מפרשת שירביט ועד הפריצה לאטרף: לרשות הפרטיות אין כוח, המשתמשים חשופים, וההאקרים חוגגים

בלאק שאדו, שאחראית להפלת שורה של אתרים וחשיפה של אלפי פרטים של ישראלים, נהנית מהרגולציה החלשה • למה הקנס שניתן לחברות שאמורות לדאוג להגנה אינו מספיק, ומה יכולים לעשות המשתמשים שפרטיהם נחשפו

מתקפות סייבר / צילום: Shutterstock
מתקפות סייבר / צילום: Shutterstock

האם ניתן היה למנוע את פריצת הסייבר שחשפה את פרטיהם האישיים של עשרות אלפי ישראלים ופרטים אישיים על מאות משתמשי אטרף? התשובה העצובה היא שכנראה שכן.

מערך הסייבר הלאומי במשרד ראש הממשלה הזהיר, לפי הודעתו, מספר פעמים את חברת סייברסרב, דרכה בוצעה הפריצה לאתרים ומאגרי המידע, אך לא עשה כך נראה מעבר כדי למנוע את המחדל המתגבש. הרשות להגנת הפרטיות במשרד המשפטים עודכנה על העניין רק לאחר הפריצה, לפי הודעתה. ומחלקת הסייבר בפרקליטות המדינה הצליחה רק אתמול (א') בשעות אחרי-הצהריים לגרום לחסימת ערוץ הטלגרם ממנו פורסם המידע האישי בשבת. כל זה יכול היה לעבוד טוב יותר ולא בטוח שכך יקרה גם בפעם הבאה.

הכול החל בסוף השבוע, אז הופלו מהרשת שורה ארוכה של אתרים ישראלים, החל מאתר כביש חוצה ישראל, דרך אתרי חברות דן וקווים, החברות דלתא גליל וניופאן ועד לאתר ההיכרויות אטרף. כל אלה ורבים אחרים נותרו לא זמינים ברובם מאז. הפריצה אליהם בוצעה דרך חברת סייברסרב (Cyberserve) שבנתה את האתרים. האתרים אוכסנו על שרתים של חברת נטוויז'ן. לפי נטוויז'ן, היא סיפקה לסייברסרב שירות אירוח שאינו כולל אבטחת סייבר.

מי שלקחה אחריות להפלת האתרים היא קבוצת בלאק שאדו, (Black Shadow) שהייתה אחראית גם לתקיפת חברת הביטוח שירביט בדצמבר האחרון וחברת מימון הרכב ק.ל.ס קפיטל במרץ השנה. כבר ביום שבת החלה הקבוצה לפרסם מידע אישי על עשרות אלפי ישראלים, כולל שמות, מספרי תעודות זהות, טלפונים וכתובות מייל.

הטלגרם של בלאק שאדו, שחוגג את התקיפה המוצלחת בסופ"ש
 הטלגרם של בלאק שאדו, שחוגג את התקיפה המוצלחת בסופ"ש

המידע הרגיש ביותר שפורסם הוא כ-1,000 רשומות מאתר ההיכרויות לקהילה הגאה אטרף, הכוללות פרטים אישים על משתמשים כולל מספרי טלפון ומיילים, העדפות מיניות שלהם, סטטוס HIV וסיסמאות לא מוצפנות שלהם. הקבוצה איימה כי מדובר רק בחלק קטן מתוך כמיליון פרטי מידע שיש באתר.

מיהי קבוצת בלאק שאדו?

מחקר שפרסמה חברת הסייבר סנטינל וואן טען כי בלאק שאדו הייתה אחראית גם לפריצה לשרתי אוניברסיטת בר-אילן באוגוסט וכי מאחוריה עומדת קבוצה איראנית בשם Agrius . לפי המחקר, אף שהקבוצה דורשת תשלום כופר - למשל כופר של מיליון דולר שהיא דרשה בערוץ הטלגרם בתקיפה הנוכחית - המניע העיקרי שלה הוא פגיעה ויצירת הד תקשורתי. עם זאת, קשה לומר האם מדובר בקבוצה שמופעלת על ידי השלטון האיראני או פועלת באופן עצמאי.

מיהם בעלי סייברסרב?

על פי רשם החברות, סייברסרב היא בבעלות משפחת הבר, חברת אלתם אלקטרוניקה והמכון להכשרה בתחום האלקטרוניקה ומערכות המידע רמה. בנוסף לפעילותה כמקימת אתרים, סייברסרב היא גם המפעילה של אתר אטרף. איל הבר, מנכ"ל סייברסרב, הוא ממייסדי אתר אטרף, אותו הקים בשנת 2000 יחד עם ניר צדיקריו כאתר הכרויות לסטרייטים ולהט"בים. עם הזמן התמקדה האפליקציה בקהילת הלהט"ב והפכה גם לאפליקציה למכירת כרטיסים למסיבות ואירועים של הקהילה הנערכים בארץ.

איך הגיבה סייברסרב?

החברה שמרה על שתיקה לאורך סוף השבוע, מלבד הודעה לקונית בעמוד הפייסבוק שלה שבה טענה כי שיתפה פעולה באופן מלא עם מערך הסייבר כדי לסיים את האירוע.

עם זאת, במערך הסייבר ציינו כי הזהירו את החברה מספר פעמים בשנה האחרונה על היותה חשופה לתקיפה. גם עידו נאור, מומחה סייבר והמנכ"ל והבעלים של חבר, Security Joes, הזהיר את החברה על חשיפה שלה לתקיפה איראנית ב-2019. לדבריו, ראשי החברה חסמו את החולשה עצמה, אך כאשר הוא אמר להם שצריך לחסום רוחבית ולהטמיע הגנות - הם התעלמו.

מאחורי הקלעים שכרה סייברסרב את חברת "קוד בלו" של רפאל פרנקו, לשעבר סגן ראש מערך הסייבר הלאומי, כדי לטפל במשבר. כרגע הפעילות מתמקדת בסריקה וניקוי של השרתים שנפרצו, לפני שהאתרים יועלו חזרה לאוויר. תהליך כזה יכול לקחת מספר ימים.

האם האתרים שנפרצו יענשו?

הרשות להגנת הפרטיות במשרד המשפטים היא הגוף היחיד בארץ המחזיק בסמכויות אכיפה בתחום רשלנות בשמירה על פרטי משתמשים, אלא שה"שיניים" שלה חלשות ביותר. בעוד שנציבי פרטיות באירופה שמונו במוסדות האיחוד האירופי יכולים לקנוס חברה בעד 4% ממחזור המכירות שלה על עבירה הקשורה בהתנהלות מאגרי המידע שלה, הרשות להגנת הפרטיות בישראל יכולה להטיל על חברה קנס של 25 אלף שקל לכל היותר. בנוסף, הרשות להגנת הפרטיות בישראל היא גוף המנוהל על ידי ממלאת מקום ולא על ידי מנהל במשרה מלאה.

סמכויות החקירה שלה לא קודמו באופן מלא, ויכולתה לאפשר התגוננות מפני מתקפת סייבר לא מספקת.

ומה עם מערך הסייבר?

תפקידו של מערך הסייבר הוא להגן על תשתיות לאומיות ואין לו סמכות לאכוף כללים על חברות פרטיות. מערך הסייבר אמנם שולח אזהרות לחברות החשופות לפריצה, אך אינו מחייב אותן לסגור את אלו ואינו מביא את החולשות הללו לידיעת הציבור.

מערך הסייבר מנסה לקדם את הרחבת סמכויותיו. לפי טיוטת חוק הסייבר שפורסמה בפברואר השנה, המערך יוכל להורות על ביצוע פעולות גם לגופים אזרחיים שמקיימים פעילות חיונית או פעילות ציבורית. לדעת עו"ד יהונתן קלינגר, המתמחה בדיני מידע דיגיטלי ופרטיות ופעיל בארגונים שונים בנושא, הרחבה כזו אינה חיובית.

"הרצון של מערך הסייבר לדחוף את עצמו קדימה לתוך תחום ניהול המאגרים הפרטיים איננו בריא, כיוון שהוא יעודד חברות פרטיות לסמוך את ידן על הרשויות במקום שהן עצמן יהיו אחראיות לביטחון המאגרים והמידע שהן שומרות", אומר עו"ד קלינגר. "מערך הסייבר מנסה לשאוב לעצמו עוד כוחות שלא בצדק, ולא הייתי רוצה לראותו מקבל סמכויות חקירה ואכיפה. במקום הייתי רוצה רשות להגנת פרטיות חזקה יותר, כפי שהדבר קורה באיחוד האירופי".

אם פרטיי נחשפו, האם אוכל לתבוע את בעלי המאגר?

השאלה הבעייתית היא לתבוע את מי. במסגרת תביעה ייצוגית על בסיס חוק הגנת הצרכן, נותן השירות, למשל חברת קווים, יטען כי האחריות נופלת על מאחסנת האתרים סייברסרב, ואילו סייברסרב תטען כי אין בינה לבין הנפגעים יחסי עוסק-צרכן כלשהם. תביעה נגד אתר אטרף במקרה זה יכולה להיות קלה יותר כי הוא גם שייך לחברת סייברסרב. בכל מקרה גם אם תאושר תביעה נגד סייברסרב, עדיין יידרש להוכיח בבית המשפט שזו התרשלה בתפקידה.

לדברי פרופ’ מיכאל בירנהק, מומחה לפרטיות מאוניברסיטת תל אביב, חוק הגנת הפרטיות ותקנות הגנת הפרטיות שנכנסו לתוקף ב-2018 מגדירים שורת צעדים שצריכות חברות המחזיקות מאגרי מידע לנקוט. חוקים אלו יחסית מתקדמים, אך עדיין מנוסחים בצורה כללית. כך למשל, התקנות דורשות שימוש בשיטות הצפנה מקובלות, אך לא מפרטות אלו. "כדי להוכיח רשלנות, צריך יהיה להביא מומחים שיאמרו מהן השיטות המקובלות בעולם והאם החברה עמדה בהן", הוא אומר. "אם אכן החברה קיבלה אזהרות ממערך הסייבר ולא טיפלה בהן, זה יעמוד נגדה".

מה כדאי לוודא לפני הרשמה לשירות רגיש?

לדברי דניאל כהן, חוקר בכיר במרכז הסייבר באוניברסיטת תל אביב וראש תכנית מדיניות וטכנולוגיה במכון אבא אבן, המרכז הבינתחומי, "עליך לוודא שהן בממשק הרישום (שבו הנך מקליד את פרטי המשתמש שלך) והן בממשק התשלומים - כתובת האתר מתחילה ב- HTTPS - מה שמעיד על פריסת טכנולוגיה המוודאת את אמינותו ומסייעת בהגנה אישית מפני אתרים זדוניים. אם מדובר באתר זר, מומלץ לשוטט ולקרוא את עמוד הפרטיות שמסביר אילו נתונים נאספים והיכן הם נשמרים. ככלל, אתרים אירופים בתחום אמורים לשמור על כללי הפרטיות המחמירים ביותר, לפי תקנות GDPR האירופאיות".

סייברסרב לא השיבה לבקשות גלובס לתגובה.

רשימת האתרים שהורדו מהרשת

כביש חוצה ישראל
דן
קווים
מכון מור
ניופאן
דלתא גליל
האגודה למלחמה בסרטן
ארגון תגלית
מוזיאון הילדים בחולון
טורנדו מזגנים
תאגיד מי נתניה
הבלוג של תאגיד השידור הציבורי
אטרף
המוזיאון לאמנות האיסלאם
חברת החקירות דיאמונד אינטליג'נס
המכללה האקדמית הערבית