וואלה
וואלה
וואלה
וואלה

וואלה האתר המוביל בישראל - עדכונים מסביב לשעון

וואלה דואר
קרא דואר

טכנולוגיה

/

חדשות

צרכנים, היזהרו בדבריכם: איך מוקדי שירות הפכו לכר נוח לגניבת פרטים רגישים

ניב ליליאן

עודכן לאחרונה: 20.5.2025 / 20:46

בעקבות אירוע דלף המידע מספק הקלטת שיחות של רשת המסעדות BBB מתחדדת הבעייתיות שבמסירת פרטי כרטיס אשראי בשיחה טלפונית שנשמרת כקובץ במאגר מידע. מה עושים? ניב ליליאן עם הפרשנות אחרי חשיפת "וואלה"

סניף של BBB. אסף לוי,
סניף של BBB/אסף לוי

אמש (שני) חשפנו כאן אני וינון בן שושן סיפור מדאיג: קבוצת האקרים טוענת שהצליחה לגנוב מיליון הקלטות שיחות וכחצי מיליון מספרים של כרטיסי אשראי מרשת מסעדות ההמבורגרים BBB. על אף שהמספרים האלה כנראה מוגזמים, העובדה היא שהאקרים בכל זאת הצליחו לשים ידיהם על כמות של קובצי הקלטות של שיחות של לקוחות הרשת, שככל הנראה נגנבו או דלפו מספק חיצוני - ולא ישירות ממערכות קבוצת המסעדות.

ברם, הבעיה שעולה ומתחדדת מהסיפור - היא המסירה בשיחה טלפונית של מספרי כרטיסי אשראי לנציג של חברה גדולה לצורך ביצוע עסקה (ושיחה כזו כוללת תמיד גם את כל אמצעי האבטחה, כמו מספר CVV, תוקף הכרטיס ותעודת הזהות של בעל הכרטיס...), כאשר השיחות האלה מוקלטות ונשמרות במאגרי החברות השונות "לצורך בקרה ואיכות השירות", כמו שאנחנו מרבים לשמוע בזמן ההמתנה לנציג... אם ההקלטות האלה נגנבות ודולפות, כמו במקרה שעליו דיווחנו כאן אמש, פרטי כרטיס האשראי המלאים שלנו בסכנת חשיפה - אפילו גדולה יותר ממסירה של פרטי כרטיס אשראי מאובטחת ומוצפנת בהזמנת אינטרנט או בסמארטפון. שם הנתונים לפחות מוצפנים, בשיחה טלפונית אנחנו מנדבים אותם בקולנו, וללא שום הצפנה.

בעידן הבינה המלאכותית, הסכנה הזו הופכת להיות גדולה שבעתיים - האקרים יכולים בקלות לקחת את קובצי ההקלטות שהשיגו, "לזרוק" אותם לתוך מודל בינה מלאכותית ולבקש ממנו למצות מההקלטות הקוליות את המספרים ופרטי האבטחה של הכרטיסים לקובץ אקסל יפה ומסודר, שיהיה להם מוכן בתוך דקות. זה לא שהם צריכים לשבת עם אוזניות, להאזין להקלטות אחת אחת ולרשום את הפרטים עם עיפרון... (למרות שגם זה אפשרי). הליכי האוטומציה שבאים להקל על חיינו, גם מקלים על שחקנים זדוניים לעשות מעשים זדוניים.

מה אפשר לעשות?

פנינו בעניין הזה לרשות להגנת הפרטיות, שסוגיות כאלה ושמירה על הפרטיות של כולנו הן בתחום אחריותה וקיבלנו את התשובה הבאה: "המקרה מצוי בימים אלה בבחינה של הרשות להגנת הפרטיות, במסגרת הליך אכיפה שנפתח בעקבות דיווח יזום של רשת BBB לרשות, כמחויב בחוק. במסגרת ההליך נבדקת בין היתר עמידת הרשת וגופים נוספים בדרישות תקנות הגנת הפרטיות (אבטחת מידע).

מבלי להתייחס לנסיבות המקרה הספציפי, חשוב לציין שככלל, פרטי כרטיס אשראי מוגדרים כ-'מידע רגיש' - איסופם ושמירתם מותנים בהסכמת הלקוח, וכן בהטמעת אמצעי הצפנה ובקרות גישה נאותות. לפיכך, רשאי הלקוח לסרב למסירת הפרטים המוקלטים ולבחור במסלול רכישה חלופי, ככל שישנו, כמו רכישה אונליין".

ומה שאמרה לנו הרשות להגנת הפרטיות בשפה רשמית, אני אחזור עליו כהמלצה וטיפ בשפה פחות רשמית: אם אתם מתקשרים לחברה המקליטה את השיחות שלכם כשאתם למשל מזמינים פיצה או פוליסת ביטוח, כשמגיע השלב שבו מבקשים מכם את פרטי כרטיס האשראי - זכותכם לבקש מהנציג להפסיק את הקלטת השיחה כדי שפרטי כרטיס האשראי שלכם לא יישמרו אצלם ויהיו מוגנים או להשלים את התשלום בדרך מאובטחת אחרת - כמו לשלם דרך אתר האינטרנט. או פשוט, להזמין ישירות באינטרנט (ולוודא שעמוד התשלום מוצפן ומאובטח!).

על אף שהאירוע הקשור לרשת BBB הוא מטריד, אין צורך בפאניקה. מה שכן, חשוב תמיד להיות עירניים לחיובים מוזרים בכרטיס האשראי ולחשוב פעמיים לפני שאתם עונים לשאלה: "מה מספר כרטיס האשראי?"

  • עוד באותו נושא:
  • bbb
  • סייבר

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    walla_ssr_page_has_been_loaded_successfully