עמוק בתשקיף: מאנדיי דיווחה כי נפלה קורבן למתקפת סייבר שחשפה את קוד המקור שלה

בתשקיף לקראת הנפקה הודתה מאנדיי המפתחת פלטפורמה לעבודה משותפת כי במתקפת סייבר שכוונה גם נגד חברות נוספות, נחשף קוד המקור שלה • החברה טוענת כי הפורצים לא קיבלו גישה למידע של לקוחות • החשש: חשיפת קוד מקור של מוצר תוכנה עלולה להביא להעתקתו בידי מתחרים

משרדי חברת מאנדיי / צילום: איל יצהר
משרדי חברת מאנדיי / צילום: איל יצהר

בתשקיף לקראת הנפקה בוול סטריט שהגישה לאחרונה, דיווחה חברת מאנדיי כי נפלה קרבן למתקפת סייבר שחשפה את קוד המקור שלה. דבר הפריצה צוין עמוק בתוך התשקיף בפרק בו תיארה כיצד כמו כל חברת תוכנה, אירועי אבטחה עלולים להשפיע עליה באופן שלילי. אלא שמיד לאחר מכן, סיפקה מאנדיי דוגמה קונקרטית למתקפת סייבר שספגה כחלק ממתקפת שרשרת אספקה. מאנדיי נפלה קרבן למתקפה שכוונה נגד גורם אחר, צד שלישי - כלי תוכנה שמאנדיי, כחברה, עושה בו שימוש.

מדובר על מתקפה שהחלה לפני כחודשיים בה נפרץ כלי תכנות בשם Codecov דרכו הגיעו ההאקרים התוקפים למאות מלקוחות Codecov, בהם גם מאנדיי. החברה דיווחה בתשקיף, כי "החקירה נמשכת", כי לפי שעה "לא ראינו כל אינדיקציה שדאטה של הלקוחות שלנו נפגע באירוע" וכן כי "לא מצאנו כל ראיות... להשפעה על המוצרים שלנו".

עם זאת, החברה ציינה כי התוקפים קיבלו גישה ל"קוד המקור" של הפלטפורמה. "מצאנו גם ראיות לכך שבוצעה גישה ל'עותק לקריאה בלבד' של קוד המקור שלנו, דרך הפירצה של קודקוב", נכתב בתשקיף.

קוד המקור הוא בעצם הנוסחה הסודית של מוצרי החברה, והסיכון הוא שהקוד, כולו או חלקים ממנו, יועתק על ידי מתחרים.

בהמשך התשקיף, מזהירה החברה כי "גילוי מידע חדש או אחר הנוגע למתקפת הסייבר של קודקוב, לרבות ביחס להיקפו ולהשפעה פוטנציאלית כלשהי על סביבת ה-IT שלנו, לרבות בנוגע לאובדן, חשיפה בשוגג או הפצה של מידע קנייני או נתונים רגישים או חסויים אודותינו או הלקוחות שלנו, או הפגיעות בקוד המקור שלנו, עלולים לגרום להתדיינות ולחבות פוטנציאלית כלפינו, לפגוע במותג ובמוניטין שלנו, להשפיע לרעה על המכירות שלנו או לפגוע בדרך אחרת בעסק שלנו. כל טענה או חקירה עלולים לגרום לעלויות משפטיות וייעוץ משמעותיות חיצוניות ופנימיות שלנו, כמו גם להסיט את תשומת לב ההנהלה מהפעלת העסק שלנו". יש לציין כי מדובר בנוסח סטנדרטי לאזהרות מסוג זה.

הקוד נחשף, אך לא בוצעו בו שינויים

מאנדיי דיווחה על הפריצה בפוסט בבלוג שלה שפורסם ב-11 במאי. בפוסט נכתב כי "ספקית התוכנה-כשרות (SaaS) לבדיקת קוד תוכנה Codecov, גילתה פירצת אבטחה בתוכנה, שנוצלה על ידי תוקף והשפיעה באופן פוטנציאלי על מאות חברות העושות שימוש בשירותיהן, כולל מאנדיי.קום". החברה ציינה כי "אירוע זה לא היה תוצאה של פגיעות בסביבת מאנדיי.קום".

החברה פירטה את פעולות האבטחה שנקטה וציינה כי למרות שקוד המקור נחשף, "לא בוצעו בו שינויים".

החברה, המפתחת מערכת לניהול תהליכי עבודה ופרויקטים בארגונים, טרם דיווחה מהו השווי אליו היא מכוונת ובשלב ראשון ציינה כי היקף הגיוס יעמוד על 100 מיליון דולר - סכום ראשוני לצורך הגשת התשקיף, שסביר שיגדל בהמשך. לפי נתוני IVC, מאנדיי גייסה עד כה כ-233 מיליון דולר, כאשר הגיוס האחרון בוצע לפני שנתיים לפי שווי של 1.9 מיליארד דולר. עסקת סקנדרי (מכירת מניות קיימות) בוצעה בשנה שעברה לפי שווי של 2.7 מיליארד דולר. בראיון לגלובס סיפרו מייסדי החברה והמנכ"לים המשותפים שלה רועי מן וערן זינמן כי המשקיעים "מאמינים שהחברה יכולה ללכת להנפקה של 10 מיליארד דולר".

צרו איתנו קשר *5988