הפריצה שביצעו אתמול (שני) האקרים מקבוצת BlackShadow למערכות חברת הביטוח שירביט התבררה כפריצת ענק, ונראית ככזאת שמסכנת את לקוחות החברה וככל הנראה גם אזרחים שאינם נמנים עם לקוחותיה. הדיווחים הרבים אודות הפריצה חסרת התקדים מותירים שאלות רבות על משמעויותיה ואופייה המסתורי. זאת, בעוד הדלפת פרטיהם האישיים של לקוחות החברה נמשכת. מה הוא המניע של העומדים מאחורי הפריצה, מה הם בדיוק רוצים ומה שווי מאגר המידע שנמצא בידיהם? כל התשובות לשאלות הבוערות אודות מחדל האבטחה.
אל תפספס
מי עומד מאחורי המתקפה?
בשלב זה לא ידועה זהותם של ההאקרים שביצעו אותה. על התקיפה לקחה אחריות קבוצת Blackshadow, אך זו אינה מזדהה כשלוחה של מדינה או קבוצה עם אג'נדה כלשהי מאחוריה. עם זאת, מידע שכן מצביע על שיוך כלשהו של אותם האקרים, הוא תיוג ה-"OPIsrarl" שצירפו לאחד הפרסומים של פרטי המידע בעמוד הטלגרם שלהם. פירוש התיוג הוא "מבצע ישראל", מתקפות סייבר שמתבצעות מדי שנה ובהן מעורבים פעילים ערבים ומוסלמים.
איזה מידע נחשף בעקבות הפריצה?
על פי הפרטים שפרסמו ההאקרים, נראה כי הם הצליחו לשאוב מידע ממאגר רחב של מבוטחי חברת הביטוח שירביט, ואף תכתובות מייל פרטיות שכללו: פרטי תעודות זהות, לרבות צילומים מלאים, מספרי כרטיסי אשראי, כתובות של לקוחות, שמות מלאים, מסמכי היעדר תביעות, אישורי היעדר תביעות של לקוחות, והקלטות ממוקד השיחות.
לאחר הפריצה, שירביט מיהרה לפרסם הודעה לפיה לא נגרם נזק ללקוחות. עם זאת, פרט מידע כתאריך הנפקת תעודת זהות משמש לעיתים כאמצעי זיהוי משני באתרים ממשלתיים וגופים פיננסיים - מידע פרטי שעשוי לפגוע באזרחים שפרטיהם יפורסמו. בשיחה עם וואלה! NEWS קבוצת ההאקרים טענה כי הודלף מידע רב במשקל טרות רבות (אלפי ג'יגה בייט). כמו כן, שירביט זכתה במכרז מטעם המדינה כבר בשנת 2012, ובין לקוחותיה ניתן למצוא עובדי מדינה ועובדי עיריות. החשש הוא כי יודלף מידע בעניין עובדי מדינה. שכוללים בין היתר עובדים ביטחוניים, הינו גדול ועשוי להיות סיכון ביטחוני משמעותי.
כיצד בוצעה הפריצה?
לא ברור עדיין כיצד בוצעה הפריצה - אם באמצעות פישינג תוך ניצול גורם שמורשה לחדור למערכות החברה, או אם באמצעות ניצול פרצת אבטחה בשרתי החברה. עם זאת, למרות ששיטת הפריצה המדויקת עוד לא התבררה, ההאקרים הצליחו ככל הנראה להגיע לכמות עצומה של מידע במשקל מאות טרה-בייט, ובסוגי קבצים שונים: טקסט, תמונות או הקלטות.
כיום, ישנם אמצעים המאפשרים הורדת מידע תוך דקות, אך אין להוציא מכלל אפשרות שהפורצים הורידו את המידע בחלקים, כל פעם פרט אחר, ולא בהכרח הכול בבת אחת. כך שייתכן והורדת הקבצים נעשתה במשך חודשים או שבועות. עם זאת, בשלב זה לא פורסמו הפרטים אודות הפריצה, ומדובר בהערכות בלבד.
מה אפשר לעשות עם המידע שהודלף?
באמצעות המידע שהושג על ידי ההאקרים ניתן לבצע התקפות פישינג מתוחכמות, אך חומרת ההתקפה תשתנה בהתאם לזהותו וסיווגו של אותו אדם שפרטיו נלקחו. אם מדובר בפרטיו של עובד מדינה שלו גישה לחומרים רגישים - משמעות הפריצה תהיה קשה יותר.
בפריצה למערכת שירביט מדובר בהדלפה משמעותית, שכוללת לא מעט פרטים אישיים, לרבות כתובת המייל, תעודות זהות, כתובות מגורים ואף מספרי טלפון, חלקם של עובדי מדינה. כשיודעים את המייל האישי, ולצדו פרטים מזהים, ניתן לפנות אל אותו אדם בצורה מתוחכמת ואולי אף לאפס לו סיסמאות הכוללות פרטים אישיים ולאחר מכן לעשות בהן שימושים שונים.
מה שווי מאגר המידע שהושג בפרצה?
ייתכן והמאגר שווה בין עשרות אלפי דולרים למיליונים בודדים. הכול תלוי בתנאים ובמידע שאותו מחזיקים ההאקרים. מאגרים גדולים נמדדים לפי איכות ההרכב שלהם: כמות האזרחים שפרטיהם הושגו, סוג המידע על כל איש ואיש וזהות האדם בו מדובר (עיסוקו, סיווג ועוד). שווי המאגר הוא נעלם גדול, אבל הוא בוודאי שווה הון רב.
האם מבוטחי שירביט צריכים להחליף כרטיס אשראי?
יש לצאת מנקודת הנחה שעד להודעה אחרת הפרטים נמצאים בידי האקרים, ולכן יש גם להגיב בהתאם. כלומר, אם החברה מחזיקה בפרטי האשראי של הלקוח, עליו לבדוק תנועות חשודות בכרטיס, כמו גם כניסות לא מורשות לחשבון הבנק.
כמו כן, אם יש סיסמה המכילה פרטים אישיים כמו שמות ילדים או תאריך לידה - יש להחליפה בהקדם כיוון שהמידע כנראה בידי ההאקרים. עוד יש לשים לב שאין פעולות שנעשות ביחס לפוליסת הביטוח מבלי שיש שיחה אישית עם הסוכן וזיהוי אישי שלו. ובאופן כולל, על הלקוחות לחשוב באילו פרטים אישיים עשויים ההאקרים להחזיק ולפי כלל זה לנקוט במשנה זהירות.
האם הודלפו פרטיהם גם של אזרחים שאינם מבוטחים בשירביט?
ככל הנראה כן. האקרים כבר הדליפו התכתבות עם שמאי, שאינו מבוטח בחברה, שכוללת מסמכים הנוגעים לתאונת דרכים. ניתן לשער שאם מבוטח של חברה אחרת פגע במבוטח של חברת שירביט, ופרטיו של מבוטח זה בחברה חיצונית הועברו במייל לשירביט, אז גם פרטיו דלפו ונמצאים בידי האקרים.
האם המדינה יכולה לפעול נגד שירביט בעקבות המחדל?
בשלב זה עוד לא ברור כיצד התרחשה הפריצה, והאם מדובר במחדל של שירביט עצמה כחברה, פריצה מתוחכמת שלא ניתן היה למנוע אותה, או לחלופין עובד עם גישה לפרטי המידע שנפל למתקפת פישינג מתוחכמת. כשפרטים אלו ייחשפו, רק אז ניתן יהיה לקבוע אם ייפתחו הליכים במישור הפלילי נגד שירביט או אדם מטעמה.