המידע הראשון שכבר הפיצה הקבוצה היום כולל 28 אלף רשומות של שמות, כתובות, דואר אלקטרוני, מספרי טלפון ותעודות זהות של משתמשים מאתר קווים / צילום: Shutterstock, JLStock
שורה של אתרים ישראלים מרכזיים נפלו מהרשת אתמול (ו') בלילה ונשארו לא זמינים למשך שעות רבות. אתרים אלו כוללים את אלו של חברות התחבורה דן וקווים, מכון מור, חברות ניופאן ודלתא גליל, האגודה למלחמה בסרטן, ארגון תגלית, מוזיאון הילדים בחולון, תאגיד מי נתניה, טורנדו מזגנים, הבלוג של תאגיד השידור הציבורי, אתר ההיכרויות וחיי הלילה אטרף ואחרים.
מי שלקחה אמש אחריות על תקיפת הסייבר היא קבוצת בלאק שאדו (Black shadow) שפעילותה מיוחסת לאיראן. הקבוצה דיווחה על התקיפה אמש בערוץ הטלגרם שלה. לפי הדיווח, המתקפה נעשתה דרך תקיפת חברת סייברסרב הישראלית (Cyberserve), חברה ותיקה לפיתוח אתרים ואפליקציות סלולריות. עם זאת, לא כל האתרים של לקוחות סייברסרב נפלו, כמו אתר מפעל הפיס שנשאר באוויר וכך גם אתר לשכת עורכי הדין. גם האתר של סייברסרב עצמה נפל.
אחרי שפרסמו מוקדם יותר היום 28 אלף רשומות מאתר חברת קווים, התוקפים האיראנים פרסמו הערב עוד קבצי מידע גדולים ששאבו מהאתרים. לפי הפרסום שלהם, הקבצים מגיעים מהאתרים של חברת דן, אתר התיירות פגסוס ואתר ההיכרויות אטרף.
במקרה של אתר אטרף, הפופולרי בקרב להט"בים, הזהיר בצהריים רם לוי, מייסד ומנכ"ל חברת הגנת הסייבר קונפידס, כי הפצת מידע מהאתר יכולה להיות "פיגוע הפרטיות החמור ביותר בישראל". ככל הנראה, הודלפו מספרי טלפון של משתמשים, כתובות מייל ומידע נוסף.
סימנים של בעיות אבטחה
בקובץ שפורסם מנתוני אטרף מופיעות גם הסיסמאות של המשתמשים בטקסט לא מקודד ולא מוצפן, מה שמעיד על בעיית אבטחה ויכול לשמש תוקפים כדי לנסות לחדור לחשבונות נוספים של המשתמשים. בהקשר זה ליאור חן, מנהל תחום סייבר סקיוריטי בחברת אבטחת המידע Varonis אמר לגלובס כי "ההמלצה המידית עבור המשתמשים שפרטיהם פורסמו והם יודעים שהם משתמשים בסיסמאות זהות באתרים שונים, היא לשנות את הסיסמה שלהם. בנוסף כהמלצה כללית באתרים שמאפשרים זאת חשוב להשתמש באימות דו שלבי (שימוש באימות דרך הטלפון או sms) בנוסף לשם משתמש וסיסמא".
בניגוד לשאר האתרים שנבנו על ידי סייברסרב ואוחסנו על השרתים שלה, אתר אטרף נמצא בבעלות חברת סייברסרב.
עידו נאור, מומחה סייבר והמנכ"ל והבעלים של חברת Security Joes, התריע בפני חברת סייברסרב על דלת אחורית בחברה ששייכת לתוקף איראני. נאור אמר לגלובס כי ראשי החברה חסמו את החולשה עצמה, אך כאשר הוא אמר להם שצריך לחסום רוחבית ולהטמיע הגנות - הם התעלמו ונעלמו. גם ממטה הסייבר הלאומי מסרו כי התריעו מספר פעמים בפני החברה בשנה האחרונה על היותה חשיפה לתקיפה.
בהודעה שפרסמה בערוץ הטלגרם, איימה בלאק שאדו לפרסם מידע ששאבה מהאתרים, אם אלו לא יפנו אליה. 
הכתובת הייתה על הקיר
בלאק שאדו הייתה אחראית גם לפריצה לחברת הביטוח שירביט בדצמבר האחרון. במסגרת פריצה זו דלף גם כן מידע רגיש כמו צילומי תעודות זהות וכרטיסי אשראי. מומחי סייבר ניהלו אז משא ומתן עם הפורצים בשם החברה אך סירבו לשלם כופר. במרץ השנה אותה הקבוצה תקפה את חברת מימון הרכב ק.ל.ס קפיטל.
מערך הסייבר הלאומי הודיע כי "בשנה האחרונה התריע המערך לחברה (סייברסרב -א"ד) מספר פעמים על היותה חשופה לתקיפה. כמו כן, למערך תוכנית מיוחדת להענקת 'תו חוסן' לחברות אחסון אתרים אשר יעמדו בסטנדרטים של הגנה. חברות שיצטרפו לתוכנית ויעמדו בסטנדרטים שהציב המערך יצמצמו את הסיכוי להיפגע ממתקפת סייבר. בנוסף, המערך המליץ לחברה שנפגעה ליידע את לקוחותיה על הדלף. לאזרחים אשר פרטי הטלפון והדוא"ל שלהם דלפו, מומלץ לגלות עירנות רבה יותר להודעות דוא"ל ולמסרונים חשודים, להחליף סיסמה ולהטמיע אימות דו שלבי בכל האפליקציות כגון הרשתות החברתיות ואפליקציית הבנק".
מחברת קווים נמסר כי "מיד עם היוודע דבר האירוע יצרה החברה קשר עם משרד התחבורה, המטה להגנת סייבר וכן שכרה בעלי מקצוע חיצוניים בתחום אבטחת המידע להשלמת בדיקה מקיפה, מקצועית ובלתי תלויה אודות האירוע.
חברת קווים לוקחת ברצינות רבה את נושא אבטחת המידע ואת פרטיות המידע של לקוחותיה. לפיכך החברה חוקרת באופן מלא ומפורט את האירוע ומתחייבת לספק מידע מלא ושקוף ללקוחותיה על ממצאיה. החברה נמצאת בקשר רציף עם משרד התחבורה ותיידע כנדרש את הרשות להגנת הפרטיות על המידע האמור. החברה מתנצלת בפני הנרשמים על חשיפת פרטי התקשורת שלהם, ותפעל למנוע הישנות מקרים דומים בעתיד.
ראוי לציין כי מבדיקה מקצועית שנערכה על ידי החברה לא נמצאה כל אינדיקציה לניסיונות תקיפה כלשהן כנגד מערכותיה הפנימיות, ואין כל חשש לפגיעה ברציפות שירותי התחבורה שמציעה החברה".
מהרשות להגנת הפרטיות נמסר כי "בכל הנוגע לתקיפה על חברת האתרים Cyberserve, הרשות להגנת הפרטיות עודכנה בפרטי הנושא על ידי מערך הסייבר. הרשות פועלת בהתאם לסמכויות הנתונות לה, בהתאם לנסיבות כל אירוע והיקף הדליפה, לרבות חיוב החברות הנפגעות בהעברת הודעה ספציפית לנפגעים".
קבוצת "בלאק שאדואו" המיוחסת לקבוצה פרטית או ביטחונית איראנית פרסמו היום (א'): "איש מהממשלה הישראלית או חברת סייברסרב לא יצר איתנו קשר. הבעיה ככל הנראה לא מספיק חשובה עבורם. מאחר ואנחנו יודעים שנושא 'אטרף' מדאיג את כולם, החלטנו לבקש מיליון דולר בכדי לא להדליף מיליון פרטים אישיים, תכני צ׳ט, כרטיסים לאירועים, היסטוריית קניות וכל תוכן שהיה על האתר. אם לא נקבל מיליון דולר בתוך 48 שעות, נדליף את המידע ולא נמכור אותו לאיש".