פיקוד העורף הגל השקט

הגדרת ישובים להתרעה
      הגדרת צליל התרעה

      נושאים חמים

      חמור ממה שחשבתם: מה לא סיפרו לנו על הדליפה של PayBox?

      בשבוע שעבר, משתמשי PayBox התעוררו להודעה מוזרה כי בעקבות תקלה, פרטים רבים דלפו, אך הם אינם "מהווים סיכון למשתמשים". ארבע תביעות חדשות נגד בנק דיסקונט חושפות את המחדל, ועל כך שהבנק ידע על הפירצה במשך עשרה ימים, וזה לא הכל. כל מה שאתם צריכים לדעת על הדליפה

      חמור ממה שחשבתם: מה לא סיפרו לנו על הדליפה של PayBox?
      עריכה: טל רזניק

      בסרטון: מפקחת על הבנקים מדברת בשנה שעברה: "לא היו אירועי סייבר גדולים במערכת
      הבנקאית בארץ, אירועים קטנים מתרחשים כמעט כל יום"

      בשבוע שעבר, התעוררו משתמשי אפליקציית PayBox של בנק דיסקונט להודעה מוזרה מהבנק, שהמתינה בתיבת הדואר האישית שלהם. "עדכון מ-PayBox" כך נכתב שם, "רצינו לעדכן אותך שאיתרנו תקלה בשרת חדש שהתקנו. התקלה תוקנה באופן מלא, שעות ספורות אחרי שהתגלתה, והאפליקציה בטוחה לשימוש". מתברר כי מסיבה לא ברורה, מידע דלף משרתי האחסון של הבנק. באותו המייל שנשלח ללקוחות לא פירטו על המידע שדלף, אלא כתבו בכלליות כי "לאחר בדיקה יסודית ומעמיקה, אנחנו יכולים לומר שהמידע שנחשף אמנם כלל חלק מפרטי המידע הקיימים באפליקציה, אך הוא לא כלל פרטי מידע שהשימוש בהם עלול להסב לך נזק כספי". אבל האם בדיסקונט מנסים להמעיט בגודל הנזק שנגרם? ומדוע קולן של הרשויות האמונות על הגנת האזרח, שהוקמו בדיוק עבור מצבים אלו, לדוגמת מערך הסייבר, לא נשמע?

      בעמוד הפייסבוק שלהם, דיסקונט פירטו על המידע שדלף מאפליקציית PayBox, והבהירו כי מדובר בפרטים אישיים כמו: מספר טלפון, שם ו-4 הספרות האחרונות של אמצעי התשלום המעודכן באפליקציה. "מידע שלא יסב נזק כספי", כתבו, אלא שמבדיקה שלנו נראה כי דווקא עם המידע שדלף, ניתן לעשות הרבה יותר ממה שאתם, ונראה שגם הם, חושבים.

      paybox (צילום מסך)
      חמור ממה שחשבתם: מה לא סיפרו לנו על הדליפה של PayBox? (צילום מסך)

      "הסכנה הטמונה בהצלבת המאגרים"

      "יש לך שם של בן אדם ו-4 ספרות אחרונות של אמצעי התשלום שבבעלותו. כביכול זה אומר שאין לך הרבה, אבל דברים מסתדרים. כמה מאגרים נפרצים, ויחד אפשר להצליב את המידע. לדוגמה, אפשר להצליב כתובת, מספר טלפון, שם ואז תחשוב על כל האינטרקציות היומיומיות שיש לך עם הבנק, ספקית האינטרנט או הכבלים ועוד", אמר לנו יניב מלר, חוקר בכיר העומד בראש מחקר הליבה בחברת Forter הישראלית, מהמובילות בתחום מניעת הונאות סחר אלקטרוני. "אחת מהשאלות העיקריות שחברות בדרך כלל שואלות היא 'מה ארבע הספרות האחרונות של האשראי עמו שילמת את החשבון?'. מדובר בשאלת הזדהות המבוססת על ידע, שכביכול אמור להיות רק לבעל החשבון. משמע שבפועל מדובר במידע שאפשר להשתלט איתו על חשבונות", הסביר לנו.

      "מה שמסוכן מאוד זו השתלטות על הקו הסלולרי של הלקוח", אומר מלר. "ברגע שמצליחים לעשות את זה עם חברת סלולר, ניתן להזמין כרטיס סים עם אותו המספר כמו הטלפון הנוכחי, להפעיל אותו, ולעקוף את האימות הדו-שלבי באינספור אפליקציות בקלות". כך לדוגמה, גוגל, ווטסאפ ואפילו הבנק, מפעילים אימות דו-שלבי, ועל ידי השתלטות על הקו, ניתן לעקוף אותו בקלות. המשתמש הממוצע עלול לחשוב שמדובר בתקלה זמנית ברשת הסלולרית, אולם מספיקה דקה אחת על מנת לקבל את הודעת הסמס ולהשתלט על החשבונות. "השלב הבא זה לפרוץ דברים יותר גדולים. חשוב לזכור כי מאגרים נפרצים כל הזמן, אז מהמאגר הבודד אולי לא ניתן לעשות הרבה, אבל עם שילוב בין המאגרים, הנזק עלול להיות אדיר".

      Paybox (צילום מסך)
      ״לצערנו בעקבות התקלה דלף מידע חלקי״. (צילום מסך)

      אז מה לעשות עכשיו?

      יש לציין שבשלב זה נראה כי המאגר אינו זמין לרכישה בדארק-נט ("הרשת האפלה", כזו שלא נגישה לצרכן הממוצע, נחשבת למאובטחת ומאפשרת מכירת מאגרי מידע פרוצים, כרטיסי אשראי, נשקים וסמים). ייתכן כי בחודשים הקרובים המאגר יתפרסם ויהיה זמין להורדה ללא תשלום כלל, אמר מלר. עוד מלר ציין כי במידה ואתם משתמשים בשירות שכולל תשלום חודשי והזדהות עם ארבע ספרות אחרונות כמו חשבון סלולרי, מומלץ שתחליפו את האשראי אצל אותה חברה. מי שרוצה להיות בטוח לחלוטין יכול להתקשר לחברת האשראי ולבקש שינפיקו אחד חדש בעקבות חשש משימוש לא תקין.

      מדוע חיכו בדיסקונט 10 ימים בטרם הודיעו לציבור על התקלה?

      ביום חמישי האחרון הבנק הודיע כי הוגשו נגדו ארבעה כתבי תביעה: על סך של 850 מיליון שקלים, 500 מיליון שקלים, 25 מיליון שקלים ו-2.5 מיליון שקלים. "עניינן של הבקשות הינה תקלה בהתקנת שרת באפליקציית התשלומים פייבוקס. תקלה אשר הבנק מסר עליה דיווח מיידי ביום 29.01", כתבו בהודעה ששחררו לבורסה לניירות ערך. אלא שמאותו הדיווח שבוצע לבורסה מתגלה פרט נוסף, ונראה כי בדיסקונט ידעו על דבר הפירצה במשך עשרה ימים טרם הוחלט לדווח על כך למשתמשים. לשם השוואה, בתקנות ה-GDPR האירופאיות המחמירות, יש לדווח לציבור בתוך 72 שעות.

      בנק דיסקונט (שי מכלוף)
      מדוע חיכו עשרה ימים בטרם הודיעו לציבור על התקלה? (צילום: שי מכלוף)

      אזי, בהינתן בכך שבדיסקונט ידעו על הפירצה במשך עשרה ימים עד שבחרו להודיע לציבור, ובמקביל לא פירטו מהו המאגר שדלף, נראה כי הלקוחות והצרכנים צריכים לשאול עצמם מי שומר עליהם והיכן הם רוצים להפקיד את המידע האישי שלהם. ואלו לא השאלות היחידות שעולות מהתקרית הזו. מדוע למשל במערך הסייבר לא הוציאו הנחיות רלוונטיות לציבור? מבט חטוף בעמוד הפייסבוק של הגוף שאמון על ביטחון אזרחי ישראל במרחב הסייבר מעלה כי הארגון מתמקד בעיקר בקידום עצמי, וכלל לא טרחו שם לפרסם ולו פוסט אחד בדבר האירוע החריג הזה. מנגד, כשנפרץ חשבון האינסטגרם של המגישה גלית גוטמן, הגדילו לעשות ועלו עם פוסט דרמטי שכלל גם קישור לכתבה בנושא. עם כל הכבוד לגלית גוטמן, ויש כבוד, הדבר מעלה תהיות רבות לגבי תפקידו של מערך הסייבר ומידת יעילותו.