גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

פייסבוק נפרצה! 50 מיליון חשבונות נפגעו! האם למישהו אכפת?

הפרצה הגדולה ברשת החברתית לא הייתה חולשת אבטחה תיאורטית, אלא פתח למתקפה חמורה ומסוכנת ● למרות זאת, האינפלציה באירועי סייבר - אמיתיים ומזויפים - תקשה להתייחס אליה ברצינות ● זה ישתנה רק אם נרגיש את השפעותיה על בשרנו

פורסם בתאריך: 29.09.2018, 12:00 מאת: דור צח
סייבר/ רויטרס
סייבר/ רויטרס

בעונתה ה-20 של הסדרה סאות' פארק, תושביה של העיירה המצוירת והלא-ציורית עוקבים בחרדה אחרי החדשות מעיירה סמוכה. ממשלת דנמרק, שנקלעה לעימות עם ארצות הברית, הפעילה נגד אותה עיירה את נשק יום הדין: היא חשפה את מה שהתושבים עושים באינטרנט. כל אתר, כל הודעה, כל קללה בעילום שם, כל בגידה, כל מה שכולם ניסו להסתיר. התוצאה הייתה שבר חברתי נורא.

פרצת האבטחה שבה הודתה הרשת החברתית אמש, ושהביאה (אולי) לפגיעה ב-50 מיליון משתמשים (לפחות), יכולה עקרונית לחולל משבר דומה. הפורצים, כפי שהסביר בפירוט לאתר Motherboard סמנכ"ל ניהול המוצר גיא רוזן, ניצלו שלושה באגים באחד הפיצ'רים הפחות ידועים של פייסבוק - View as. הפיצ'ר, שהושבת בינתיים, אפשר לראות את חשבונך כאילו נכנסת אליו מחשבון של אדם אחר, בבחינת "איך אני מצטייר כלפי חוץ".

בניסיון להדגיש שמדובר במתקפה מתוחכמת, רוזן הדגיש שהתוקפים היו צריכים לנצל את כל שלושת הבאגים כדי להגיע למבוקשם - מפתחות הכניסה (Tokens) של המשתמשים. זהו המנגנון שמאפשר לגולשי פייסבוק להישאר מחוברים אליה, מבלי להידרש להזנת סיסמה בכל פעם שהם רוצים, לדוגמה, לעשות לייק לפוסטים בעמוד של "גלובס". אבל אני סוטה מהנושא, וגם רוזן. והנושא הוא שהיו תוקפים. לא בתיאוריה, בפועל.

התוקפים האלה, שנכון לכתיבת שורות אלה לא ידוע מיהם, יכולים היו לקבל גישה לחשבונות של 50 מיליון איש, לפחות. והם אולי עשו את זה. והם אולי ראו את כל היסטוריית הפייסבוק הסודית שלנו, את הפרטים הכי אינטימיים וההודעות הכי פרטיות, כמו ב-Trolltrace. גרוע מכך: "התוקפים היו יכולים להשתמש בחשבון כאילו הם המחזיקים בו", אומר רוזן במפורש. במילים אחרות, הם היו יכולים לכתוב בשם קורבנותיהם בפייסבוק, לשלוח תמונות בשמם, לגנוב את זהותם, להרוס את חייהם. המתקפה עלולה להשפיע גם על התחברות לאפליקציות ושירותים אחרים דרך חשבון הפייסבוק, שהפכה נפוצה יותר ויותר בשנים האחרונות.

ועדיין, יש סיכוי סביר שבעוד זמן מה, לאף אחד לא יהיה אכפת. סביר שלרוב המוחלט של האנשים לא עד כדי כך אכפת כבר עכשיו, כולל אנשים כמוני - שנותקו מחשבונם מחשש שנפגעו. למה?

סייבר, סייבר בכל מקום

קשה להאמין שהמילה "סייבר" קיבלה את משמעותה הנפוצה הנוכחית רק בעשור האחרון (לפני כן, מוזר לחשוב על כך, היא היוותה קיצור מקובל לסייבר סקס). ב-2018 כבר אי אפשר להתחמק מסייבר. אחד מתחומי העיסוק הבולטים של המחשוב בן זמננו. משחק חתול ועכבר חסר תקדים, אינסופי ותמידי, בין האקרים לאנטי-האקרים. תחום עיסוק נחשק בצבא ובאזרחות, מגמה בתיכון, חוג ביסודי. ובמידה רבה - רצף בלתי פוסק של אירועים מבהילים, תרחישי אימים, אסונות שמחשבים להתרחש.

זה לא שהעיסוק בפרצות אבטחה תפל בעיני, בבחינת הפחדה לצורך סנסציה. גם במדור זה אנחנו עוסקים בהן לעתים קרובות. המצב שבו "האקרים טובים" (White hats) מדווחים על פרצות בקביעות לתקשורת ולגופים שעלולים להיפגע, ואחרים מקבלים מחברות תשלום עבור איתור פרצות כאלה, הוא מבורך - וכך גם חובת הדיווח על חברות שנפגעו בחלק מהמדינות. זו הדרך לעמוד על המשמר ולוודא שכולנו נקבל סטנדרט אבטחה גבוה ככל האפשר, בדיוק כפי שאנחנו דורשים שהבית שלנו יהיה מוגן ובטוח ככל האפשר. אלא שכאשר קורה משהו, כשיש פרצה או בעיה, קשה מאוד לאפיין את חומרתה והשפעתה. המילה "סייבר" צובעת את הדיון בגוון אחיד - ומפחיד.

מאחורי הגוון הזה מסתתרת סקאלה רחבה במיוחד של אירועים - אמיתיים, תיאורטיים ומזויפים. נתחיל מהמזויפים: זאת יכולה להיות השבתה זמנית של אתר אינטרנט, השחתה של דף שאין בו כל מידע רגיש, אפילו פרסום פרטים אישיים לא מעודכנים של גולשים. אלה מתקפות בסגנון אנונימוס, שכמעט אף פעם לא גורמות נזק ממשי - אבל בולטות במיוחד לעין, ועל כן מצליחות לעורר דאגה בלי פרופורציה לגודלן האמיתי.

לצד האירועים המזויפים יש לנו הבאגים וחולשות האבטחה, פרצות תיאורטיות שזיהו החברות או ההאקרים שעובדים עימן, ואין אינדיקציה שמישהו ניצל. הן יכולות להיות חמורות יחסית, כמו מה שקרה לאינטל בתחילת השנה, או שגרתיות יותר. חלקן מתגלות בגופים רגישים דוגמת בנקים או חברות תעופה, שבהם מתמקדים גם בני הדוד של הפרצות התיאורטיות - תרחישי אימים על מתקפות אפשריות שיחוללו נזק אדיר, ללא הוכחה לבעיית אבטחה ספציפית. אין מנוס מלעסוק בכך, אבל לא רק שהציבור מתקשה להעריך את הסיכון האמיתי הגלום בפרצות כאלה, גם המומחים מתקשים לעשות זאת.

וישנן גם המתקפות האמיתיות, שמתחלקות בהכללה לשני סוגים. הסוג הראשון הוא מתקפות שהיה להן אפקט ברור בשטח: מפרסום מידע פרטי עדכני, דרך השתלטות גלויה על חשבון ברשת חברתית, עבור בגניבת כספים ודרישות כופר, ועד השבתת מתקני גרעין. את הנזקים האלה, לרוב, אפשר להבין ולכמת. זה אולי הצד הפשוט ביותר בדיון.

הסוג השני הוא אירועי סייבר שידוע לנו שהתרחשו, אבל אנחנו לא בטוחים מה ההשפעה שלהם. ידעתם ששם המשתמש והסיסמה של כל חשבון ביאהו, שלושה מיליארד חשבונות במספר, דלפו להאקרים? הסיפור הזה עבר די בשקט כשנחשף בשנה שעברה, פשוט כי יאהו כבר הייתה אז חברה לא רלוונטית, והמשתמשים לא באמת חוו פגיעה (או לפחות לא יודעים שחוו אחת). לא מעט מתקפות דומות התגלו בשנים האחרונות בחברות ענק, אך ככל שהן הלכו והצטברו, לצד שלל אירועי הסייבר האחרים, כך נשחק האפקט המבהיל של כל אחת מהן.

כי אוקיי, קרה משהו רע, אבל מהו בדיוק? דיבורים מעורפלים על "פרטיות" לא ממש משכנעים, הרי לימדו אותנו שבעידן האינטרנט הפרטיות מתה, וכולנו חיים בידיעה מעורפלת שיש גופים - נגיד, פייסבוק - שעוקבים אחרינו לכל מקום. למרות זאת, אנחנו עדיין מעלים לרשת טונות של טקסטים ותמונות פרטיות, ואולי גם קצת נהנים מהסיכון. כשפורצים לחשבון ברשת, ולא גורמים לו נזק מוחשי, הקורבן לרוב לא חווה את אותה תחושת חילול דוחה שמעוררת פריצה לביתו.

ומנקודת המבט של המשתמשים, זו השאלה הרלוונטית היחידה כרגע: האם נגרם נזק?

מכות תכופות וקשות יותר

מבחינת פייסבוק, פרשת קיימברידג' אנליטיקה הייתה מחדל שנע בין שני סוגי המתקפות האמיתיות שהזכרתי. מצד אחד, אנו יודעים איזה נזק בדיוק התוקפים ביקשו לחולל. מצד שני, איש מהגולשים לא יודע אם הוא נחשף אישית לתעמולה שהותאמה על בסיס הפרופיל הפסיכולוגי שלו. נוסף על כך, לרבים לא לגמרי ברור מה כל כך חמור ומפתיע במידע שדלף. ובכל זאת, הקישור בין קיימברידג' לבין מבצע הפייק ניוז הרוסי סביב הבחירות לנשיאות יצר את משבר התדמית החמור בתולדות החברה.

הפרשה הנוכחית היא כרגע אירוע מהסוג השני. אנחנו יודעים שיש תוקפים ושהם היו יכולים לחדור לחשבונות פייסבוק, אבל אנחנו לא יודעים מה הם עשו עם זה - אם בכלל. אמנם, בניגוד לקיימברידג', במקרה הזה קל להבין מדוע מדובר במחדל אבטחה מדאיג. ובכל זאת, פייסבוק כנראה תשרוד גם את המכה הזאת. אם יתגלה שהחשבונות נקצרו לצורך פרסום, לדוגמה, או שפשוט לא יתגלה דבר - היא תצליח לעבור הלאה.

עם שתי כוכביות. ראשית, תמיד קיימת אפשרות שהיא תחווה - מחר, בעוד שבוע, בעוד שנה - את רגע Trolltrace שלה בעקבות הפרצה: חשיפה נרחבת של פוסטים אישיים (במקרה הרע, שלא יהיה לגמרי חדש), פרסום הודעות פרטיות של גולשים (במקרה ההרבה יותר גרוע) או התחזות אליהם במטרה לפגוע בהם (אפוקליפסה עכשיו).

הכוכבית השנייה היא שלמכות שסופגת פייסבוק יש אפקט מצטבר. הן הופכות להיות קשות יותר, תכופות יותר, פוגעות בשמה הטוב, שגם כך התקשתה להגן עליו בשנים האחרונות. רק השבוע ספגה החברה את עזיבתם של מייסדי אינסטגרם, וריאיון לוחמני של אחד ממייסדי ווטסאפ שיצא נגדה בגלוי. שלא לדבר על כך שהאירוע הזכור ביותר שבו כיכב השנה מארק צוקרברג, המייסד, המנכ"ל והפנים של החברה, היה השימוע שלו בקונגרס. אם המגמה הזאת תימשך, בפייסבוק עוד יתגעגעו לאדישות היחסית של ספטמבר 2018. 

עוד כתבות

אלי גליקמן, נשיא ומנכ''ל צים / צילום: איתי רפפורט - חברת החדשות הפרטית

עשרות מיליוני דולרים למנכ"ל ולמתווך: המרוויחים מעסקת צים

ענקית הספנות הגרמנית הפג לויד וקרן פימי צפויות לרכוש את צים ● אם העסקה תצא לפועל, המנכ"ל אלי גליקמן ייהנה מכ-40 מיליון דולר, והוא לא בעל המניות היחיד שירשום תשואה משמעותית ● סאמר חאג' יחיא, לשעבר יו"ר בנק לאומי, שתיווך בעסקה, עשוי לגזור קופון של מעל 10 מיליון דולר

להבות עולות מבניין שנפגע בתקיפה אווירית ישראלית בדרום לבנון בתחילת החודש / צילום: ap, Mohammad Zaatari

צה"ל תקף מחבלים מהג'יהאד האיסלאמי בכביש ביירות-דמשק

שר החוץ של איראן נחת בג'נווה בשווייץ לקראת השיחות עם ארה"ב ביום שלישי ● באיראן עונים לטראמפ לקראת חידוש המשא ומתן: "אם תבחר בעימות - יהיה לקח מרתיע" ● נתניהו: טראמפ חושב שהאיראנים רוצים הסכם אחרי הפספוס בפעם הקודמת, אמרתי לו: האיראנים משקרים ● עדכונים שוטפים

בית זיקוק אשדוד / צילום: רפי קוץ

התאונה הקטלנית בבתי הזיקוק אשדוד: מה בודקת המשטרה?

שלושה ימים לאחר התאונה הקטלנית בבית הזיקוק באשדוד, במשטרה עדיין חוקרים מהו החומר הקטלני שגרם למותן של שתי העובדות ● בעקבות התאונה, הציבור התבקש שלא להשתמש במכלי חמצן של חברת סלם יעקב, בהם השתמשו העובדות ● "כל המכלים חשודים כרגע, והציבור לא יכול להשתמש בהם"

Ring Air של חברת Ultrahuman / צילום: באג

הגאדג'ט שרוצה להחליף את השעונים החכמים

חברת Ultrahuman נכנסת לישראל עם הטבעת החכמה Ring Air, שמנטרת את הבריאות ואת השינה ● העיצוב מסיבי, הסוללה מספיקה לחמישה ימים, והמחיר יחסית גבוה - כמעט כמו שעון חכם, שמציע הרבה יותר

מדד המחירים לצרכן יורד / אילוסטרציה: Shutterstock

מה יעשה הנגיד: הסעיפים במדד שמסבכים את החלטת הריבית בשבוע הבא

בעקבות הורדת הריבית, קצב האינפלציה השנתי הגיע ל-1.8%, הרמה הנמוכה ביותר מאז יוני 2021 ● בין הגורמים המשמעותיים ביותר בהחלטת בנק ישראל ניצב השקל, שהתחזק מאוד בחודשים האחרונים ואף שבר שיא של 30 שנה ביחס לדולר

מג'דל אל־כרום. תורחב דרומה? / צילום: Shutterstock

תקדים מסוכן או תיקון עוול: בג"ץ יכריע אם לאשר שכונה שנפסלה ארבע פעמים

ערכאת התכנון העליונה דחתה את הצעת ביהמ"ש, ופסלה הכשרה בדיעבד של הבנייה הלא חוקית במג'ד אל־כרום, שגם כוללת פריצת עקרונות תוכנית המתאר הארצית ● כעת, הסוגיה חוזרת להכרעה עקרונית בבג"ץ ● בעולם התכנון חוששים: "האישור יהווה תקדים מסוכן"

משרדי וואוי ישראל / צילום: איל יצהר

החברה הסינית שסוגרת את חטיבת הענן בישראל - 60 איש יפוטרו

חברת Huawei, שפועלת בארץ באמצעות מרכז הפיתוח טוגה נטוורקס, מודיעה על סגירת פעילות הענן ופיטורי כ־60 עובדים, זאת לאחר שבסוף 2023 סגרה גם את פעילות האחסון וצמצמה עשרות משרות בעקבות המלחמה

חלב של טרה / צילום: גלובס

רשות התחרות תקנוס בכ-18 מיליון שקל את החברה המרכזית למשקאות

העיצומים פורסמו להערות הציבור לקראת ביצועם, והם יוטלו בגין הפרות שקשורות בין היתר להתערבות בקביעת מחירי המדף של מוצרי טרה, שנמצאים בשליטת החברה, וכן בשל חשד להתערבות במיקום המוצרים על המדפים ברשתות השיווק

מימין: רועי זיסאפל, שבתאי אדלרסברג, דורון בלשר / צילום: יח''צ, תמר מצפי, ניר סלקמן

הישראלית שנכנסה לרשימת המניות המומלצות של אופנהיימר

במדור השבועי של גלובס, בדקנו מה קרה למניות הישראליות הבולטות בוול סטריט בסוף השבוע ● רדוור קפצה לאחר שהחברה הודיעה על תוכנית לרכישה עצמית של מניות ● לאחר שמנייתה הגיעה לשיא לפני כשבועיים, על רקע ההאצה בביקוש לחשמל לתשתיות AI - אורמת נכנסה לרשימת המניות הישראליות המומלצות של אופנהיימר ● ואודיוקודס נסחרת סביב רמות שפל של שנתיים

בנייה בישראל / צילום: Shutterstock

משבר הביצוע: לפחות שבע חברות נקלעו לאחרונה לקשיים

לפחות שבע חברות הפועלות בענף ביצוע הפרויקטים הגישו לאחרונה בקשה להקפאת הליכים או לעיכוב הליכים, בשל היקף חוב כולל של 850 מיליון שקל ויותר ● משבר כוח־האדם נפתר לכאורה, אבל גלי ההדף של המחסור, כך נראה, מגיעים עכשיו

דיון בבג''ץ / צילום: עמית שאבי, פול ידיעות אחרונות

בג"ץ בצו על-תנאי ללוין: נמק מדוע אינך מכנס את הוועדה לבחירת שופטים

לפי הצו, שר המשפטים ינמק עד 8 במרץ מדוע לא כינס את הוועדה לבחירת שופטים מאז ינואר 2025 לצורך איוש התקנים החסרים בכל ערכאות הרשות השופטת ● הצו ניתן בהמשך לדיון שנערך בנושא ביום חמישי האחרון, במסגרתו השופט אלכס שטיין סיפר בין היתר כי "נאלצתי אישית לשחרר שלושה אנשים בתיקי רצח" בשל המחסור בשופטים ● מנגד, לוין טען כי החוק נותן לו שיקול-דעת לפעול בהתאם לאידאולוגיה שלו

חדשות הביומד / צילום: Shutterstock

ה-FDA חסם את החיסון של מודרנה לשפעת. אז למה המניה עולה?

רשות המזון והתרופות האמריקאית הודיעה למודרנה כי לא תבחן את הבקשה שלה לאישור חיסון חדש מבוסס RNA לשפעת; המשקיעים לא מתרגשים ● הניסוי שיכול להיות הזדמנות חדשה לטיפול בשבץ ● והחברה שמנסה לטפל בהלם בלי זריקות ● השבוע בביומד

מצלמה של חברת עין שלישית / צילום: עין שלישית

האסיפה הכללית של עין שלישית אישרה מכירת 30% לאדג' האמירתית

העסקה נחתמה בינואר אשתקד, ובמסגרתה תשקיע אדג' כ־10 מיליון דולר בתמורה לכ־30% ממניות חברת בעין שלישית, המפתחת מערכות אלקטרו־אופטיות מבוססות בינה מלאכותית ● המהלך יצא לפועל לאחר שאגף הפיקוח על היצוא הביטחוני במשרד הביטחון העניק את האישור הנדרש לעסקה

האתגרים הצפויים במכירת ענקית הספנות צים / צילום: Craig Cooper

העובדים והרגולציה: האתגרים הצפויים במכירת ענקית הספנות צים

קרן פימי והפג־לויד הגרמנית צפויות לרכוש את צים תמורת 3.7 מיליארד דולר, באופן שיותיר את חברת התובלה הימית תחת בעלות ישראליות ● ועד העובדים כבר הכריז על שביתה מחשש לפיטורים המוניים לאחר החתימה המסתמנת על העסקה ● כעת, הכדור צפוי לעבור לידיים של הממשלה שתבחן אותה

ירידת ערך בשוק המשומשות / צילום: Shutterstock

עד 15% ירידה בתוך חודש וחצי: המגמה המסתמנת בשוק רכבי היד השנייה

הוזלת המחירים החדה בדגמים החדשים דוחקת מטה גם את ערך המכוניות המשומשות ● בין הסיבות: התחזקות השקל, הצפת המותגים מסין וחיסול מלאי "אפס קילומטר" ● כך השחיקה המואצת במחירוני המשומשות עלולה להקפיא את השוק כולו

דנה עזריאלי / צילום: זיו קורן

דנה עזריאלי הופכת למנכ"לית הקבועה של הקבוצה ועוזבת את תפקיד היו"ר

כעבור חצי שנה כממלאת-מקום, מכריזה קבוצת עזריאלי על מינויה של דנה עזריאלי למנכ"לית הקבועה ● לצד זאת היא תפנה את תפקיד היו"ר אותו היא ממלאת מאז 2014, ובמקומה תמונה אירית סקלר-פילוסוף

3 פסקי דין בשבוע / צילום: אנימציה: טלי בוגדנובסקי

ביהמ"ש הכריע: מתי חוב ארנונה בן 15 שנה מתיישן?

בית המשפט קבע: חוב ארנונה ישן לא נמחק אם נעשו ניסיונות גבייה ● אשת קבלן שקרס תחויב בהחזר הלוואות של 2.3 מיליון שקל בשל שיתוף בחובות ● וביטול חבילת נופש יום אחרי הרכישה בקבוצת וואטסאפ הוכר כ"עסקה מרחוק" המזכה בהחזר חלקי ● 3 פסקי דין בשבוע

מיכל מור, מנכ''לית ומייסדת סמארט שוטר / צילום: מאיה חבקין

הביטחונית החדשה שמגיעה לבורסה בת"א לפי שווי של 700 מיליון שקל

סמארט שוטר, המייצרת מערכות בקרת אש אלקטרו-אופטיות, תנסה לגייס 200 מיליון שקל במסגרת הנפקה ראשונית ● בין בעלי המניות: חברות הביטוח הפניקס והכשרה והאלוף במיל' ניצן אלון

על מה מהמהרים בחברת הביטוח שמצטיינת בפנסיה? / צילום: Shutterstock

אחרי חודש נוסף של הובלה בתשואות: על מה בונים בחברת הביטוח המצטיינת

החשיפה הגבוהה לשוק הישראלי המשיכה לתמוך בביצועי מנהלי הגמל של גופי הביטוח גם בינואר ● בכלל ביטוח, שמובילה בתשואות, מסבירים כי "זה מה שעבד לנו גם ב–2025" ● בתחתית: אלטשולר שחם וילין לפידות, שהמשיכו לשלם את מחיר ההשקעה המוגברת בחו"ל

אילוסטרציה: Shutterstock

אלטשולר וילין לפידות מפספסים גם בינואר. ומי הגופים שמככבים בצמרת התשואות?

זינוק של כמעט 10% במדד הדגל המקומי הקפיץ את התשואות בקרנות ההשתלמות במסלול הכללי והמנייתי ● חברות הביטוח המשיכו ליהנות מהחשיפה המוגברת לשוק המקומי והציגו תשואה עודפת ● אילו גופים פספסו את הביצועים הטובים של הבורסה המקומית, וכמה עשו מסלולי ה-S&P 500 לנוכח התחזקות השקל?