גלובס - עיתון העסקים של ישראלאתר נגיש

לאתר הרגיל | פורטל פיננסי | | |

מפרשת שירביט ועד הפריצה לאטרף: לרשות הפרטיות אין כוח, המשתמשים חשופים, וההאקרים חוגגים

בלאק שאדו, שאחראית להפלת שורה של אתרים וחשיפה של אלפי פרטים של ישראלים, נהנית מהרגולציה החלשה ● למה הקנס שניתן לחברות שאמורות לדאוג להגנה אינו מספיק, ומה יכולים לעשות המשתמשים שפרטיהם נחשפו

פורסם בתאריך: 01.11.2021, 12:00 מאת: אסף גלעד ואופיר דור

מתקפות סייבר / צילום: Shutterstock

האם ניתן היה למנוע את פריצת הסייבר שחשפה את פרטיהם האישיים של עשרות אלפי ישראלים ופרטים אישיים על מאות משתמשי אטרף? התשובה העצובה היא שכנראה שכן.

מערך הסייבר הלאומי במשרד ראש הממשלה הזהיר, לפי הודעתו, מספר פעמים את חברת סייברסרב, דרכה בוצעה הפריצה לאתרים ומאגרי המידע, אך לא עשה כך נראה מעבר כדי למנוע את המחדל המתגבש. הרשות להגנת הפרטיות במשרד המשפטים עודכנה על העניין רק לאחר הפריצה, לפי הודעתה. ומחלקת הסייבר בפרקליטות המדינה הצליחה רק אתמול (א') בשעות אחרי-הצהריים לגרום לחסימת ערוץ הטלגרם ממנו פורסם המידע האישי בשבת. כל זה יכול היה לעבוד טוב יותר ולא בטוח שכך יקרה גם בפעם הבאה.

הכול החל בסוף השבוע, אז הופלו מהרשת שורה ארוכה של אתרים ישראלים, החל מאתר כביש חוצה ישראל, דרך אתרי חברות דן וקווים, החברות דלתא גליל וניופאן ועד לאתר ההיכרויות אטרף. כל אלה ורבים אחרים נותרו לא זמינים ברובם מאז. הפריצה אליהם בוצעה דרך חברת סייברסרב (Cyberserve) שבנתה את האתרים. האתרים אוכסנו על שרתים של חברת נטוויז'ן. לפי נטוויז'ן, היא סיפקה לסייברסרב שירות אירוח שאינו כולל אבטחת סייבר.

מי שלקחה אחריות להפלת האתרים היא קבוצת בלאק שאדו, (Black Shadow) שהייתה אחראית גם לתקיפת חברת הביטוח שירביט בדצמבר האחרון וחברת מימון הרכב ק.ל.ס קפיטל במרץ השנה. כבר ביום שבת החלה הקבוצה לפרסם מידע אישי על עשרות אלפי ישראלים, כולל שמות, מספרי תעודות זהות, טלפונים וכתובות מייל.

הטלגרם של בלאק שאדו, שחוגג את התקיפה המוצלחת בסופ"ש

המידע הרגיש ביותר שפורסם הוא כ-1,000 רשומות מאתר ההיכרויות לקהילה הגאה אטרף, הכוללות פרטים אישים על משתמשים כולל מספרי טלפון ומיילים, העדפות מיניות שלהם, סטטוס HIV וסיסמאות לא מוצפנות שלהם. הקבוצה איימה כי מדובר רק בחלק קטן מתוך כמיליון פרטי מידע שיש באתר.

מיהי קבוצת בלאק שאדו?

מחקר שפרסמה חברת הסייבר סנטינל וואן טען כי בלאק שאדו הייתה אחראית גם לפריצה לשרתי אוניברסיטת בר-אילן באוגוסט וכי מאחוריה עומדת קבוצה איראנית בשם Agrius . לפי המחקר, אף שהקבוצה דורשת תשלום כופר - למשל כופר של מיליון דולר שהיא דרשה בערוץ הטלגרם בתקיפה הנוכחית - המניע העיקרי שלה הוא פגיעה ויצירת הד תקשורתי. עם זאת, קשה לומר האם מדובר בקבוצה שמופעלת על ידי השלטון האיראני או פועלת באופן עצמאי.

מיהם בעלי סייברסרב?

על פי רשם החברות, סייברסרב היא בבעלות משפחת הבר, חברת אלתם אלקטרוניקה והמכון להכשרה בתחום האלקטרוניקה ומערכות המידע רמה. בנוסף לפעילותה כמקימת אתרים, סייברסרב היא גם המפעילה של אתר אטרף. איל הבר, מנכ"ל סייברסרב, הוא ממייסדי אתר אטרף, אותו הקים בשנת 2000 יחד עם ניר צדיקריו כאתר הכרויות לסטרייטים ולהט"בים. עם הזמן התמקדה האפליקציה בקהילת הלהט"ב והפכה גם לאפליקציה למכירת כרטיסים למסיבות ואירועים של הקהילה הנערכים בארץ.

איך הגיבה סייברסרב?

החברה שמרה על שתיקה לאורך סוף השבוע, מלבד הודעה לקונית בעמוד הפייסבוק שלה שבה טענה כי שיתפה פעולה באופן מלא עם מערך הסייבר כדי לסיים את האירוע.

עם זאת, במערך הסייבר ציינו כי הזהירו את החברה מספר פעמים בשנה האחרונה על היותה חשופה לתקיפה. גם עידו נאור, מומחה סייבר והמנכ"ל והבעלים של חבר, Security Joes, הזהיר את החברה על חשיפה שלה לתקיפה איראנית ב-2019. לדבריו, ראשי החברה חסמו את החולשה עצמה, אך כאשר הוא אמר להם שצריך לחסום רוחבית ולהטמיע הגנות - הם התעלמו.

מאחורי הקלעים שכרה סייברסרב את חברת "קוד בלו" של רפאל פרנקו, לשעבר סגן ראש מערך הסייבר הלאומי, כדי לטפל במשבר. כרגע הפעילות מתמקדת בסריקה וניקוי של השרתים שנפרצו, לפני שהאתרים יועלו חזרה לאוויר. תהליך כזה יכול לקחת מספר ימים.

האם האתרים שנפרצו יענשו?

הרשות להגנת הפרטיות במשרד המשפטים היא הגוף היחיד בארץ המחזיק בסמכויות אכיפה בתחום רשלנות בשמירה על פרטי משתמשים, אלא שה"שיניים" שלה חלשות ביותר. בעוד שנציבי פרטיות באירופה שמונו במוסדות האיחוד האירופי יכולים לקנוס חברה בעד 4% ממחזור המכירות שלה על עבירה הקשורה בהתנהלות מאגרי המידע שלה, הרשות להגנת הפרטיות בישראל יכולה להטיל על חברה קנס של 25 אלף שקל לכל היותר. בנוסף, הרשות להגנת הפרטיות בישראל היא גוף המנוהל על ידי ממלאת מקום ולא על ידי מנהל במשרה מלאה.

סמכויות החקירה שלה לא קודמו באופן מלא, ויכולתה לאפשר התגוננות מפני מתקפת סייבר לא מספקת.

ומה עם מערך הסייבר?

תפקידו של מערך הסייבר הוא להגן על תשתיות לאומיות ואין לו סמכות לאכוף כללים על חברות פרטיות. מערך הסייבר אמנם שולח אזהרות לחברות החשופות לפריצה, אך אינו מחייב אותן לסגור את אלו ואינו מביא את החולשות הללו לידיעת הציבור.

מערך הסייבר מנסה לקדם את הרחבת סמכויותיו. לפי טיוטת חוק הסייבר שפורסמה בפברואר השנה, המערך יוכל להורות על ביצוע פעולות גם לגופים אזרחיים שמקיימים פעילות חיונית או פעילות ציבורית. לדעת עו"ד יהונתן קלינגר, המתמחה בדיני מידע דיגיטלי ופרטיות ופעיל בארגונים שונים בנושא, הרחבה כזו אינה חיובית.

"הרצון של מערך הסייבר לדחוף את עצמו קדימה לתוך תחום ניהול המאגרים הפרטיים איננו בריא, כיוון שהוא יעודד חברות פרטיות לסמוך את ידן על הרשויות במקום שהן עצמן יהיו אחראיות לביטחון המאגרים והמידע שהן שומרות", אומר עו"ד קלינגר. "מערך הסייבר מנסה לשאוב לעצמו עוד כוחות שלא בצדק, ולא הייתי רוצה לראותו מקבל סמכויות חקירה ואכיפה. במקום הייתי רוצה רשות להגנת פרטיות חזקה יותר, כפי שהדבר קורה באיחוד האירופי".

אם פרטיי נחשפו, האם אוכל לתבוע את בעלי המאגר?

השאלה הבעייתית היא לתבוע את מי. במסגרת תביעה ייצוגית על בסיס חוק הגנת הצרכן, נותן השירות, למשל חברת קווים, יטען כי האחריות נופלת על מאחסנת האתרים סייברסרב, ואילו סייברסרב תטען כי אין בינה לבין הנפגעים יחסי עוסק-צרכן כלשהם. תביעה נגד אתר אטרף במקרה זה יכולה להיות קלה יותר כי הוא גם שייך לחברת סייברסרב. בכל מקרה גם אם תאושר תביעה נגד סייברסרב, עדיין יידרש להוכיח בבית המשפט שזו התרשלה בתפקידה.

לדברי פרופ’ מיכאל בירנהק, מומחה לפרטיות מאוניברסיטת תל אביב, חוק הגנת הפרטיות ותקנות הגנת הפרטיות שנכנסו לתוקף ב-2018 מגדירים שורת צעדים שצריכות חברות המחזיקות מאגרי מידע לנקוט. חוקים אלו יחסית מתקדמים, אך עדיין מנוסחים בצורה כללית. כך למשל, התקנות דורשות שימוש בשיטות הצפנה מקובלות, אך לא מפרטות אלו. "כדי להוכיח רשלנות, צריך יהיה להביא מומחים שיאמרו מהן השיטות המקובלות בעולם והאם החברה עמדה בהן", הוא אומר. "אם אכן החברה קיבלה אזהרות ממערך הסייבר ולא טיפלה בהן, זה יעמוד נגדה".

מה כדאי לוודא לפני הרשמה לשירות רגיש?

לדברי דניאל כהן, חוקר בכיר במרכז הסייבר באוניברסיטת תל אביב וראש תכנית מדיניות וטכנולוגיה במכון אבא אבן, המרכז הבינתחומי, "עליך לוודא שהן בממשק הרישום (שבו הנך מקליד את פרטי המשתמש שלך) והן בממשק התשלומים - כתובת האתר מתחילה ב- HTTPS - מה שמעיד על פריסת טכנולוגיה המוודאת את אמינותו ומסייעת בהגנה אישית מפני אתרים זדוניים. אם מדובר באתר זר, מומלץ לשוטט ולקרוא את עמוד הפרטיות שמסביר אילו נתונים נאספים והיכן הם נשמרים. ככלל, אתרים אירופים בתחום אמורים לשמור על כללי הפרטיות המחמירים ביותר, לפי תקנות GDPR האירופאיות".

סייברסרב לא השיבה לבקשות גלובס לתגובה.

רשימת האתרים שהורדו מהרשת

כביש חוצה ישראל
דן
קווים
מכון מור
ניופאן
דלתא גליל
האגודה למלחמה בסרטן
ארגון תגלית
מוזיאון הילדים בחולון
טורנדו מזגנים
תאגיד מי נתניה
הבלוג של תאגיד השידור הציבורי
אטרף
המוזיאון לאמנות האיסלאם
חברת החקירות דיאמונד אינטליג'נס
המכללה האקדמית הערבית

עוד כתבות

החלפת בתים. ''להיכנס לחופשה שונה מאורח החיים שלך'' / צילום: Shutterstock

36 פעמים החלפנו דירה: האנשים שיוצאים לחופשה בחינם

בעלי נכסים ואפילו שוכרים מחליפים דירות ומוצאים את עצמם בחופשה חלומית בבית של מישהו אחר ● מה היתרונות ומה הסכנות, ולמה צריך לשים לב

שני לוחמים נפלו ברצועת עזה; אלפי מפגינים בת"א בעד עסקת חטופים

רס"ר במיל' עידו אביב ורס"ר במיל' קאלקידן מהרי נפלו בקרב במרכז רצועת עזה ● משפחותיהם של החטופים קית' סיגל ועמרי מירן קיימו מסיבת עיתונאים בעקבות אות החיים שהתקבל מהשניים בימים האחרונים • דיווח: "ישראל מסכימה לשחרור 33 חטופים", בריטניה: "המתווה יכלול 40 ימי הפוגה" • בלינקן: "העבודה על הסכם הנורמליזציה בין ישראל לסעודיה קרובה מאוד לסיום" • עדכונים בולטים

כטב''ם מדגם שאהד 136 מוצג בטהרן. מרבית הכטב''מים ששוגרו לעבר ישראל מאיראן היו מדגם זה / צילום: Reuters, Morteza Nikoubazl

גם אחרי היירוט המוצלח: 30 אלף דולר ויש לכם כטב״ם מתוצרת איראן

הפעולה ההגנתית המוצלחת של ישראל המחישה עד כמה הכטב"מים מתוצרת איראן אינם קטלניים מול מערכות מערביות באיכות גבוהה ● אולם, מי שבוחר באמצעים מתוצרת איראן אינו רוכש אותם בשל איכותם, אלא מחירם ● ומי המדינה הקטנה שמקבלת מקורות פרנסה לאזרחיה העניים באמצעות מתקן ייצור מל"טים איראני?

"משפיל ומקומם": עורך הדין שהצליח לעזור להרבה, רק לא לעצמו

הוא עמד בפני 15 שופטים בבג"ץ הסבירות ההיסטורי, מייצג בעלי מניות נגד תאגידי ענק, ובין לקוחות המשרד שלו אפשר למצוא את אבי חימי ואריה דרעי ● אבל נדמה שהשליחות הגדולה ביותר של עו"ד חגי קלעי היא בקידום השוויון לקהילה הגאה ● אז איך זה שדווקא את בנו הוא נאלץ להביא בפונדקאות בארה"ב? "זה היה משפיל ומקומם"

השקל מתחזק מול הדולר והאירו | עיצוב: טלי בוגדנובסקי (נוצר בעזרת AdobeFirefly)

השקל מזנק ביותר מ-1.5% מול הדולר; אלו הסיבות

ההתקדמות במשא ומתן על הפסקת האש ושחרור חטופים, העליות בסוף השבוע האחרון בוול סטריט ואלה הצפויות היום, מעלות את הביקוש למטבע המקומי ● אבל התנודתיות בשערו צפוייה להמשך

בתים בטקסס. צילומי לווין ורחפנים הפכו לנשק בידי חברות הביטוח / צילום: Shutterstock

תופעה בארה"ב: חברות הביטוח מרגלות אחרי בתים מהשמיים

חברות בארה"ב משתמשות ברחפנים כדי לבדוק גגות או לזהות פסולת חצר וטרמפולינות שלא הצהירו עליהן

עושים סדר לפסח? כך תדעו מה צריך לשמור ומה לזרוק, לפי תורתה של מארי קונדו

מה משמעות המילה פרעה ומהן "ערי מסכנות" המוזכרות בהגדה, אילו מדינות יזכו לחבילות סיוע נוסף לישראל ובאילו דגלים מופיע סמל היין־יאנג? ● הטריוויה השבועית

עמית גריידי, הממונה על חוק המכר במשרד השיכון / צילום: משרד הבינוי והשיכון

קניתם דירה מיזם ומכרתם לפני האכלוס? אולי תהיו אחראיים לאיחורים במסירה

נייר עמדה שפרסם הממונה על חוק המכר מחריף את התנאים עבור מי שרוכשים דירה מקבלן ומעוניינים למכור לפני האכלוס

צילומים: שלומי יוסף, עמית שאבי (ידיעות אחרונות), עיבוד: גלובס

2,800 שקל לשעה, תיקים מתוקשרים ותיבת פנדורה: החיים החדשים של השופט שבמחלוקת

הדיל שהוביל למינויו לנשיא בית המשפט המחוזי בתל אביב שב לאחרונה לרדוף את השופט בדימוס איתן אורנשטיין ● גלובס צולל לנבכי הקריירה החדשה שאימץ לעצמו כבורר–על, לחמ"ל שהקים כדי להתמודד עם ההקלטות המביכות ולשאלה המרחפת מעל לכל - איך תשפיע הפרשה על עתידו המקצועי?

שבוע המסחר הטוב מנובמבר: נאסד"ק קפץ ב-2%

מניית גוגל זינקה בכ-10%● אינטל איבדה כ-9% ● מדד ניקיי הוסיף 0.8%, מדד שנחאי התחזק ב-1.2%, מדד שנזן עלה ב-2.2% וקוספי הוסיף 1% ● נעילות ירוקות גם בבורסות אירופה ● ה-PCE - מדד האינפלציה המרכזי של הפד - עלה ב-2.8% בחודש מרץ, גבוה מהצפוי

אזרבייג'אן איירליינס / צילום: Shutterstock

הכירו את חברת התעופה שרוצה להטיס אתכם במקום אלה שברחו

אזרבייג'ן איירליינס (AZAL), חברת התעופה הלאומית של אחת מידידותיה הקרובות ביותר של ישראל, מראה שהיא כאן כדי להישאר ● "בחודשי הקיץ נעלה את תדירות הטיסות, בין יוני לספטמבר AZAL תפעיל 11 טיסות בשבוע", אומר בני קורמאייב, נציג החברה בארץ

כך מתכנן ראש העיר להתמודד עם התופעה שהכי מטרידה את החיפאים

סוגיית החזירים מעסיקה את תושבי העיר מזה יותר מעשור, ובעוד שראש העיר החדש־ישן אמר שיטפל בה ביד נחושה, דרכי ההתמודדות המתגבשים לא עבדו בעבר ● פרופ' אורי שייניס, מומחה לחקר מינים פולשים, מסביר: "לנסות להתמודד עם החזירים ללא מחקר, זה כמו לנסות להתמודד עם הקורונה ללא מחקר"

הירחון העברי ''השחר'', שבו כתב בן יהודה, 1879. הרושם ממאמרו היה עצום / צילום: ויקיפדיה

העברית של ימינו מבטאת כישלון אחד מובהק של אליעזר בן יהודה

בדיוק לפני 145 שנה אליעזר בן יהודה הקדים את כל בני זמנו בהבנת הקשר בין הארץ לבין הלשון ● אבל את לשון ימינו הוא כנראה לא היה מבין

טל בסכס, פרויקטור מרכז השליטה האזרחי / צילום: רמי זרנגר-יח''צ החברה למתנ''סים

הפרויקטור שלא היה בראיון ראשון: "לא באתי לחמם כיסא"

טל בסכס מונה בסוף אוקטובר לפרויקטור שתפקידו "לתדרך בכל הנוגע לניהול האזרחי של המלחמה" ● אלא שאינטרסים פוליטיים רחשו בשטח, יותר מדי גופים היו מעורבים, ומהדיבורים על תקציב של 15 מיליארד שקל לא נשאר דבר ● בראיון לגלובס הוא מדבר על היכולת להשפיע כמנכ"ל החברה למתנ"סים, ומפתיע: "אם קוראים לי שוב - אני מתייצב"