגעו בחלק מהמדינות. זו הדרך לעמוד על המשמר ולוודא שכולנו נקבל סטנדרט אבטחה גבוה ככל האפשר, בדיוק כפי שאנחנו דורשים שהבית שלנו יהיה מוגן ובטוח ככל האפשר. אלא שכאשר קורה משהו, כשיש פרצה או בעיה, קשה מאוד לאפיין את חומרתה והשפעתה. המילה "סייבר" צובעת את הדיון בגוון אחיד - ומפחיד.

מאחורי הגוון הזה מסתתרת סקאלה רחבה במיוחד של אירועים - אמיתיים, תיאורטיים ומזויפים. נתחיל מהמזויפים: זאת יכולה להיות השבתה זמנית של אתר אינטרנט, השחתה של דף שאין בו כל מידע רגיש, אפילו פרסום פרטים אישיים לא מעודכנים של גולשים. אלה מתקפות בסגנון אנונימוס, שכמעט אף פעם לא גורמות נזק ממשי - אבל בולטות במיוחד לעין, ועל כן מצליחות לעורר דאגה בלי פרופורציה לגודלן האמיתי.

לצד האירועים המזויפים יש לנו הבאגים וחולשות האבטחה, פרצות תיאורטיות שזיהו החברות או ההאקרים שעובדים עימן, ואין אינדיקציה שמישהו ניצל. הן יכולות להיות חמורות יחסית, כמו מה שקרה לאינטל בתחילת השנה, או שגרתיות יותר. חלקן מתגלות בגופים רגישים דוגמת בנקים או חברות תעופה, שבהם מתמקדים גם בני הדוד של הפרצות התיאורטיות - תרחישי אימים על מתקפות אפשריות שיחוללו נזק אדיר, ללא הוכחה לבעיית אבטחה ספציפית. אין מנוס מלעסוק בכך, אבל לא רק שהציבור מתקשה להעריך את הסיכון האמיתי הגלום בפרצות כאלה, גם המומחים מתקשים לעשות זאת.

וישנן גם המתקפות האמיתיות, שמתחלקות בהכללה לשני סוגים. הסוג הראשון הוא מתקפות שהיה להן אפקט ברור בשטח: מפרסום מידע פרטי עדכני, דרך השתלטות גלויה על חשבון ברשת חברתית, עבור בגניבת כספים ודרישות כופר, ועד השבתת מתקני גרעין. את הנזקים האלה, לרוב, אפשר להבין ולכמת. זה אולי הצד הפשוט ביותר בדיון.

הסוג השני הוא אירועי סייבר שידוע לנו שהתרחשו, אבל אנחנו לא בטוחים מה ההשפעה שלהם. ידעתם ששם המשתמש והסיסמה של כל חשבון ביאהו, שלושה מיליארד חשבונות במספר, דלפו להאקרים? הסיפור הזה עבר די בשקט כשנחשף בשנה שעברה, פשוט כי יאהו כבר הייתה אז חברה לא רלוונטית, והמשתמשים לא באמת חוו פגיעה (או לפחות לא יודעים שחוו אחת). לא מעט מתקפות דומות התגלו בשנים האחרונות בחברות ענק, אך ככל שהן הלכו והצטברו, לצד שלל אירועי הסייבר האחרים, כך נשחק האפקט המבהיל של כל אחת מהן.

כי אוקיי, קרה משהו רע, אבל מהו בדיוק? דיבורים מעורפלים על "פרטיות" לא ממש משכנעים, הרי לימדו אותנו שבעידן האינטרנט הפרטיות מתה, וכולנו חיים בידיעה מעורפלת שיש גופים - נגיד, פייסבוק - שעוקבים אחרינו לכל מקום. למרות זאת, אנחנו עדיין מעלים לרשת טונות של טקסטים ותמונות פרטיות, ואולי גם קצת נהנים מהסיכון. כשפורצים לחשבון ברשת, ולא גורמים לו נזק מוחשי, הקורבן לרוב לא חווה את אותה תחושת חילול דוחה שמעוררת פריצה לביתו.

ומנקודת המבט של המשתמשים, זו השאלה הרלוונטית היחידה כרגע: האם נגרם נזק?

מכות תכופות וקשות יותר

מבחינת פייסבוק, פרשת קיימברידג' אנליטיקה הייתה מחדל שנע בין שני סוגי המתקפות האמיתיות שהזכרתי. מצד אחד, אנו יודעים איזה נזק בדיוק התוקפים ביקשו לחולל. מצד שני, איש מהגולשים לא יודע אם הוא נחשף אישית לתעמולה שהותאמה על בסיס הפרופיל הפסיכולוגי שלו. נוסף על כך, לרבים לא לגמרי ברור מה כל כך חמור ומפתיע במידע שדלף. ובכל זאת, הקישור בין קיימברידג' לבין מבצע הפייק ניוז הרוסי סביב הבחירות לנשיאות יצר את משבר התדמית החמור בתולדות החברה.

הפרשה הנוכחית היא כרגע אירוע מהסוג השני. אנחנו יודעים שיש תוקפים ושהם היו יכולים לחדור לחשבונות פייסבוק, אבל אנחנו לא יודעים מה הם עשו עם זה - אם בכלל. אמנם, בניגוד לקיימברידג', במקרה הזה קל להבין מדוע מדובר במחדל אבטחה מדאיג. ובכל זאת, פייסבוק כנראה תשרוד גם את המכה הזאת. אם יתגלה שהחשבונות נקצרו לצורך פרסום, לדוגמה, או שפשוט לא יתגלה דבר - היא תצליח לעבור הלאה.

עם שתי כוכביות. ראשית, תמיד קיימת אפשרות שהיא תחווה - מחר, בעוד שבוע, בעוד שנה - את רגע Trolltrace שלה בעקבות הפרצה: חשיפה נרחבת של פוסטים אישיים (במקרה הרע, שלא יהיה לגמרי חדש), פרסום הודעות פרטיות של גולשים (במקרה ההרבה יותר גרוע) או התחזות אליהם במטרה לפגוע בהם (אפוקליפסה עכשיו).

הכוכבית השנייה היא שלמכות שסופגת פייסבוק יש אפקט מצטבר. הן הופכות להיות קשות יותר, תכופות יותר, פוגעות בשמה הטוב, שגם כך התקשתה להגן עליו בשנים האחרונות. רק השבוע ספגה החברה את עזיבתם של מייסדי אינסטגרם, וריאיון לוחמני של אחד ממייסדי ווטסאפ שיצא נגדה בגלוי. שלא לדבר על כך שהאירוע הזכור ביותר שבו כיכב השנה מארק צוקרברג, המייסד, המנכ"ל והפנים של החברה, היה השימוע שלו בקונגרס. אם המגמה הזאת תימשך, בפייסבוק עוד יתגעגעו לאדישות היחסית של ספטמבר 2018.