מנכ"ל שירביט בעקבות הפריצה: "פועלים לסגירת האירוע מהר ככל הניתן"

(עדכון): מנכ"ל שירביט הגיב בווידיאו: "לחברה יש גיבוי מלא של הנתונים הרלבנטיים, ואנחנו פועלים לסגירת האירוע מהר ככל הניתן" • קבוצת התקיפה BlackShadow שפרצה לחברה איימה כי אם לא ישולמו לה 50 ביטקוין (כמיליון דולר) היא תדליף ותמכור עוד מסמכים אישיים של לקוחות

האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב
האקרים/ צילום: Shutterstock/ א.ס.א.פ קרייטיב

הערב פרסמה שירביט הודעה מצולמת של מנכ"ל החברה צבי ליבושור לציבור הלקוחות, ובה הוא אומר כי "שירביט מתמודדת בימים האחרונים עם אירוע סייבר משמעותי ומורכב שחורג בסוגו מאירועי תקיפה דומים בעבר.

"הדבר החשוב ביותר עבורי הוא הגנה על לקוחות החברה, ולכן נבנתה סיירת של מומחי ניהול המשבר המנוסים ביותר בישראל, לצד ליווי צמוד של מומחי מערך הסייבר הלאומי והרשויות הממלכתיות. אנחנו נמצאים במעקב אחרי כל התפתחות ומעדכנים את הלקוחות באופן שוטף ככל שנדרש. לחברה יש גיבוי מלא של הנתונים הרלבנטיים, ואנחנו פועלים לסגירת האירוע מהר ככל הניתן וחזרה לשגרה בימים הקרובים".

הודעת שירביט מגיעה לאחר שקבוצת התקיפה BlackShadow, שפרצה לשרתי חברת הביטוח שירביט, פרסמה אתמול בשעות הלילה הודעת איום ישירה על החברה, לפיה אם לא תשלם להאקרים סכום של 50 ביטקוין (כמיליון דולר), הקבוצה תמכור מידע אישי על לקוחות החברה.

התוקפים איימו כי אם לא תשלם שירביט את הסכום, הוא יוכפל מדי 24 שעות - עד לסכום של 200 ביטקוין. "אנו רוצים לתת לשירביט הזדמנות", נכתב בהודעת האיום. זמן קצר לפני כן פרסמה הקבוצה עוד מסמכים נוספים של לקוחות. להודעה צורפה כתובת של ארנק ביטקוין, אליו ביקשו התוקפים להעביר את סכום הסחיטה.

מתקפת הסייבר על חברת הביטוח שירביט - אירוע טרור | פרשנות

הודעת הסחיטה של האקרים לשירביט בטלגרם / צילום: צילום מסך - טלגרם
 הודעת הסחיטה של האקרים לשירביט בטלגרם / צילום: צילום מסך - טלגרם

מתקפת הסייבר נגד שירביט פורסמה שלשום לאחר שרשות שוק ההון ביטוח וחיסכון, יחד עם מערך הסייבר הלאומי, הוציאו הודעה על מתקפת הסייבר נגד החברה. כבר בשעות הראשונות לאחר פרסום התקיפה, החלו התוקפים לשחרר עוד ועוד מסמכים המכילים פרטים אישיים על לקוחות החברה, בהם גורמים בכירים בשירות המדינה.

התוקפים אף פורסמו מסמכים של חברות נוספות - ככל הנראה חברות שלקוחותיהן ניהלו תביעות מול לקוחות שירביט. מוקדם יותר פרסמו מסמכים כמו תעודות זהות, רישיונות נהיגה, רישיונות רכב, תלושי משכורת וטפסים עם פרטים אישיים, ואף צילום של תלוש משכורת של חייל בצבא הקבע. בנוסף פרסמו קובץ דאטה של תיבת אימייל של מי שנראה כאחד מעובדי החברה ומאגר מסמכים סרוקים שבו מאות מסמכים שונים של לקוחות החברה.

בהודעת הסחיטה המלאה נכתב: "אנו רוצים לתת לשירביט הזדמנות. יש לכם 24 שעות לשלוח 50 ביטקוין לארנק שלנו, כדי שלא נדליף או נמכור את הדאטה שלכם לאף אחד. אם לא תשלמו לנו אחרי 24 שעות, המחיר ישתנה ל-100 ביטקוין. ביום השלישי תהיו חייבים לשלם 200 ביטקוין. אחרי כן נמכור את המידע לאחרים".

בהמשך ההודעה נכתב: "בסוף כל 24 שעות נדליף חלק מהמידע של שירביט. הזמן שלכם יחל ב-9:00 בבוקר בירושלים".

זהות התוקפים אינה ידועה. הרמזים היחידים לזהותם הופיעו ביום הראשון לפרסום המתקפה בסדרת ציוצים בטוויטר, בהם הדליפה את המסמכים הראשונים ולקחו אחריות על האירוע. התוקפים ליוו את הודעת לקיחת האחריות שלהם בתגיות (האשתגים) שקשרו אותן לקמפיינים של תקיפה הקשורים באג'נדה פרו פלסטינית. עם זאת, ייתכן מאוד שמדובר באמצעי להסוואה של זהות ומטרות התקיפה האמיתיות. טקטיקת התקיפה אופיינית למתקפות כופר, בהן התוקפים נועלים קבצים חשובים של החברה ומבקשים סכומי כסף, לרוב בביטקוין או במטבעות קריפטוגרפיים אחרים, על מנת לקבל את המפתחות שיפתחו את ההצפנה וישחררו את הנעילה של הקבצים. 

אתמול פורסם כי בעקבות האירועים שכרה שירביט את שירותיו של היועץ האסטרטגי רונן צור לניהול המשבר. מאז פרוץ האירוע, צוות של רשות שוק ההון נמצא פיזית במשרדי שירביט ומנהל את האירוע יחד עם החברה. ועדת המדע והטכנולוגיה קבעה בכנסת דיון דחוף ל-7 בדצמבר בעניין מתקפות סייבר והגנה על פרטיות מידע בגופים אזרחיים. בין היתר זומנו לשם חברות הביטוח. 

מחברת שירביט נמסר בתגובה: "צוותי המומחים וגורמים נוספים בוחנים את השלכות ההודעה שפרסמו התוקפים, ובמקביל נערכים בחברה לחזרה לפעילות באופן מבוקר ומאובטח".

עוד נאמר בתגובה כי "באמצעות צוותי מומחים ממלכתיים ופרטיים בתחום הסייבר, שירביט פועלת כדי להגן על המידע ועל לקוחותיה. עם האינדיקציה הראשונה על האירוע, החברה חסמה את הגישה לשרתיה ופועלת בתיאום עם הרשויות, כדי למנוע פגיעה בלקוחות ובחברה".