גורמים בענף הסייבר הזהירו היום (שלישי) כי ייתכן שבידי ההאקרים שפרצו לשרתי חברת "שירביט" נמצא אף יותר מידע ממה שפורסם. "מדובר במתקפה מאוד גדולה", אומרים הגורמים, "מצד אחד הם פרסמו לא מעט דברים. מאידך, לא ברור אם זה כל מה שיש או שזה רק פרומו. כך או כך זה לא מעט. קשה לדעת את כל מה שיש להם, מה שבינתיים יש מדאיג מאוד".
קבוצת ההאקרים BlackShadow קיבלה אחריות על הפריצה לשרתי החברה, ופרסמה בחשבונות הטוויטר והטלגרם שלה פרטי לקוחות ומסמכים בהיקף עצום, משנת 2012 ועד שנת 2020, בנפח של 929 ג'יגה-בייט. על פי הערכות, מדובר במידע של עשרות אלפי מבוטחים. במידע שדלף ניתן למצוא מספרי תעודות זהות - המשמשים בגופים רבים, גם ממשלתיים, כאמצעי אימות משני. לפני פחות מחודש זכתה שירביט במכרז לביטוח רכב פרטי לעובדי מדינה בשנת 2021, ומבוטחים בה רבים המשרתים בכוחות הביטחון.
בין ההקלטות שפורסמו בעמוד הטלגרם של התוקפים, ישנה שיחה עם לקוחה, מספר תעודת הזהות שלה ופרטי התאונה שעליה דיברה עם החברה. בנוסף, פורסם מייל ובו פרטי כרטיס אשראי, כמו גם פרטיו של השופט גלעד נויטל, המכהן כנשיא בית המשפט המחוזי בתל אביב.
לא ברור כמה זמן התוקפים תכננו ועבדו על המתקפה. "האקרים עובדים עם כלים אוטומטיים, מחפשים פרצה (למשל תוכנה לא מעודכנת או פרטים שדוחפים ומאפשרים כניסה - מ"ל) באופן אוטומטי, ומרגע שנכנסים שואבים את המידע תוך דקות", אומר בכיר בחברת סייבר גדולה.
"זה לא בהכרח אומר שזה מה שקרה, אבל באופן כללי, כדי להשיג הרבה מידע לא צריך מעקב ממושך. כמובן שיש תרחישים אחרים לגמרי - והכול על השולחן כרגע כי זה לא ברור - כמו מעקב אחר עובד ספציפי, או הפלה בפח של עובדים דרך הונאות למיניהן", סיכם. ככל הנראה, במסגרת הפריצה הצליחו ההאקרים לשים את ידם על תיבות המייל של עובדים.
"מדובר באירוע חמור שלצערנו הופך נפוץ יותר בשנים האחרונות. אנחנו עדים בשנים האחרונות למתקפות סייבר שבהן גורמים עוינים רוצים להוכיח יכולת ולגנוב מידע", מסביר ניב אנגל, מנהל תחום חקירות מחשב ומודיעין סייבר ב"אקסנצ'ר ישראל".
לדבריו, תחום הביטוח קורץ במיוחד לפורצים. "המידע הזה בדרך כלל משמש למתקפות פישינג, סחיטה, שיבוש תהליכים ועוד. תחום הביטוח הוא תחום מורכב עם סוג מידע רגיש במיוחד: מידע פיננסי, אישי, רפואי - ולכן הוא הופך את החברות ליעד אטרקטיבי במיוחד עבור התוקפים. כל מי שפרטיו בידי התוקפים נמצא כרגע בסיכון, במיוחד עובדי מדינה שאת פרטיהם שדלפו אפשר לנצל כדי לטרגט מערכות ממשלתיות ולנסות לגרום לנזק גדול יותר", אמר אנגל, "כרגע צריך לפעול במישור הטכני, למצוא את הפירצה ולסגור אותה ולהחזיר את המערכות לפעולה תקינה. בנוסף חשוב שחברות יפעלו במישור המודיעיני כדי לאתר את התוקף הנוכחי וגם להבין מי יכול להיות התוקף העתידי של הארגון".
החשבונות של קבוצת ההאקרים הכריזו על התקיפה כבר אתמול בשעה 16:00 אחרי צהריים. עם זאת, רק הבוקר הודיעה "שירביט", במשותף עם רשות שוק ההון, ביטוח וחיסכון ומערך הסייבר הלאומי, כי היא בוחנת חשד למתקפת סייבר על אתר החברה ושרתיה ודליפת מידע פרטי של הלקוחות. בחברה החלו אמש בבדיקת החשד, וביקשו ממערך הסייבר הלאומי לסייע להם באיתור דליפת המידע ונזקי הפריצה.
בהודעה המשותפת לחברה ולרשות ההון נמסר כי הבדיקה בנושא נמשכת אך לפי הודו כי הן מעריכות שאכן דלף מידע. "מבדיקה ראשונית עולה כי מדובר במידע על פרטי ביטוח של לקוחות. במאמץ משותף לרשות ולמערך, הבדיקה ממשיכה", נמסר. מערך הסייבר ורשות שוק ההון ציינו כי "בעקבות כך שב וחידד המערך יחד עם הרשות את ההנחיות לגופים המוסדיים במשק".
"ממידע שנתקבל בחברה ומבדיקות שנערכו קיים חשד לאירוע סייבר כנגד החברה, במסגרתו הוצאו מהחברה מסמכי ביטוח. נציין שאין בנתונים שהוצאו מידע שעלול לגרום נזק למבוטחינו. החברה נקטה ותמשיך לנקוט בכל האמצעים הדרושים כדי לטפל באירוע ולהבטיח מניעה של הישנות אירועים שכאלה בעתיד", נכתב בהודעה שנשלחה ללקוחות החברה, והודגש כי האירוע עודנו בטיפול. באתר החברה, המושבת עדיין, נכתב כי "שירביט פועלת להגן על סודיות הנתונים בשיטות אבטחה מתקדמות ומחויבת לנושא. אבטחת המידע באתר נועדה להבטיח זיהוי הלקוח והצפנה של נתוני הזיהוי המועברים בתהליך ההתקשרות". למרות זאת, בהדלפות שפרסמו האקרים, נראו פרטי אשראי ותעודות זהות שעברו במייל, ללא הצפנה.
מנכ"ל חברת הביטוח שירביט, צביקה ליבושור אמר בתגובה כי "חברת הביטוח שירביט מעמידה את תחום הבטיחות והשירות ללקוחותיה בראש סדר העדיפויות". הוא הוסיף כי החברה "השקיעה מיליוני שקלים באבטחת מאגרי מידע ובהגנה בפני מתקפות סייבר ועומדת בכל דרישות הרגולציה המחמירות בנושא זה. החברה משקיעה גם כעת את כל המשאבים והמאמצים הדרושים לפתרון יעיל, בטוח ומהיר של מתקפת הסייבר, שמטרתה האמיתית לנסות ולפגוע במשק הישראלי".