בניין חברת הביטוח שירביט בנתניה / צילום: תמר מצפי, גלובס
רשות שוק ההון ביטוח וחיסכון יחד עם מערך הסייבר הלאומי פרסמו הבוקר (ג') הודעה חריגה וחסרת תקדים על מתקפת סייבר נגד חברת הביטוח שירביט, במסגרתה דלפו לרשת מסמכים אישיים של עובדי החברה ולקוחותיה, בהם גורמים בכירים בשירות המדינה.
● כיפת הברזל של הסייבר הישראלי נסדקה. האם היא הייתה קיימת? | פרשנות
שירביט היא חברת ביטוח קטנה יחסית שבבעלות היו"ר יגאל רבנוף ובניהול צביקה ליבושור. לפני כמעט שנה דווח כי היו מגעים למכירת החברה לכלל ביטוח, אולם המגעים לא הבשילו. החברה מתמקדת בביטוחי רכב, אך פועלת במגוון תחומים נוספים. היא החלה לפעול כחברת ביטוח בשנת 2000.
חברת שירביט מבטחת בין היתר את עובדי המדינה, וב-10 בנובמבר השנה אף זכתה במכרז לאספקת ביטוח רכב פרטי לעובדי המדינה בשנת 2021, "לעובדי המדינה, בני זוגן ובנות זוגם וכן לגמלאי המדינה".
בין המסמכים שדלפו נמצא למשל טופס בקשה לביטוח רכב משנת 2013 של שופט מחוזי, הכולל פרטים אישיים כמו תעודת זהות מספר רכב ומספר כרטיס אשראי. מסמכים נוספים נושאים תאריכים מהשנה הנוכחית - 2020. אף על פי שעד כה אין סימנים לכך שדלפו פרטי כרטיסי אשראי בתוקף, המידע שדלף יכול לאפשר התחזות לאזרחים במטרה לבצע עבירות פליליות, כמו גניבת כספים.
עם זאת, יש לציין כי סוג המסמכים והמידע שפורסמו הם בעיקר מסמכים סרוקים וקבצי נתונים של תיבות אימייל. לפי האינדיקציות הקיימות נראה כי רוב המידע הגיע משרת בודד אחד - כנראה שרת גיבויים ברשת של חברת שירביט, ואין אינדיקציה למקורות מידע אחרים.
על פי ההודעה, "אמש החלו החברה בסיוע המערך לבדוק חשד לאירוע סייבר על אתר ושרתי החברה שבוצע על ידי האקרים". עוד נמסר בהודעה כי "מבדיקה ראשונית עולה כי מדובר במידע על פרטי ביטוח של לקוחות". גורמים בכירים בתעשיית הסייבר אמרו לגלובס כי מדובר באירוע חמור.
האקרים לקחו אחריות בטוויטר
קבוצת ההאקרים blackShadow לקחה אחריות על האירוע, בשלושה ציוצים שפרסמה בחשבון הטוויטר שלה. על פי ההודעה, "אירעה תקיפת סייבר עצומה על ידי צוות blackShadow על תשתית הרשת של חברת הביטוח שירביט הממוקמת בספרה הכלכלית של ישראל". בציוץ נוסף הודיעה הקבוצה כי "כל הזהויות של העובדים והלקוחות נפרצו". ציוץ אחר הדהד את הודעת מערך הסייבר ורשות שוק ההון אודות הפריצה, בתרגום לאנגלית. לאחר ציוצים אלו, טוויטר חסמה לגמרי את החשבון של קבוצת ההאקרים.
לציוצים צורפו שני מסמכים שלטענת קבוצתה האקרים נגנבה במסגרת המתקפה. כך פורסמו צילומים של מסמכים שנגנבו על פי החשד במסגרת התקיפה ובהן פרטים אישיים רבים על לקוח החברה. בין הפרטים פורסמו כתובת מלאה, פרטים של בני משפחה, פרטים על כלי הרכב של המבוטח ועוד. המסמך השני הוא רישיון הרכב של המבוטח. כמו כן פורסם צילום תעודת זהות של אזרח ישראלי. בתמונה הופיעו פרטיו המלאים של האזרח פורסמו, אך תמונתו טושטשה קלות.
עם זאת, לא ניתן לקבוע עדיין בוודאות כי זהות התוקפים היא אכן אקטיביסטים, וייתכן כי מדובר בהתחזות של קבוצות תקיפה פליליות, למשל קבוצות האקרים שמקורן בצפון קוריאה.
אפשרות נוספת היא שמדובר במתקפה איראנית שמוסווית בדרך זו. בשנה האחרונה בין ישראל לאיראן מתנהלת מלחמת צללים אינטנסיבית ומתמשכת בממד הסייבר, שרק חלק קטן ממנה מתפרסם בהבלטה באמצעי התקשורת המרכזיים, ובדרך כלל אף צד לא לוקח אחריות ישירה לפעולות שביצע.
הציוצים תויגו תחת שורה ארוכה של האשתגים, על פיהם ניתן להבין את ההקשר הרחב של המתקפה - בין הציוצים הופיע ההאשתג OpIsrael שמציין כי מדובר במתקפה של אקטיביסטים בעלי אג'נדה פוליטית הקשורה בשליטה של ישראל ביו"ש. אופ-ישראל הוא מבצע שנתי, במסגרתו מבצעים האקרים מרחבי העולם מתקפות נגד גופים בישראל. עד כה התרכזו המתקפות הללו בהשחתה של אתרים ושתילת סיסמאות פרו-פלסטיניות. מתקפה מוצלחת נגד גוף פיננסי ישראל שמתפרסמת היא חסרת תקדים, ועלולה להצביע על עליית מדרגה חמורה באופי מתקפות הסייבר נגד גופים ישראלים.
האשתגים נוספים שימשו לצורך העברת מסרים נוספים. כך למשל, ההאשתג MediumSecurity מהווה עקיצה של התוקפים נגד החברה המותקפת, בשל "רמת האבטחה הירודה" שלה כביכול.
נוסף על הפרסומים בטוויטר, נפתחה קבוצת טלגרם ייעודית למתקפה בה פורסמו פרטים נוספים על המתקפה, והיקף הנזק שלטענתה גרמה לחברה. בהודעת הטלגרם נכתב כי "נוסף על נזק רציני לדאטה סנטרים, נתח משמעותי של לקוחות החברה הרשומים - דלף. המידע כלל מסמכי זהות של לקוחות, הצהרות פיננסיות ושאר מסמכים הקשורים לחברה".
בין המסמכים שפורסמו בערוץ הטלגרם עצמו, לצורך הדגמת המידע שדלף כתוצאה מהתקיפה, נמצאו קובצי טקסט, קובץ קולי, וקובץ המכיל דאטה בייס של תיבת אימייל מלאה (קובץ pst). בערוץ פורסמה תמונת מסך של ממשק אימייל של תיבת מייל, ייתכן של עובדת החברה. התמונה מהווה ניסיון להוכיח כי התוקפים גנבו קובץ מייל מלא, המאפשר להם לקבל גישה לכל תכולת תיבת המייל של הקורבן. במייל הוצג צילום מסך של רישיון רכב של אזרח ישראלי, משנת 2015.
בהמשך היום, פרסמו ההאקרים עוד מסמכים בקבוצת הטלגרם. בין המסמכים הנוספים שהועלו לערוץ, צילומי מסמכים שהוגשו במסגרת תביעות על ידי גופים שהיו בקשר עם החברה לגבי תביעות של לקוחות שירביט, כמו סוכנויות ביטוח וחברות שמאות.
מערך הסייבר והרשות הודיעו כי האירוע טרם הסתיים, וכי כעת הבדיקה ממשיכה במאמץ משותף לרשות ולמערך. עוד נמסר כי "המערך שב וחידד יחד עם הרשות את ההנחיות לגופים המוסדיים במשק".
עלייה בהיקף מתקפות הסייבר
מאז תחילת מגפת הקורונה חלה עלייה עולמית בהיקף מתקפות הסייבר על ארגונים ועל אזרחים פרטיים, בעיקר בשל העובדה שהמעבר לעבודה מהבית פתח פתח רחב יותר להאקרים לבצע מתקפות נגד ארגונים. יצוין כי למעט חברות בורסאיות שמחויבות לדווח על אירועים חריגים שמתרחשים, כמעט כל המתקפות לא מדווחות לתקשורת.
מנכ"ל חברת הביטוח שירביט, צביקה ליבושור מסר בתגובה לאירוע, כי "חברת הביטוח שירביט מעמידה את תחום הבטיחות והשירות ללקוחותיה בראש סדר העדיפויות, ומדורגת שנה אחר שנה בצמרת חברות הביטוח בישראל בתחומי פעילותה, הן על ידי אגף שוק ההון במשרד האוצר והן על ידי לשכת סוכני הביטוח.
"שירביט השקיעה מיליוני שקלים באבטחת מאגרי מידע ובהגנה מפני מתקפות סייבר ועומדת בכל דרישות הרגולציה המחמירות בנושא זה. החברה משקיעה גם כעת את כל המשאבים והמאמצים הדרושים לפתרון יעיל, בטוח ומהיר של מתקפת הסייבר, שמטרתה האמיתית לנסות ולפגוע במשק הישראלי.
"שירביט תמשיך לפעול בשיתוף פעולה ובשקיפות מלאים מול רשויות המדינה, ותנקוט בכל האמצעים הנחוצים לאבטחת לקוחותיה, ולהמשך מתן שירות איכותי ומיטבי".