לפני כשנה וחצי נפרץ אחד האתרים הגדולים בישראל ועשרות אלפי שמות משתמש וססמאות נגנבו ופורסמו על ידי האקרים טורקים. ארז וולף שחשף את הפרשה הביא לשינוי תודעתי קטן, אך זמני. לאחר הדליפה, פנתה הבלוגרית שרון גפן למשרד המשפטים על מנת שאלה יחקרו את הדליפה, ומשרד המשפטים ענה כי לשיטתו כל עוד לא מדובר על מידע רגיש (כלכלי, בריאותי וכו') הרי שאין בכך עבירה משרד המשפטים הסביר מאוחר יותר לYnet כי הוא מקדם חקיקה וחקירה יותר מקיפים.
אלא, ששנה וחצי עברה וגילינו שלא רק שלא נעשה דבר, אלא שלא מעט מספרי כרטיסי אשראי דלפו לרשת בעקבות פעולה של האקרים. נכון לעתה, לא ברור האם מאחורי הפעולה עומד ארגון 'אנונימוס' או כל גורם אחר; מה שכן ברור הוא שמצפיה בקבצי המקור (כאן אפשר לראות חלק מהם אבל כאן נכון לשעות הבוקר המוקדמות היו גם קבצים מלאים זמינים להורדה) אפשר לראות שאותה תרבות 'סמוך' במערכות אבטח מידע היא שגרמה לנזקים.
אכן, לפני כמעט שנה הקים בנימין נתניהו, ראש ממשלתנו, צוות מיוחד שילחם בהאקרים ויגן על ישראל מטרור וירטואלי. איפה היה השב"כ האינטרנט כדי לסכל את פיגוע הסייבר הזה? וובכן, במקום לחנך, לאבטח ולספק לארגונים ישראלים העוסקים במסחר אלקטרוני כלים לחזק את האבטחה שלהם, העדיף נתניהו להמשיך בשיטת נתניהו ליחסי ציבור ולהתקד בהסברה בינלאומית ולא בהשחתה של אתרים ממשלתיים על ידי קראקרים זוטרים. כאמור, במקום להתעסק רק במאגרים ממשלתיים, אותו צוות שאמור לאבטח את המדינה היה צריך לשמור על אבטחה אמיתית ולחזק את העסקים הישראלים.
אלא, שאם באמת פרטי האשראי שלכם דלפו, ואצל עידו קינן מוצגת דרך למצוא זאת, אז השאלה מי אחראי (כמבן, חוץ מההאקר); התשובה אמורה להיות פשוטה: אם אתר אינטרנט התרשל בשמירה על המיע הפרטי שלכם ונגרם לכם נזק כתוצאה מכך, אז יכול שתהיה לו אחריות. בניגוד לפריצה שהיתה לפני שנה וחצי, אבל, לא כל כך ודאי שההתרשלות היתה באתר האינטרנט הספציפי אלא נראה שהבעיה היא משהו שיכול להיותקשור לספק הסליקה.
בכל מקרה, מעניין לראות מה תהיה תשובת משרד המשפטים הפעם לשאלה האם יש לפתוח בחקירה.
השאלה שצריכה להשאל במצב כזה ההיא מה עושים כדי למנוע ממקרים כאלה להשנות. התשובה ברורה: דליפות קורות, תמד יהיו כאלה. העניין הוא שצריך לדעת לנהל אותן. אם אתה בונה מאגר מידע, אל תשמור יותר מידע ממה שאתה צריך, ואם אתה מחזיק מידע רגיש, תבהיר ללקוחות שלך מה אתה עושה איתו ואיך אתה מטפל בו. אחרת, ברור לך שיום אחד המידע ידלוף ותמצא את עצמך נתבע.
פחחחח. אמרת *ארגון* אנונימוס!
(וזה בערך הדבר היחידי שמתקרב למצחיק בכל הפרשה הזו. )
שמירת פרטי כרטיס אשראי על קובץ mdb צריך להיות עברה
בפסקה השלישית נראה לי שהקישור שגוי – קישרת לנישואין של יגאל עמיר (פוסט 400) במקום למשהו שקשור להסברה בינלאומית, (פוסט ארבעת-אלפים ומשהו?)
תיקנתי.
מצטער על הטעויות בפוסט, זה הכל נובע מהשעה המוקדמת.
הודעת קבוצת ישראכרט בעקבות פרסום רשימות כרטיסי אשראי באינטרנט:
http://www.facebook.com/photo.php?fbid=10150509728028322&set=a.188816228321.125714.186604558321&type=1&theater
חשוב להדגיש – רוב מוחלט של הקבצים שנחשפו באינטרנט כוללים רשימות (מעל 380,000) עם פרטים של אנשים שכרטיסיהם *כלל לא* נחשפו (!) כך שגם אם הם נמצאים ברשימה, פרטי כרטיס האשראי שלהם בטוחים.
הרשימות שמפורסמות באינטרנט אינם באחריותה של קבוצת ישראכרט והרשימה הרלוונטית היחידה היא הרשימה שבידינו הכוללת 6,600 לקוחות עמם אנו יוצרים קשר.
שלוש נקודות:
1. ההנחה הסמויה בתגובות הגורמים הרשמיים, שאם לא נחשפו מספרי האשראי הכל טוב היא מה שמקומם אותי. פרטים אישיים כמו כתובת דואר, מייל, מספרי טלפון וכו' הם הפקר שלא נורא אם דלפו? הרי את אלה הרבה יותר קשה אם בכלל אפשרי לשנות, שלא כמו כרטיס האשראי.
2. חשוב לציין שהמטרה של ההאקרים בחשיפת מספרי האשראי היא לא לגרום לנזק כלכלי לאזרחי ישראל כי כמו כל קורבן לגניבת אשראי בעולם אנחנו מבוטחים. המטרה המוצהרת שלהם היא לפגוע במוניטין של קונים ישראלים ברשת: אם מוכר אמריקאי או סיני יפול מספיק פעמים עם "קונים מישראל" ויפסיד כסף, בסופו של דבר הוא יפסיק למכור לישראלים ואנחנו ניפגע מזה. ימים יגידו אם ההדלפה הנ"ל פגעה בנו מהבחינה הזאת.
3. מאחר ולא בלתי אפשרי לגלות לפחות אתר קופונים אחד שממנו נגנבו הפרטים, מעניין מה תגובת מנהליו לגבי נהלי האבטחה שלהם. מישהו מתנדב להרים את הכפפה ולבקש תגובה?
לאף אחד לא מפריע שעידו קינן מבקש מאנשים לשלוח לו מספרי כרטיס אשראי מלאים במייל???
באמת הייתי מופתע מזה שכל הזמן דיברו על דליפת כרטיסי האשראי, שלא גרמה שום נזק משמעותי (חוץ מהפאניקה שהתקשורת פימפמה, והמחיר של פאניקה זו), לעומת זאת שכנראה דלפו עשרות או מאות אלפי פרטים אישיים של אזרחים.
דרך אגב, גם אם אתר לא שומר מידע "רגיש" לפי החוק, יתכן והסיסמה שהלקוח השאיר באתר היא במקרים רבים המפתח לכל הדואר האישי שלו, וכך תגרום נזק בלתי הפיך לפרטיות הלקוח.
יואב – מכיוון שכל הכרטיסים פורסמו בבת אחת, לא נגרם כל נזק למוניטין של מחזיקי כרטיס ישראליים, שהרי כל עסקה שניסו לעשות בכרטיסים אלה, סורבה על ידי המנפיקים הישראליים, וכך לא נגרם נזק לאף בית עסק בחו"ל.
לפחות ממה שידוע עד כה, גם פרטים שלא היו אמורים להישמר על השרת (כמו מספרי ה-CVV) נשמרו על השרת, מה שחייב כמובן את חברות האשראי להנפיק אלפי כרטיסים חדשים בלי לראות מזה שקל.
יש לי תחושה שאותו עסק לבניית אתרים יצטרך מהר מאוד להשיג לעצמו עורך דין טוב להתמודד עם התביעות גם של חברות האשראי וגם של אחרים, ואתמול מישהו כבר הגיש תביעה יצוגית.