גלובס - עיתון העסקים של ישראלאתר נגיש

לאתר הרגיל | פורטל פיננסי | | |

פייסבוק נפרצה! 50 מיליון חשבונות נפגעו! האם למישהו אכפת?

הפרצה הגדולה ברשת החברתית לא הייתה חולשת אבטחה תיאורטית, אלא פתח למתקפה חמורה ומסוכנת ● למרות זאת, האינפלציה באירועי סייבר - אמיתיים ומזויפים - תקשה להתייחס אליה ברצינות ● זה ישתנה רק אם נרגיש את השפעותיה על בשרנו

פורסם בתאריך: 29.09.2018, 12:00 מאת: דור צח

סייבר/ רויטרס

בעונתה ה-20 של הסדרה סאות' פארק, תושביה של העיירה המצוירת והלא-ציורית עוקבים בחרדה אחרי החדשות מעיירה סמוכה. ממשלת דנמרק, שנקלעה לעימות עם ארצות הברית, הפעילה נגד אותה עיירה את נשק יום הדין: היא חשפה את מה שהתושבים עושים באינטרנט. כל אתר, כל הודעה, כל קללה בעילום שם, כל בגידה, כל מה שכולם ניסו להסתיר. התוצאה הייתה שבר חברתי נורא.

פרצת האבטחה שבה הודתה הרשת החברתית אמש, ושהביאה (אולי) לפגיעה ב-50 מיליון משתמשים (לפחות), יכולה עקרונית לחולל משבר דומה. הפורצים, כפי שהסביר בפירוט לאתר Motherboard סמנכ"ל ניהול המוצר גיא רוזן, ניצלו שלושה באגים באחד הפיצ'רים הפחות ידועים של פייסבוק - View as. הפיצ'ר, שהושבת בינתיים, אפשר לראות את חשבונך כאילו נכנסת אליו מחשבון של אדם אחר, בבחינת "איך אני מצטייר כלפי חוץ".

בניסיון להדגיש שמדובר במתקפה מתוחכמת, רוזן הדגיש שהתוקפים היו צריכים לנצל את כל שלושת הבאגים כדי להגיע למבוקשם - מפתחות הכניסה (Tokens) של המשתמשים. זהו המנגנון שמאפשר לגולשי פייסבוק להישאר מחוברים אליה, מבלי להידרש להזנת סיסמה בכל פעם שהם רוצים, לדוגמה, לעשות לייק לפוסטים בעמוד של "גלובס". אבל אני סוטה מהנושא, וגם רוזן. והנושא הוא שהיו תוקפים. לא בתיאוריה, בפועל.

התוקפים האלה, שנכון לכתיבת שורות אלה לא ידוע מיהם, יכולים היו לקבל גישה לחשבונות של 50 מיליון איש, לפחות. והם אולי עשו את זה. והם אולי ראו את כל היסטוריית הפייסבוק הסודית שלנו, את הפרטים הכי אינטימיים וההודעות הכי פרטיות, כמו ב-Trolltrace. גרוע מכך: "התוקפים היו יכולים להשתמש בחשבון כאילו הם המחזיקים בו", אומר רוזן במפורש. במילים אחרות, הם היו יכולים לכתוב בשם קורבנותיהם בפייסבוק, לשלוח תמונות בשמם, לגנוב את זהותם, להרוס את חייהם. המתקפה עלולה להשפיע גם על התחברות לאפליקציות ושירותים אחרים דרך חשבון הפייסבוק, שהפכה נפוצה יותר ויותר בשנים האחרונות.

ועדיין, יש סיכוי סביר שבעוד זמן מה, לאף אחד לא יהיה אכפת. סביר שלרוב המוחלט של האנשים לא עד כדי כך אכפת כבר עכשיו, כולל אנשים כמוני - שנותקו מחשבונם מחשש שנפגעו. למה?

סייבר, סייבר בכל מקום

קשה להאמין שהמילה "סייבר" קיבלה את משמעותה הנפוצה הנוכחית רק בעשור האחרון (לפני כן, מוזר לחשוב על כך, היא היוותה קיצור מקובל לסייבר סקס). ב-2018 כבר אי אפשר להתחמק מסייבר. אחד מתחומי העיסוק הבולטים של המחשוב בן זמננו. משחק חתול ועכבר חסר תקדים, אינסופי ותמידי, בין האקרים לאנטי-האקרים. תחום עיסוק נחשק בצבא ובאזרחות, מגמה בתיכון, חוג ביסודי. ובמידה רבה - רצף בלתי פוסק של אירועים מבהילים, תרחישי אימים, אסונות שמחשבים להתרחש.

זה לא שהעיסוק בפרצות אבטחה תפל בעיני, בבחינת הפחדה לצורך סנסציה. גם במדור זה אנחנו עוסקים בהן לעתים קרובות. המצב שבו "האקרים טובים" (White hats) מדווחים על פרצות בקביעות לתקשורת ולגופים שעלולים להיפגע, ואחרים מקבלים מחברות תשלום עבור איתור פרצות כאלה, הוא מבורך - וכך גם חובת הדיווח על חברות שנפגעו בחלק מהמדינות. זו הדרך לעמוד על המשמר ולוודא שכולנו נקבל סטנדרט אבטחה גבוה ככל האפשר, בדיוק כפי שאנחנו דורשים שהבית שלנו יהיה מוגן ובטוח ככל האפשר. אלא שכאשר קורה משהו, כשיש פרצה או בעיה, קשה מאוד לאפיין את חומרתה והשפעתה. המילה "סייבר" צובעת את הדיון בגוון אחיד - ומפחיד.

מאחורי הגוון הזה מסתתרת סקאלה רחבה במיוחד של אירועים - אמיתיים, תיאורטיים ומזויפים. נתחיל מהמזויפים: זאת יכולה להיות השבתה זמנית של אתר אינטרנט, השחתה של דף שאין בו כל מידע רגיש, אפילו פרסום פרטים אישיים לא מעודכנים של גולשים. אלה מתקפות בסגנון אנונימוס, שכמעט אף פעם לא גורמות נזק ממשי - אבל בולטות במיוחד לעין, ועל כן מצליחות לעורר דאגה בלי פרופורציה לגודלן האמיתי.

לצד האירועים המזויפים יש לנו הבאגים וחולשות האבטחה, פרצות תיאורטיות שזיהו החברות או ההאקרים שעובדים עימן, ואין אינדיקציה שמישהו ניצל. הן יכולות להיות חמורות יחסית, כמו מה שקרה לאינטל בתחילת השנה, או שגרתיות יותר. חלקן מתגלות בגופים רגישים דוגמת בנקים או חברות תעופה, שבהם מתמקדים גם בני הדוד של הפרצות התיאורטיות - תרחישי אימים על מתקפות אפשריות שיחוללו נזק אדיר, ללא הוכחה לבעיית אבטחה ספציפית. אין מנוס מלעסוק בכך, אבל לא רק שהציבור מתקשה להעריך את הסיכון האמיתי הגלום בפרצות כאלה, גם המומחים מתקשים לעשות זאת.

וישנן גם המתקפות האמיתיות, שמתחלקות בהכללה לשני סוגים. הסוג הראשון הוא מתקפות שהיה להן אפקט ברור בשטח: מפרסום מידע פרטי עדכני, דרך השתלטות גלויה על חשבון ברשת חברתית, עבור בגניבת כספים ודרישות כופר, ועד השבתת מתקני גרעין. את הנזקים האלה, לרוב, אפשר להבין ולכמת. זה אולי הצד הפשוט ביותר בדיון.

הסוג השני הוא אירועי סייבר שידוע לנו שהתרחשו, אבל אנחנו לא בטוחים מה ההשפעה שלהם. ידעתם ששם המשתמש והסיסמה של כל חשבון ביאהו, שלושה מיליארד חשבונות במספר, דלפו להאקרים? הסיפור הזה עבר די בשקט כשנחשף בשנה שעברה, פשוט כי יאהו כבר הייתה אז חברה לא רלוונטית, והמשתמשים לא באמת חוו פגיעה (או לפחות לא יודעים שחוו אחת). לא מעט מתקפות דומות התגלו בשנים האחרונות בחברות ענק, אך ככל שהן הלכו והצטברו, לצד שלל אירועי הסייבר האחרים, כך נשחק האפקט המבהיל של כל אחת מהן.

כי אוקיי, קרה משהו רע, אבל מהו בדיוק? דיבורים מעורפלים על "פרטיות" לא ממש משכנעים, הרי לימדו אותנו שבעידן האינטרנט הפרטיות מתה, וכולנו חיים בידיעה מעורפלת שיש גופים - נגיד, פייסבוק - שעוקבים אחרינו לכל מקום. למרות זאת, אנחנו עדיין מעלים לרשת טונות של טקסטים ותמונות פרטיות, ואולי גם קצת נהנים מהסיכון. כשפורצים לחשבון ברשת, ולא גורמים לו נזק מוחשי, הקורבן לרוב לא חווה את אותה תחושת חילול דוחה שמעוררת פריצה לביתו.

ומנקודת המבט של המשתמשים, זו השאלה הרלוונטית היחידה כרגע: האם נגרם נזק?

מכות תכופות וקשות יותר

מבחינת פייסבוק, פרשת קיימברידג' אנליטיקה הייתה מחדל שנע בין שני סוגי המתקפות האמיתיות שהזכרתי. מצד אחד, אנו יודעים איזה נזק בדיוק התוקפים ביקשו לחולל. מצד שני, איש מהגולשים לא יודע אם הוא נחשף אישית לתעמולה שהותאמה על בסיס הפרופיל הפסיכולוגי שלו. נוסף על כך, לרבים לא לגמרי ברור מה כל כך חמור ומפתיע במידע שדלף. ובכל זאת, הקישור בין קיימברידג' לבין מבצע הפייק ניוז הרוסי סביב הבחירות לנשיאות יצר את משבר התדמית החמור בתולדות החברה.

הפרשה הנוכחית היא כרגע אירוע מהסוג השני. אנחנו יודעים שיש תוקפים ושהם היו יכולים לחדור לחשבונות פייסבוק, אבל אנחנו לא יודעים מה הם עשו עם זה - אם בכלל. אמנם, בניגוד לקיימברידג', במקרה הזה קל להבין מדוע מדובר במחדל אבטחה מדאיג. ובכל זאת, פייסבוק כנראה תשרוד גם את המכה הזאת. אם יתגלה שהחשבונות נקצרו לצורך פרסום, לדוגמה, או שפשוט לא יתגלה דבר - היא תצליח לעבור הלאה.

עם שתי כוכביות. ראשית, תמיד קיימת אפשרות שהיא תחווה - מחר, בעוד שבוע, בעוד שנה - את רגע Trolltrace שלה בעקבות הפרצה: חשיפה נרחבת של פוסטים אישיים (במקרה הרע, שלא יהיה לגמרי חדש), פרסום הודעות פרטיות של גולשים (במקרה ההרבה יותר גרוע) או התחזות אליהם במטרה לפגוע בהם (אפוקליפסה עכשיו).

הכוכבית השנייה היא שלמכות שסופגת פייסבוק יש אפקט מצטבר. הן הופכות להיות קשות יותר, תכופות יותר, פוגעות בשמה הטוב, שגם כך התקשתה להגן עליו בשנים האחרונות. רק השבוע ספגה החברה את עזיבתם של מייסדי אינסטגרם, וריאיון לוחמני של אחד ממייסדי ווטסאפ שיצא נגדה בגלוי. שלא לדבר על כך שהאירוע הזכור ביותר שבו כיכב השנה מארק צוקרברג, המייסד, המנכ"ל והפנים של החברה, היה השימוע שלו בקונגרס. אם המגמה הזאת תימשך, בפייסבוק עוד יתגעגעו לאדישות היחסית של ספטמבר 2018.

עוד כתבות

נשיא ארה''ב דונלד טראמפ והמנהיג העליון של איראן עלי חמינאי / צילום: ap, Alex Brandon, khamenei.ir

באיראן פסימיים לגבי המו"מ, ומאיימים: "טראמפ ילמד לקח"

צה"ל תקף מחבלים מארגון הטרור הג'יהאד האיסלאמי במרחב מג'דל ענג'ר שבלבנון ● חוסלו שני מחבלים במרחב הקו הצהוב שביצעו פעולות חשודות בקרקע והתקרבו לכוחות צה"ל הפועלים בצפון הרצועה ● בנו של השאה האיראני הגולה: "מתקפה עשויה להאיץ את נפילת המשטר" ● עדכונים שוטפים

האתגרים הצפויים במכירת ענקית הספנות צים / צילום: Craig Cooper

העובדים והרגולציה: האתגרים הצפויים במכירת ענקית הספנות צים

קרן פימי והפג־לויד הגרמנית צפויות לרכוש את צים תמורת 3.7 מיליארד דולר, באופן שיותיר את חברת התובלה הימית תחת בעלות ישראליות ● ועד העובדים כבר הכריז על שביתה מחשש לפיטורים המוניים לאחר החתימה המסתמנת על העסקה ● כעת, הכדור צפוי לעבור לידיים של הממשלה שתבחן אותה

עסקת צים נחתמה והשווי הסופי נחשף

חברת התובלה הימית נרכשת תמורת 4.2 מיליארד דולר - מחיר המשקף פרמיה של כ-58% על מחיר המניה בוול סטריט ● עסקת הרכישה כפופה לאישורים שונים, ביניהם גם אישור המדינה, שמחזיקה ב"מניית זהב" בצים

אלי גליקמן, נשיא ומנכ''ל צים / צילום: איתי רפפורט - חברת החדשות הפרטית

עשרות מיליוני דולרים למנכ"ל ולמתווך: המרוויחים מעסקת צים

ענקית הספנות הגרמנית הפג לויד וקרן פימי צפויות לרכוש את צים ● אם העסקה תצא לפועל, המנכ"ל אלי גליקמן ייהנה מכ-40 מיליון דולר, והוא לא בעל המניות היחיד שירשום תשואה משמעותית ● סאמר חאג' יחיא, לשעבר יו"ר בנק לאומי, שתיווך בעסקה, עשוי לגזור קופון של מעל 10 מיליון דולר

מושגים לאזרחות מיודעת. מיזוג / צילום: Shutterstock

ערוץ רשת 13 ו־i24news יתמזגו? זה מה שהמדינה צריכה לבחון

הבעלים של ערוץ i24news מתקרב לרכישת ערוץ רשת 13, ויש מי שכבר מעלים אפשרות של מיזוג ● מה ההגדרה של מיזוג, באילו תנאים הוא צריך לעמוד, ומי מפקח על זה? • המשרוקית של גלובס מציגה: המוניטור מבאר מושגים

רשות המסים חושדת שמיליארדי שקלים לא דווחו בניכיון צ'קים; רוטמן: "החוק נכשל"

ועדת החוקה דנה בהצעה להגביל את ניכיון הצ'קים ל-15 אלף שקל בין אנשים פרטיים ול-6,000 שקל בין עסקים ● רשות המסים זיהתה פער של 8 מיליארד שקל בין היקף עסקאות הניכיון שעליהן דיווחו הגופים הפיננסיים לבין היקף הדיווח למע"מ

הכוח שמניע את הדולר / אילוסטרציה: טלי בוגדנובסקי (נוצר בעזרת adobe firefly)

המאמר שקובע: הכוח החדש שמניע את הדולר

"מה שבאמת מזיז את הדולר הוא אופרת הסבון הפרועה שהיא הפוליטיקה האמריקאית", כותבים בפייננשל טיימס ● אנליסטים: "אנחנו נכנסים לעידן חדש, הצמיחה בארה"ב תזנק השנה, אבל הדולר ייחלש" ● ההמלצה: לגדר את אמריקה

התמחור עדיין לא מגלם את הערך האמיתי של המניה הזו

הכניסה לתחום מוצרי הפלזמה הייחודיים עם ביסוס פעילות בארה"ב הפכו את קמהדע לחברת ביופארמה בינלאומית ● תמחור המניה עדיין אינו מגלם את מלוא פוטנציאל הצמיחה העתידית ● בדרך היא תצטרך להתגבר על מתחרות מבוססות, חשיפה לשערי מטבע וסיכוני שרשרת האספקה ● ניתוח חברה, מדור חדש

משמרות המהפכה באיראן / צילום: ap, Vahid Salemi

מתיחות שיא: משמרות המהפכה פתחו בתרגיל נרחב במצר הורמוז

הטליבאן הצהירו: איראן תותקף? אנחנו נעזור לה ● כוחות צה"ל זיהו הלילה מספר אזרחים ישראלים שחצו את גדר הגבול לתוך שטח סוריה ● מעטפה חשודה התקבלה במשרד רה"מ נתניהו. מאגף הביטחון והחירום נמסר: "לא נשקפה סכנה למי מהעובדים" ● שר החוץ של איראן נחת בז'נבה בשווייץ לקראת השיחות עם ארה"ב ביום שלישי ● נתניהו: "טראמפ חושב שהאיראנים רוצים הסכם אחרי הפספוס בפעם הקודמת. אמרתי לו: האיראנים משקרים" ● עדכונים שוטפים

טילי ספייק מתוצרת רפאל / צילום: דוברות רפאל

התרגיל הספרדי: ביטול רכישת טילי נ"ט של רפאל, וקנייתם מחברה־בת אירופית

רק לפני מספר חודשים ביטלה ספרד עסקת ענק עם רפאל בגין המלחמה בעזה, וכעת היא פונה לחברת יורוספייק - בה לרפאל 20% בעלות ● התירוץ שבו משתמשים לנימוק העסקה המסתמנת: הרכיבים מיוצרים באירופה

העליון קבע: יש לברר את התביעה הייצוגית נגד חברות האשראי שלא סיכלו את "עושק הקשישים"

ביהמ"ש העליון קיבל את הערעור בנוגע לתביעה ייצוגית נגד חברות כרטיסי האשראי ישראכרט, כאל, ומקס, והורה על החזרת ההליך למחוזי ● בתביעה נטען כי חברות האשראי לא מנעו ניצול קשישים ע"י חברות שיווק שבנו מנגנון שיטתי ורחב-היקף ופעלו לשכנעם למסור להם את פרטי כרטיסי האשראי שלהם

מיכל מור, מנכ''לית ומייסדת סמארט שוטר / צילום: מאיה חבקין

הביטחונית החדשה שמגיעה לבורסה בת"א לפי שווי של 700 מיליון שקל

סמארט שוטר, המייצרת מערכות בקרת אש אלקטרו-אופטיות, תנסה לגייס 200 מיליון שקל במסגרת הנפקה ראשונית ● בין בעלי המניות: חברות הביטוח הפניקס והכשרה והאלוף במיל' ניצן אלון

הכלכלה הישראלית צמחה ב-3.1% בשנה שעברה - מעל הצפי

מדובר בהפתעה חיובית: הנתון גבוה מכל התחזיות המרכזיות העדכניות מהחודשים האחרונים, שעמדו על 2.8%-2.9% ● התוצר לנפש עלה ב-1.7%, לאחר שנתיים רצופות של ירידה

הדמיית שלט חוצות שיעלה השבוע במחלף ההלכה / הדמיה: אנשי העיר

החברה שמגרילה דירה במתנה (כדי למכור עוד דירות)

חברת ההתחדשות העירונית "אנשי העיר" מציעה לרוכשי דירות שלה במרכז ת"א להשתתף בהגרלת דירת שני חדרים סמוך לכיכר המדינה ● המנכ"ל רון חן: "יש עודף של פרויקטים ושוק רווי. החלטנו לבוא עם רעיון יצירתי שיזעזע את התחום" ● וגם: בשופרסל בוחרים פרזנטורית אחרי כמעט שנתיים של קמפיינים רזים ● אירועים ומינויים