גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

פייסבוק נפרצה! 50 מיליון חשבונות נפגעו! האם למישהו אכפת?

הפרצה הגדולה ברשת החברתית לא הייתה חולשת אבטחה תיאורטית, אלא פתח למתקפה חמורה ומסוכנת ● למרות זאת, האינפלציה באירועי סייבר - אמיתיים ומזויפים - תקשה להתייחס אליה ברצינות ● זה ישתנה רק אם נרגיש את השפעותיה על בשרנו

פורסם בתאריך: 29.09.2018, 12:00 מאת: דור צח
סייבר/ רויטרס
סייבר/ רויטרס

בעונתה ה-20 של הסדרה סאות' פארק, תושביה של העיירה המצוירת והלא-ציורית עוקבים בחרדה אחרי החדשות מעיירה סמוכה. ממשלת דנמרק, שנקלעה לעימות עם ארצות הברית, הפעילה נגד אותה עיירה את נשק יום הדין: היא חשפה את מה שהתושבים עושים באינטרנט. כל אתר, כל הודעה, כל קללה בעילום שם, כל בגידה, כל מה שכולם ניסו להסתיר. התוצאה הייתה שבר חברתי נורא.

פרצת האבטחה שבה הודתה הרשת החברתית אמש, ושהביאה (אולי) לפגיעה ב-50 מיליון משתמשים (לפחות), יכולה עקרונית לחולל משבר דומה. הפורצים, כפי שהסביר בפירוט לאתר Motherboard סמנכ"ל ניהול המוצר גיא רוזן, ניצלו שלושה באגים באחד הפיצ'רים הפחות ידועים של פייסבוק - View as. הפיצ'ר, שהושבת בינתיים, אפשר לראות את חשבונך כאילו נכנסת אליו מחשבון של אדם אחר, בבחינת "איך אני מצטייר כלפי חוץ".

בניסיון להדגיש שמדובר במתקפה מתוחכמת, רוזן הדגיש שהתוקפים היו צריכים לנצל את כל שלושת הבאגים כדי להגיע למבוקשם - מפתחות הכניסה (Tokens) של המשתמשים. זהו המנגנון שמאפשר לגולשי פייסבוק להישאר מחוברים אליה, מבלי להידרש להזנת סיסמה בכל פעם שהם רוצים, לדוגמה, לעשות לייק לפוסטים בעמוד של "גלובס". אבל אני סוטה מהנושא, וגם רוזן. והנושא הוא שהיו תוקפים. לא בתיאוריה, בפועל.

התוקפים האלה, שנכון לכתיבת שורות אלה לא ידוע מיהם, יכולים היו לקבל גישה לחשבונות של 50 מיליון איש, לפחות. והם אולי עשו את זה. והם אולי ראו את כל היסטוריית הפייסבוק הסודית שלנו, את הפרטים הכי אינטימיים וההודעות הכי פרטיות, כמו ב-Trolltrace. גרוע מכך: "התוקפים היו יכולים להשתמש בחשבון כאילו הם המחזיקים בו", אומר רוזן במפורש. במילים אחרות, הם היו יכולים לכתוב בשם קורבנותיהם בפייסבוק, לשלוח תמונות בשמם, לגנוב את זהותם, להרוס את חייהם. המתקפה עלולה להשפיע גם על התחברות לאפליקציות ושירותים אחרים דרך חשבון הפייסבוק, שהפכה נפוצה יותר ויותר בשנים האחרונות.

ועדיין, יש סיכוי סביר שבעוד זמן מה, לאף אחד לא יהיה אכפת. סביר שלרוב המוחלט של האנשים לא עד כדי כך אכפת כבר עכשיו, כולל אנשים כמוני - שנותקו מחשבונם מחשש שנפגעו. למה?

סייבר, סייבר בכל מקום

קשה להאמין שהמילה "סייבר" קיבלה את משמעותה הנפוצה הנוכחית רק בעשור האחרון (לפני כן, מוזר לחשוב על כך, היא היוותה קיצור מקובל לסייבר סקס). ב-2018 כבר אי אפשר להתחמק מסייבר. אחד מתחומי העיסוק הבולטים של המחשוב בן זמננו. משחק חתול ועכבר חסר תקדים, אינסופי ותמידי, בין האקרים לאנטי-האקרים. תחום עיסוק נחשק בצבא ובאזרחות, מגמה בתיכון, חוג ביסודי. ובמידה רבה - רצף בלתי פוסק של אירועים מבהילים, תרחישי אימים, אסונות שמחשבים להתרחש.

זה לא שהעיסוק בפרצות אבטחה תפל בעיני, בבחינת הפחדה לצורך סנסציה. גם במדור זה אנחנו עוסקים בהן לעתים קרובות. המצב שבו "האקרים טובים" (White hats) מדווחים על פרצות בקביעות לתקשורת ולגופים שעלולים להיפגע, ואחרים מקבלים מחברות תשלום עבור איתור פרצות כאלה, הוא מבורך - וכך גם חובת הדיווח על חברות שנפגעו בחלק מהמדינות. זו הדרך לעמוד על המשמר ולוודא שכולנו נקבל סטנדרט אבטחה גבוה ככל האפשר, בדיוק כפי שאנחנו דורשים שהבית שלנו יהיה מוגן ובטוח ככל האפשר. אלא שכאשר קורה משהו, כשיש פרצה או בעיה, קשה מאוד לאפיין את חומרתה והשפעתה. המילה "סייבר" צובעת את הדיון בגוון אחיד - ומפחיד.

מאחורי הגוון הזה מסתתרת סקאלה רחבה במיוחד של אירועים - אמיתיים, תיאורטיים ומזויפים. נתחיל מהמזויפים: זאת יכולה להיות השבתה זמנית של אתר אינטרנט, השחתה של דף שאין בו כל מידע רגיש, אפילו פרסום פרטים אישיים לא מעודכנים של גולשים. אלה מתקפות בסגנון אנונימוס, שכמעט אף פעם לא גורמות נזק ממשי - אבל בולטות במיוחד לעין, ועל כן מצליחות לעורר דאגה בלי פרופורציה לגודלן האמיתי.

לצד האירועים המזויפים יש לנו הבאגים וחולשות האבטחה, פרצות תיאורטיות שזיהו החברות או ההאקרים שעובדים עימן, ואין אינדיקציה שמישהו ניצל. הן יכולות להיות חמורות יחסית, כמו מה שקרה לאינטל בתחילת השנה, או שגרתיות יותר. חלקן מתגלות בגופים רגישים דוגמת בנקים או חברות תעופה, שבהם מתמקדים גם בני הדוד של הפרצות התיאורטיות - תרחישי אימים על מתקפות אפשריות שיחוללו נזק אדיר, ללא הוכחה לבעיית אבטחה ספציפית. אין מנוס מלעסוק בכך, אבל לא רק שהציבור מתקשה להעריך את הסיכון האמיתי הגלום בפרצות כאלה, גם המומחים מתקשים לעשות זאת.

וישנן גם המתקפות האמיתיות, שמתחלקות בהכללה לשני סוגים. הסוג הראשון הוא מתקפות שהיה להן אפקט ברור בשטח: מפרסום מידע פרטי עדכני, דרך השתלטות גלויה על חשבון ברשת חברתית, עבור בגניבת כספים ודרישות כופר, ועד השבתת מתקני גרעין. את הנזקים האלה, לרוב, אפשר להבין ולכמת. זה אולי הצד הפשוט ביותר בדיון.

הסוג השני הוא אירועי סייבר שידוע לנו שהתרחשו, אבל אנחנו לא בטוחים מה ההשפעה שלהם. ידעתם ששם המשתמש והסיסמה של כל חשבון ביאהו, שלושה מיליארד חשבונות במספר, דלפו להאקרים? הסיפור הזה עבר די בשקט כשנחשף בשנה שעברה, פשוט כי יאהו כבר הייתה אז חברה לא רלוונטית, והמשתמשים לא באמת חוו פגיעה (או לפחות לא יודעים שחוו אחת). לא מעט מתקפות דומות התגלו בשנים האחרונות בחברות ענק, אך ככל שהן הלכו והצטברו, לצד שלל אירועי הסייבר האחרים, כך נשחק האפקט המבהיל של כל אחת מהן.

כי אוקיי, קרה משהו רע, אבל מהו בדיוק? דיבורים מעורפלים על "פרטיות" לא ממש משכנעים, הרי לימדו אותנו שבעידן האינטרנט הפרטיות מתה, וכולנו חיים בידיעה מעורפלת שיש גופים - נגיד, פייסבוק - שעוקבים אחרינו לכל מקום. למרות זאת, אנחנו עדיין מעלים לרשת טונות של טקסטים ותמונות פרטיות, ואולי גם קצת נהנים מהסיכון. כשפורצים לחשבון ברשת, ולא גורמים לו נזק מוחשי, הקורבן לרוב לא חווה את אותה תחושת חילול דוחה שמעוררת פריצה לביתו.

ומנקודת המבט של המשתמשים, זו השאלה הרלוונטית היחידה כרגע: האם נגרם נזק?

מכות תכופות וקשות יותר

מבחינת פייסבוק, פרשת קיימברידג' אנליטיקה הייתה מחדל שנע בין שני סוגי המתקפות האמיתיות שהזכרתי. מצד אחד, אנו יודעים איזה נזק בדיוק התוקפים ביקשו לחולל. מצד שני, איש מהגולשים לא יודע אם הוא נחשף אישית לתעמולה שהותאמה על בסיס הפרופיל הפסיכולוגי שלו. נוסף על כך, לרבים לא לגמרי ברור מה כל כך חמור ומפתיע במידע שדלף. ובכל זאת, הקישור בין קיימברידג' לבין מבצע הפייק ניוז הרוסי סביב הבחירות לנשיאות יצר את משבר התדמית החמור בתולדות החברה.

הפרשה הנוכחית היא כרגע אירוע מהסוג השני. אנחנו יודעים שיש תוקפים ושהם היו יכולים לחדור לחשבונות פייסבוק, אבל אנחנו לא יודעים מה הם עשו עם זה - אם בכלל. אמנם, בניגוד לקיימברידג', במקרה הזה קל להבין מדוע מדובר במחדל אבטחה מדאיג. ובכל זאת, פייסבוק כנראה תשרוד גם את המכה הזאת. אם יתגלה שהחשבונות נקצרו לצורך פרסום, לדוגמה, או שפשוט לא יתגלה דבר - היא תצליח לעבור הלאה.

עם שתי כוכביות. ראשית, תמיד קיימת אפשרות שהיא תחווה - מחר, בעוד שבוע, בעוד שנה - את רגע Trolltrace שלה בעקבות הפרצה: חשיפה נרחבת של פוסטים אישיים (במקרה הרע, שלא יהיה לגמרי חדש), פרסום הודעות פרטיות של גולשים (במקרה ההרבה יותר גרוע) או התחזות אליהם במטרה לפגוע בהם (אפוקליפסה עכשיו).

הכוכבית השנייה היא שלמכות שסופגת פייסבוק יש אפקט מצטבר. הן הופכות להיות קשות יותר, תכופות יותר, פוגעות בשמה הטוב, שגם כך התקשתה להגן עליו בשנים האחרונות. רק השבוע ספגה החברה את עזיבתם של מייסדי אינסטגרם, וריאיון לוחמני של אחד ממייסדי ווטסאפ שיצא נגדה בגלוי. שלא לדבר על כך שהאירוע הזכור ביותר שבו כיכב השנה מארק צוקרברג, המייסד, המנכ"ל והפנים של החברה, היה השימוע שלו בקונגרס. אם המגמה הזאת תימשך, בפייסבוק עוד יתגעגעו לאדישות היחסית של ספטמבר 2018. 

עוד כתבות

מחנה פליטים ברפיח, רצועת עזה / צילום: ap, Fatima Shbair

לקראת כניסה לרפיח: מדוע מדובר במוקד משמעותי עבור חמאס?

מה מאפיין את רפיח, מה המשמעות של העיר עבור חמאס, ואיך ארגון הטרור ממשיך לתפקד כלכלית בימי המלחמה? ● גלובס עושה סדר

הבורסה בתל אביב / צילום: Shutterstock

נעילה אדומה בת"א; מניית בית זיקוק אשדוד זינקה בכ-9%

מדד ת"א 35 ירד ב-0.7% ות"א 90 איבד מערכו 0.9% ● התנודתיות בשקל נמשכת ● בלידר שוקי הון מעדיפים את האפיקים הצמודים בטווח קצר-בינוני בשוק האג"ח בישראל ● מטא פרסמה את תוצאותיה הכספיות והמניה צללה במסחר המאוחר ● בבלומברד אודייר חיוביים לגבי המניות אמריקאיות, בדגש על אנרגיה ושירותים ● עונת הדוחות בוול סטריט תופסת תאוצה: הערב יפרסמו דוחות אלפאבית ומיקרוסופט

מאיר בן שבת, ראש המל''ל לשעבר / צילום: מאיר אליפור

המומחה שמסביר: זה מה שתנסה ישראל לעשות ברפיח

מאיר בן שבת, שכיהן בעבר כראש המל"ל, מתאר בשיחה עם גלובס את מטרות הפעולה הצבאית הצפויה ברפיח, ומסביר כי גם אחריה, תידרש עבודה רבה כדי להביא למציאות אחרת ברצועת עזה ● לגבי המשא ומתן לעסקת החטופים, הוא מודה: "הלחץ על חמאס לא היה בעוצמה שדחקה בו להתפשר על דרישותיו ההזויות"

מאהל המחאה הפרו פלסטיני באוניברסיטת קולומביה (עיבוד: טלי בוגדנובסקי) / צילום: ap, Ted Shaffrey

המוחים הפרו-פלסטיניים עוטים מסכות קורונה כדי להיות חופשיים לבעוט

הלוק החדש של המפגינים מאפשר להם לחרוג מהשורות ● צה"ל נדרש לענות על שאלות קשות ● והאמריקאים מודאגים מהכוח של טיקטוק ● זרקור על כמה עניינים שעל הפרק

מה צפוי בדוחות מטא? / צילום: Shutterstock

מניית מטא התרסקה ב-15% למרות נתונים חזקים, ואלו הסיבות

מטא, שמנייתה עלתה בכ-45% מתחילת השנה, הכתה את התחזיות בתוצאותיה הכספיות, הן בשורת הרווח והן בשורת ההכנסות ● האנליסטים היו אופטימיים לגבי הדוחות הערב, אך התחזית שפרסמה החברה להמשך השנה אכזבה את המשקיעים

מתחם אינטל בחיפה / צילום: Shutterstock

"רבעון שהוא תחתית עבורנו": למה אינטל אכזבה כל כך את המשקיעים

בשיחת המשקיעים כינה מנכ"ל החברה, פט גלסינגר, את הרבעון הראשון כ"רבעון שהוא התחתית עבורנו" ● אינטל לא יכולה לערוב לכך שהרבעון הבא ייראה טוב יותר - ההכנסות אף עלולות להיות נמוכות יותר מאלה של הרבעון הנוכחי ● גם בתחום הייצור נראה שהדרך של אינטל עוד ארוכה

עלי רזא אסגארי, שהיה גנרל במשמרות המהפכה ועקבותיו נעלמו ב-2007 / צילום: ויקיפדיה

האיראנים טוענים: בכיר במשמרות המהפכה ערק לארה"ב. ומה הקשר הישראלי?

סוכנות הידיעות איראן אינטרנשיונל מדווחת כי עלי רזא אסגארי, בכיר לשעבר במשמרות המהפכה שעקבותיו נעלמו ב-2007, מתגורר בארה"ב תחת זהות בדויה ● אסגארי נחשב לדמות קרובה מאוד לראש הזרוע הצבאית של חיזבאללה, עימאד מורנייה, שחוסל ב-2008 בסוריה

סונדאר פיצ'אי, מנכ''ל גוגל / צילום: Shutterstock, photosince

מה אפשר ללמוד מגוגל? ארבע תובנות מדוחות ענקיות הטכנולוגיה

שלוש ענקיות טכנולוגיה פרסמו אמש את דוחותיהן לרבעון הראשון והציגו תוצאות מרשימות עם הכנסות ורווחים של עשרות מיליארדי דולרים כל אחת: מיקרוסופט, גוגל ואינטל ● התנודתיות הקיצונית במניות הענק הללו יכולה להזכיר למשקיעים מספר תובנות שחשוב לשים לב אליהן בשוק ההון

מנכ''ל מקורות עמית לנג ומנכ''ל איגודן דודו מחלב / צילום: מקורות

מקורות ואיגודן יקימו מרכז מחקר וחדשנות לאומי לתחומי המים

המרכז יוקם בחממה הטכנולוגית של איגודן שתוקם באזור ראשון לציון על פני שטח של כ-2 דונם ותכלול מעבדות, חדרי הדרכה וחממת מחקר לחוקרים מהאקדמיה ומהשוק הפרטי

משרדי גוגל / צילום: Shutterstock

בדרך לשווי של שני טריליון דולר: זו המנצחת הגדולה של עונת הדוחות

גוגל הפתיעה לטובה בדוחות, מה שהוביל לזינוק חד בשווי המניה - החברה צפויה להגיע לשווי שוק של שני טריליון דולר, ולעקוף את אנבידיה ● בנוסף, החברה הכריזה לראשונה על חלוקת דיבידנד רבעוני ● "השוק פחד נורא מזה שגוגל תצטרך להגדיל את ההשקעה שלה ללא צמצום ממשי בהוצאות", אומר גורם בשוק

חברת הייעוץ מקינזי / צילום: Shutterstock, T. Schneider

בגלל פרשת האופיואידים: מקינזי תחת חקירה פלילית בארה"ב

משרד המשפטים בארה"ב חוקר את העצות שנתנה מקינזי ליצרניות אוקסיקונטין ומוצרי אופיואידים אחרים

"מדינה קטנה, הגנה אדירה": בעולם עדיין מתפעלים מישראל

גלובס מגיש מדי יום סקירה קצרה של ידיעות מעניינות מהתקשורת העולמית על ישראל במלחמה • והפעם: נשיא סוריה בשאר אסד מנסה לשדר עסקים כרגיל, איראן ממשיכה לפתח את תוכנית הגרעין, בכירה בריטית קוראת לממלכה ללמוד מירושלים כיצד מפתחים מערך הגנה ראוי, ואונר"א שחלק מאנשיה התגלו כטרוריסטים באה בטענות לישראל ● כותרות העיתונים בעולם

טסלה ונטפליקס. תוצאות הפוכות ותזכורת / צילומים: Shutterstock

שתי ענקיות, תוצאות הפוכות ותזכורת לכלל החשוב של עונת הדוחות

טסלה פרסמה ביום שלישי בלילה דוח רבעוני מאכזב, אבל המניה זינקה בפתיחת המסחר ב־13% ● בשבוע שעבר קרה בדיוק ההפך לענקית טכנולוגיה אחרת, נטפליקס, שמנייתה צנחה למרות תוצאות חיוביות ● הסיבה: המלכות האמיתיות של עונת הדוחות הן התחזיות

חשיפת הבעלים האמיתיים של חברה בע''מ בזמן גירושים / צילום: Shutterstock

העביר מניות לאחיו ללא תמורה, הגרושה תבעה מחצית. מה קבע ביהמ"ש?

האם מניות החברה שבבעלותו, שהעביר הבעל לאחיו במהלך הנישואים, נעשתה בתום-לב - או שמא מדובר בהעברה פיקטיבית לצורך הברחת החברה מאיזון המשאבים שנערך בין הבעל לאישה בעת הגירושים? בשאלה זאת דן בית המשפט לענייני משפחה בקריות במשך 12 שנה ● מה נפסק בסופו של דבר?

וול סטריט / צילום: Shutterstock

שבוע המסחר הטוב מנובמבר: נאסד"ק קפץ ב-2%

מניית גוגל זינקה בכ-10%● אינטל איבדה כ-9% ● מדד ניקיי הוסיף 0.8%, מדד שנחאי התחזק ב-1.2%, מדד שנזן עלה ב-2.2% וקוספי הוסיף 1% ● נעילות ירוקות גם בבורסות אירופה ● ה-PCE - מדד האינפלציה המרכזי של הפד - עלה ב-2.8% בחודש מרץ, גבוה מהצפוי

ג'רום פאוול, יו''ר הפרדל ריזרב / צילום: ap, Andrew Harnik

כאב הראש של הפד רק גובר ובשווקים מיואשים

העלייה המחודשת של האינפלציה לא תאפשר לפד להוריד את הריבית ● היום יתפרסמו נתוני מדד ה-PCE החודשיים, אך אין מקום לתקווה רבה ● המטרה של הבנק המרכזי היא דואלית: לשמור על תעסוקה מקסימלית תוך הגעה ליציבות מחירים

פט גלסינגר, מנכ''ל אינטל / צילום: ap, Seth Wenig

אינטל פיספסה את התחזיות, פרסמה תחזית קודרת והמניה צוללת

הרווח המתואם היה 18 סנט למניה לעומת צפי לרווח של 14 סנט ● חטיבת היצור הכניסה רק 4.4 מיליארד דולר וירדה בכ-10% ברבעון הראשון ביחס לרבעון המקביל אשתקד ● המניה יורדת ב-9% במסחר המאוחר, אובדן של 13.5 מיליארד דולר בערב אחד

בארה"ב שואלים: איך "יהודים הם נבלים ומחבלי חמאס הם גיבורים"?

גלובס מגיש מדי יום סקירה קצרה של ידיעות מעניינות מהתקשורת העולמית על ישראל במלחמה ● והפעם: איראן חותמת על שמונה הסכמים כלכליים וביטחוניים עם פקיסטן ● התקשורת בלבנון דנה בשאלה איך תיראה המדינה ביום שאחרי הלחימה ● והמחאות נגד ישראל בקמפוסים תופסות את הכותרות בארה"ב ● כותרות העיתונים בעולם

מייסדי Deci / צילום: יח''צ

דיווח: אנבידיה בדרך לרכוש חברה ישראלית נוספת

חברת הסטארט-אפ דסי (Deci AI), אחת משלוש החברות הישראליות המפתחות מודלים של שפה, הוקמה לפני ארבע שנים בלבד וגייסה עד כה 55 מיליון דולר ● אמש רכשה אנבידיה את ראן איי.איי (Run:AI) הישראלית, בכ-680 מיליון דולר

רכב של חברת מובילאיי / צילום: יח''צ

מוביליאיי הציגה דוחות מעורבים; החברה לא צופה שיפור מהותי בהמשך השנה

לאחר שפרסמה בתחילת השנה אזהרת רווח ושלחה את המניה ליום הגרוע בתולדותיה, מוביליאיי מציגה תוצאות מעורבות לרבעון הראשון של 2024 ● מובילאיי נמנעת מלפרסם תחזית לרבעון השני של השנה, אך נראה שהחברה לא צופה שיפור מהותי בשנת 2024 ● למרות אזהרת הרווח, האנליסטים עדיין אופטימיים לגבי ביצועי החברה