כיצד בוצעה אחת מפריצות הסייבר הגדולות לבנקים?

פייג' תומפסון, לשעבר עובדת בחטיבת הענן של אמזון, מואשמת בביצוע גניבת מידע מבנק קפיטל וואן • עפ"י ההאשמות, מדובר ב-106 מיליוני רשומות מהבנק • ככל הנראה, תומפסון ניצלה חולשה שמומחי אבטחה הזהירו מפניה במשך שנים

צילום: שאטרסטוק
צילום: שאטרסטוק

האישה שביצעה את אחת מהפריצות הגדולות של נתוני לקוחות בנק הגדולות ביותר ניצלה כנראה חולשה בענן המחשוב - שמומחי אבטחה הזהירו מפניה במשך שנים. פייג' תומפסון, עובדת לשעבר בפעילות הענן של חברת אמזון שנעצרה ב-29 ביולי, מואשמת בביצוע הגניבה המאסיבית של 106 מיליוני רשומות מבנק קפיטל וואן פייננשל. הבנק מסר ש"חולשה ספציפית של קונפיגורציה" הובילה לאובדן הנתונים.

תומפסון הייתה כנראה יכולה למצוא פתח במערכות של קפיטל וואן ולנצל חולשה בכמה רשתות שעברו קונפיגורציה (תצורה) לא נכונה, כך לפי ניתוח של ה"וול סטריט ג'ורנל" שהקיף מאות מסרים מקוונים של תומפסון ושיחות עם אנשים שמעורים בחקירה. מומחי בטיחות מחשבים הזהירו זה שנים מהפתח הזה, שבאמצעותו "עבדה" תומפסון על מערכת בענן כדי לחשוף את האישורים שהיא נזקקה להם כדי לגשת למספר רב של פרטי לקוחות.

תומפסון, במסרים מקוונים בחשבונות שלפי התביעה היו שלה, טענה כי היא יישמה את הטכניקות הללו גם כדי לקבל גישה לנתונים מקוונים של ארגונים נוספים. המסרים הועלו בפורומים מקוונים. עורך דינה של תומפסון לא הגיב לפניות ה"וול סטריט ג'ורנל". היא נשארה במעצר ותופיע בשימוע בנוגע לאפשרות שחרור בערבות ב-15 באוגוסט. לפי התביעה, שתומפסון החלה את הפריצות שלה ב-12 במארס, אבל קפיטל וואן למד עליהן רק לאחר שקיבל "טיפ" חיצוני 127 ימים אחר כך.

תומפסון העלתה באחד החשבונות שלה פוסט שממנו עולה שהיא ניסתה לחדור גם לנתוני המחשוב של הבנק האיטלקי אוניקרדיטו ושל חברת פורד. האירוניה היא, שפעילותה של תומפסון הייתה אולי נשארת חסויה - אם היא לא הייתה מעלה פוסטים עם פרטי הפריצות לרשת.

ה'דלת' הייתה פתוחה לרווחה

במוקד הפריצה הדיגיטלית הזו הייתה היכולת לכאורה של תומפסון להתחבר לחלק מרכזי בטכנולוגיית הענן של אמזון שנקרא "שירות מטא-דאטה". הוא מחזיק באישורים ובנתונים האחרים שנחוצים כדי לנהל שרתים בענן. האישורים הללו הם המקבילים למפתחות לכספות של בנקים.

הצעד הראשון בפריצות שלה, לפי החומרים שהיא העלתה לרשת, היה סריקה של רשת האינטרנט כדי למצוא מחשבים פגיעים שיוכלו לתת לה גישה לרשתות הפנימיות של חברה. היא "ניסתה 'דלתות' רבות" עד שגילתה את ה'דלתות' הלא נעולות. במקרה של קפיטל וואן, היא מצאה שתקשורת ניהול המחשוב בין הענן של הבנק והאינטרנט הציבורי עברה קונפיגורציה לא נכונה - היו לה סידורי בטיחות חלשים. ה'דלת' הזו הייתה למעשה פתוחה.

דרך הפתח הזה היא הצליחה לקבל את האישורים הנחוצים על מנת למצוא ולקרוא את הנתונים המאוחסנים בענן של קפיטל וואן, ממערכת על הענן של אמזון, שירות המטא-דאטה - שעליה מאוחסן המידע הזה, כך לפי מקורות שמעורים בנושא. "מדהים כמה אנשים עושים את זה לא נכון", כתבה תומפסון במסר מקוון ב-27 ביוני. היא התייחסה לקונפיגורציה הלא נכונה של השרתים בכמה חברות. כשהיא מצאה את הנתונים של קפיטל וואן, היא הורידה אותם, מבלי להדליק נורה אדומה בבנק או לעורר אזעקה שלו. לפי תצהיר של ה-FBI, טעות של קפיטל וואן אפשרה את הפריצה. לפי הבנק - הוא כבר פתר את בעיית הקונפיגורציה.

אמזון מסרה שאף אחד מהשירותים שלה, כולל המטא-דאטה, לא היה הסיבה הבסיסית לפריצה, ושהיא מציעה כלי ניטור שמיועדים לחשוף סוגים כאלו של אירועים. ואולם לא ברור למה כלי הניטור הללו לא הפעילו את האזעקות של קפיטל וואן.

כמה מומחי אבטחה אומרים שאמזון צריכה לעשות יותר כדי להתריע בפני לקוחותיה מפני טעויות התצורה האלה. אחרים אומרים שמכיוון שאבטחת הענן היא באחריות משותפת, הלקוחות התאגידיים צריכים לתרום את חלקם לבטיחות. לפי אמזון, יש באמצעותה כמה כלים לפתרון תקלות תצורה.

מומחי אבטחה מכירים את אחת מבעיות התצורה - היכולת למשוך אישורים משירות המטא-דאטה - לפחות משנת 2014, אמר סקוט פייפר, שמייעץ לחברות על אבטחת הנתונים שלהן בענן של אמזון. לדבריו, אמזון סבורה שהאחריות לפתרון תקלות היא של הלקוחות, וכמה מהם לא פתרו את הבעיות שלהם.

ברנון תומאס, חוקר אבטחה, ביצע בפברואר סריקת אינטרנט ומצא יותר מ-800 חשבונות באמזון שאפשרו גישה דומה לשירות מטא-דאטה. שירות מחשוב הענן של אמזון משרת יותר ממיליון משתמשים.

תומאס אמר שהבעיה של שרתים בתצורה לא נכונה, שמאפשרים לגורמים חיצוניים גישה לנתוני אישור רגישים, אינה מוגבלת לשירותי האינטרנט של אמזון או ל-AWS. הבדיקה שלו חשפה בעיות גם במערכות של הענן של מיקרוסופט. החברה לא הגיבה לפניות העיתון בעניין זה.

כמה חוקרים הופתעו מכך שקפיטל וואן היה קורבן לפריצה כזו. הבנק ביצע בדיקות נאותות רבות לפני שהחליט ב-2015 לאמץ את טכנולוגיית הענן. "הבנק הזה ידוע בקרב מומחי בטיחות כמוסד שמעסיק את אחד מצוותי הבטיחות הטובים ביותר בתחום", אמר פייפר.

זו אינה הפעם הראשונה שבה נגנבים נתונים שמאוחסנים בענן, אבל העובדה שמנפיק כרטיסי האשראי החמישי בגודלו בארה"ב הפך לקורבן של פריצה כזו מעוררת מחדש חששות מפני מחשוב ענן. קפיטל וואן היה אחד המוסדות הראשונים שאימצו את מחשוב הענן. הבנק הפדרלי, ללא קשר לפריצה לנתוני קפיטל וואן, כבר בודק את השימוש בענן לאחסון רשומות פיננסיות רגישות.

רוצה להשאר מעודכן/ת בנושא גלובס טק?
✓ הרישום בוצע בהצלחה!
צרו איתנו קשר *5988