יומיות 24.12.2020: הפריצות לשירביט ולדג'ר

אם תשאלו אותי, אני צריך עכשיו שלושה חודשים חופש במקום מבודד.

אבל המציאות מאפשרת רק יומיים. שכרתי דירה בעיר העתיקה בוורשה, וזה הנוף הנהדר שנשקף מחלונה.

העיר העתיקה של וורשה

1. שנקל על פריצות למאגרי מידע של חברות, ונתחיל עם שירביט.

תזכורת: מאגר הלקוחות של חברת הביטוח שירביט נגנב. הוא כלל פרטים רגישים שיכולים להסב נזק כבד ללקוחות. הגנבים ביקשו סכום גדול, בביטקוין, תמורת המחיקה שלו.

שירביט שכרה "מומחי סייבר" שינהלו את המשבר. השיחות שלהם עם ההאקרים (שהודלפו ע"י ההאקרים), זכו למטח ביקורות ברשת, בעיקר בגלל סגנון המשא ומתן הישראלי שלפעמים נראה כאילו הם מניחים שהצד השני דביל מוחלט, ובגלל רמת האנגלית. תשפטו בעצמכם – חילוף ההודעות נמצא פה.

ההודעות הפומביות של שירביט רק הרעו את המצב. "אין בנתונים שהוצאו מידע שעלול לגרום נזק למבוטחינו" הם אמרו. "הפרטים המלאים של כרטיסי האשראי לא נגנבו" הצהירו. אמירות לא נכונות, שהוסיפו להרגשת החובבנות המוחלטת בניהול המצב.

השיחות נכשלו, ההאקרים הדליפו חלק מהמידע לרשת, אבל את רובו כנראה מכרו למישהו אחר.

אפשר לצחוק על "מומחי הסייבר" ששכרה שירביט כמה שרוצים, אבל מה הם יכולים לעשות? אפשר לצחוק על רמת האנגלית או סגנון המשא ומתן שלהם, אבל האם סגנון אחר ואנגלית אחרת הייתה מביאה לתוצאות אחרות?

מה אפשר לעשות במצב הזה? לא המון לדעתי.

תנסו לשכור מומחי אבטחת מידע? אם ההאקרים אפילו חצי-מקצועניים זה לא יביא לתוצאות. אפשר לשלם להאקרים, אבל מי יבטיח לכם שהמידע באמת ימחק? אפשר לנסות לשלם בביטקוין ואז לעקוב אחרי הביטקוין כדי לגלות מי ההאקרים. זה *אולי* יצליח, אבל לא משיג את מטרת מחיקת המידע.

מהרגע שהמידע דלף רוב הסיכויים שהוא ישאר דלוף, וכל תקנות אבטחת המידע בעולם לא יבטיחו שמידע לא ידלוף.

אופציה עתידנית מעניינת להתמודד עם הבעיה היא לעבוד למודל שפרוייקט Solid מציע.

פרוייקט Solid, שכבר הזכרתי בעבר, הוא נסיון של טים ברנרס לי, האיש שהמציא את אתרי האינטרנט, לפתור את עניין פרטיות המידע.

הרעיון של Solid הוא שהמידע שלכם *לא* ישמר אצל החברות, אלא אצל ספק מידע לבחירתם. זה אומר ששירביט לא תחזיק מידע של לקוחות, אלא תקבל גישה זמנית קצרה למידע כשהיא תצטרך אותו. ואז, אם שירביט נפרצת, אין כמעט מידע חשאי לגנוב ממנה.

מצד שני, תארו לכם מה יקרה אם אחד מספקי המידע יפרצו – והם יפרצו. אפשר אולי לדרוש שהספקים יחזיקו את המידע בצורה מוצפנת, אבל אז מה יקרה אם אנשים יאבדו את מפתחות ההצפנה? איך ישחזרו את המידע?

2. נמשיך עם פריצה אחרת לגמרי, שהתרחשה עכשיו ליצרנית ארנקי הביטקוין, Ledger.

בעולם הביטקוין יש משהו שנקרא "ארנק חומרה". זה מכשיר קטן וחזק ששומרים עליו כמויות גדולות של ביטקוין. היתרון שלו הוא שהוא עמיד – אמור להחזיק עשרות שנים – וגם מאובטח מאד. אפילו אם האקרים גונבים אותו עקרונית הם לא יוכלו להוציא את הביטקוין שיש עליו.

ארנקי חומרה נחשבים לדרך הכי בטוחה להחזיק ביטקוין. לרוב משתמשי ביטקוין הרציניים יש אחד כזה.

והנה – השבוע דלף מאגר הלקוחות המלא של אחת החברות הגדולות ביותר לייצור ארנקי חומרה: Ledger. המאגר כלל את פרטי הלקוחות שלה, מקום מגוריים ועוד כל מיני פרטים מזהים אחרים.

הנזק הפוטנציאלי פשוט עצום. להחזיק ארנק חומרה עם ביטקוין בבית זה כמו להחזיק מליוני דולרים מתחת למזרון. ברגע שהמידע דלף, פושעים יודעים לאיזה בתים לפרוץ כדי לגנוב את הארנקים שלהם. ומה לגבי זה שהארנקים מאובטחים? נו, אז הפורצים ייענו כמה דקות את דיירי הבית, עד שאלו יתנו להם את הקוד לארנק.

קומיקס של XKCD

כמה ימים אחרי הגניבה, כבר יש דיווח של לקוח שטוען שהוא קיבל איומי סחיטה שיחטפו אותו אם הוא לא יביא למאיימים את הארנק והקוד שלו.

באותו הזמן, טרזור, המתחרים העיקריים של Ledger, הודיעו שהם מוחקים את המידע של לקוחות תוך 90 יום.

ונקנח ביפן. שם יש מסורת יפה של "משלוח עיוור", בה השולח לא יודע את כתובת הלקוח, והלקוח לא יודע את כתובת השולח. טוב לפושעים, אבל טוב גם להגנת הלקוחות.

3. בפולין יש מסורת של גרפיטי ענקיים בגודל בניין שלם. The legend of giants, בביאליסטוק, הוא אחד המקסימים שבהם.

גרפיטי של אשה משקה עץ

4. חמישה לקחים כלליים חשובים שצריך ללמוד מההיסטוריה. כולם חשובים, כנראה שמרובם נתעלם. כתבה ארוכה אך נהדרת.

5. הסיפור על איך יזהר אשדות היה הראשון בישראל ששבר את הרשת.

6. לו היה צדק בעולם, גם החבר'ה האלה היו שוברים את האינטרנט הישראלית

7. בהוגו 2021 יוסיפו קטגוריות למשחקי מחשב. ויפה שעה אחת קודם!

8. סדרות האנימציה הטובות ביותר של 2020. יש שם כמה דברים טובים (lower decks, She-ra), כמה דברים מסקרנים, וגם את העונה הרביעית של ריק ומורטי, שקשה לתת לה קומפלימנטים חיוביים.

9. מזה כמה שבועות שעונג שבת, הטור השבועי המיתולוגי של גיאחה, חזר, ואתם חייבים לקרוא אותו!

10. סיכום קולנוע אימה 2020 של סריטה. מומלץ בחום.

4 תגובות

  1. מאיה הגיב:

    הבנתי מכמה מומחים אמיתיים,שחלק מהבעיה של רוב החברות המסחריות שהן משקיעות את המינימום האפשרי (רק מה שמחויבים בחוק) בהגנה.

    ושאלה, אין אפשרות ,להתיחס למידע כמו חיובי כרטיס אשראי, ואם מועבר הרבה בבת אחת לא לאפשר בלי הודעה לאחראי על ההגנה?

    • ניימן הגיב:

      מנסיוני גם מי שמשקיע נפרץ. הרי מאינטל ונינטנדו דלף רק לאחרונה מידע שהסב להם נזק אדיר, והם משקיעים המון מאמצים.

      לא בטוח שהבנתי את השאלה, תוכלי לנסח שוב?:)

  2. מאיר הגיב:

    קצת פרופורציות על שירביט
    פרצו לשרת הפקסים של החברה
    והורידו את כל ההיסטוריה שהלקוחות שלחו
    לא כל הלקוחות שם ולא כל הפרטים

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

Subscribe without commenting