האם אכן נחשפו ברשת נתוניהם האישיים של 7 מיליון ישראלים, או שמדובר בבלוף?
משתמש אנונימי פתח ערוץ טלגרם חדש, בו הוא טוען שפרץ לשרתי אתר רשויות מקומיות וגנב מידע אישי. מומחי סייבר טוענים כי מדובר בנתונים של פריצה ישנה, ושהמטרה היא להביך את ישראל
מנדי קוגוסובסקי
| 09/09/2021
צילום מסך, טלגרם
הכול התחיל ביום ראשון השבוע, כאשר משתמש אנונימי פתח ערוץ טלגרם חדש תחת השם Sang Kancil Leak Israel, ופרסם את ההודעה הראשונה (באנגלית) בזו הלשון: ״הצלחתי להשיג גישה למידע הרגיש של הרשויות הישראליות. עקבו אחרי למידע נוסף״. בהמשך כתב כי ״שרתי רשויות מקומיות בישראל נפרצו! פרטי הרכוש והזהות של למעלה מ-90% מאזרחי ישראל פורסם בפורומים למכירה״, צירף לינקים לכמה פורומים ידועים של הדלפות, וגם פרסם כהוכחה תמונות של תעודות זהות, רישיונות רכב וקבלות שונות. במהלך החג העלה תמונה של תפוח בדבש וציין את המחיר: ביטקוין אחד (כ-150 אלף ש״ח) עבור המידע כולו.
לטענת המשתמש האנונימי, שכבר נהנה מלמעלה מ-4000 עוקבים, הוא השיג את המידע באמצעות פריצה לשרתי אתר City4U, באמצעותו גובות הרשויות המקומיות תשלומים שונים דוגמת ארנונה, מים וקנסות. בהנחה שנתונים על שבעה מיליון ישראלים אכן נמצאים בידי המשתמש, הרי שמדובר באירוע החמור מסוגו שאי פעם התרחש בישראל.
ואולם, כתב Ynet טל שחף מצטט גורמים בתחום הגנת הסייבר, שטוענים כי מדובר במסמכים שהושגו בפריצה לעיריית הרצליה בסוף השנה שעברה ולא בתקרית חדשה. ואכן, עיון בתמונות תעודות הזהות והמסמכים האחרים שפורסמו בערוץ הטלגרם של המשתמש, מראה כי רובם ככולם שייכים לתושבי הרצליה. עם זאת, המשתמש פרסם קבצים עם פרטים של כאלף אזרחים (שמות, תאריכי לידה ומספרי טלפון) המתגוררים בתל אביב ובערים נוספות בשרון. כלומר, עדיין לא ברור אם הנתונים בהם הוא אוחז הם חדשים, או שהמטרה היא פשוט להביך את ישראל (אינדיקציה לאפשרות השנייה ניתן אולי למצוא במחיר הכופר הנמוך).
אז מי המשתמש? ובכן, Sang Kancil הוא דמות של איילון זוטר (עכבר-צבי) ערמומי ורמאי שמככב בפולקלור האינדונזי והמלזי. על פי פרסומים גלויים, ישראל סיכלה בעבר מתקפות של האקרים ממדינות אלה. בסגנון קנטרני ומשועשע, מלווה בוויזואליה מוגזמת של האקרים ממאגרי תמונות, הוא מתייחס לחגי ישראל ול״מתנות״ שהוא מעניק בפרסום הקבצים. ההודעה האחרונה שפרסם, נכון לכתיבת שורות אלה, הייתה לאחר צאת החג אמש, כאשר הבטיח לשחרר מידע אישי על ישראלים נוספים, מתוך כשבעה מיליון שפרטיהם כביכול נמצאים ברשותו. ״אל תדאגו, אתן לכם מתנה גם ביום כיפור”, כתב.
חברת אוטומציה החדשה, שמפעילה את אתר City4U, מסרה הודעה לתקשורת: ״החברה מתחקרת את הטענות לדלף מידע ממערכת City4U מאז פורסמו לראשונה בערב החג, ונמצאת בקשר שוטף עם מערך הסייבר הלאומי. בבדיקות שנערכו עד כה, לא זוהתה כל חדירה למערכת ולא מן הנמנע שמדובר במידע ישן ומוגבל בהיקפו. ככלל, יש לציין כי מערכת City4U מחזיקה נתונים של כמה מאות אלפי ישראלים לכל היותר, ולא בסדרי הגודל שהזכיר התוקף בהודעתו.
״אוטומציה החדשה משקיעה משאבים רבים באבטחת מידע והינה מוסמכת תקן אבטחת המידע ISO 27001. החברה עורכת באופן תדיר סקרי סיכונים ומבדקי חדירה, ומקיימת בקרות שוטפות של חדירות המערכות שלה לפריצות סייבר. אנו ממשיכים בחקירת האירוע ונעדכן ככל שיהיו ברשותנו ממצאים חדשים".
"ככל שהטענה של התוקף תתברר כנכונה, מדובר במקרה נוסף וחמור במיוחד של דלף מידע אשר מצביע על היעדר אמצעי אבטחת מידע ותהליכים נאותים", מסר יוסי רחמן, ראש קבוצת המחקר של סייבריזן. ״ארגונים המחזיקים במידע אישי ורגיש שכזה צריכים לאתר ניסיונות תקיפה, להגיב אליהם ולחסום אותם בזמן אמת. תחקורים בדיעבד הם חשובים אך מרגע שהמידע הגיע לידיים בלתי מורשות, הסוסים כבר ברחו מהאורווה והנזק כבר נגרם. קיימות כיום טכנולוגיות לזיהוי ועצירה של מתקפות מסוג זה בזמן אמת, רבות מהן, פרי פיתוחן של חברות ישראליות או מרכזי פיתוח ישראליים".
נמרוד וקס, מייסד ומנהל מוצר בחברת BigID, שפיתחה פלטפורמה לניהול ואכיפה של מדיניות ופרטיות המידע ברשת, מוסיף כי ״הפריצה האחרונה מדגישה את הצורך והמחסור בארץ בשקיפות לגבי המידע שנאגר עלינו כאזרחים, חוסר השליטה שלנו על איזה מידע נשמר עלינו ונעשה בו שימוש. תקנות פרטיות בעולם מחייבות עסקים לספק את השקיפות והשליטה במידע הפרטי שלנו במסגרת זכויות אזרח בסיסיות. לצערנו עדיין לא בחוק בישראל ולא הראשונות המקומיות. כאזרח וכצרכן, תנו לי את היכולת לדעת איזה מידע נאסף עלי ואת הזכות לבקש להמחק״.
ממערך הסייבר הלאומי נמסר: ״מהאינדיקציות העולות בשלב זה ידוע על מידע מצומצם ולא עדכני על תושבי עיר אחת, ובוודאי לא מיליוני רשומות. מקור הדלף ממשיך להיבדק״. מהרשות להגנת הפרטיות נמסר כי הנושא מוכר לה ונמצא עדיין בבדיקה. פרטים נוספים ותגובות נוספות של גורמים רשמיים יתעדכנו כאן ככל שיתקבלו.
משתמש אנונימי פתח ערוץ טלגרם חדש, בו הוא טוען שפרץ לשרתי אתר רשויות מקומיות וגנב מידע אישי. מומחי סייבר טוענים כי מדובר בנתונים של פריצה ישנה, ושהמטרה היא להביך את ישראל
צילום מסך, טלגרם
הכול התחיל ביום ראשון השבוע, כאשר משתמש אנונימי פתח ערוץ טלגרם חדש תחת השם Sang Kancil Leak Israel, ופרסם את ההודעה הראשונה (באנגלית) בזו הלשון: ״הצלחתי להשיג גישה למידע הרגיש של הרשויות הישראליות. עקבו אחרי למידע נוסף״. בהמשך כתב כי ״שרתי רשויות מקומיות בישראל נפרצו! פרטי הרכוש והזהות של למעלה מ-90% מאזרחי ישראל פורסם בפורומים למכירה״, צירף לינקים לכמה פורומים ידועים של הדלפות, וגם פרסם כהוכחה תמונות של תעודות זהות, רישיונות רכב וקבלות שונות. במהלך החג העלה תמונה של תפוח בדבש וציין את המחיר: ביטקוין אחד (כ-150 אלף ש״ח) עבור המידע כולו.
לטענת המשתמש האנונימי, שכבר נהנה מלמעלה מ-4000 עוקבים, הוא השיג את המידע באמצעות פריצה לשרתי אתר City4U, באמצעותו גובות הרשויות המקומיות תשלומים שונים דוגמת ארנונה, מים וקנסות. בהנחה שנתונים על שבעה מיליון ישראלים אכן נמצאים בידי המשתמש, הרי שמדובר באירוע החמור מסוגו שאי פעם התרחש בישראל.
ואולם, כתב Ynet טל שחף מצטט גורמים בתחום הגנת הסייבר, שטוענים כי מדובר במסמכים שהושגו בפריצה לעיריית הרצליה בסוף השנה שעברה ולא בתקרית חדשה. ואכן, עיון בתמונות תעודות הזהות והמסמכים האחרים שפורסמו בערוץ הטלגרם של המשתמש, מראה כי רובם ככולם שייכים לתושבי הרצליה. עם זאת, המשתמש פרסם קבצים עם פרטים של כאלף אזרחים (שמות, תאריכי לידה ומספרי טלפון) המתגוררים בתל אביב ובערים נוספות בשרון. כלומר, עדיין לא ברור אם הנתונים בהם הוא אוחז הם חדשים, או שהמטרה היא פשוט להביך את ישראל (אינדיקציה לאפשרות השנייה ניתן אולי למצוא במחיר הכופר הנמוך).
אז מי המשתמש? ובכן, Sang Kancil הוא דמות של איילון זוטר (עכבר-צבי) ערמומי ורמאי שמככב בפולקלור האינדונזי והמלזי. על פי פרסומים גלויים, ישראל סיכלה בעבר מתקפות של האקרים ממדינות אלה. בסגנון קנטרני ומשועשע, מלווה בוויזואליה מוגזמת של האקרים ממאגרי תמונות, הוא מתייחס לחגי ישראל ול״מתנות״ שהוא מעניק בפרסום הקבצים. ההודעה האחרונה שפרסם, נכון לכתיבת שורות אלה, הייתה לאחר צאת החג אמש, כאשר הבטיח לשחרר מידע אישי על ישראלים נוספים, מתוך כשבעה מיליון שפרטיהם כביכול נמצאים ברשותו. ״אל תדאגו, אתן לכם מתנה גם ביום כיפור”, כתב.
חברת אוטומציה החדשה, שמפעילה את אתר City4U, מסרה הודעה לתקשורת: ״החברה מתחקרת את הטענות לדלף מידע ממערכת City4U מאז פורסמו לראשונה בערב החג, ונמצאת בקשר שוטף עם מערך הסייבר הלאומי. בבדיקות שנערכו עד כה, לא זוהתה כל חדירה למערכת ולא מן הנמנע שמדובר במידע ישן ומוגבל בהיקפו. ככלל, יש לציין כי מערכת City4U מחזיקה נתונים של כמה מאות אלפי ישראלים לכל היותר, ולא בסדרי הגודל שהזכיר התוקף בהודעתו.
״אוטומציה החדשה משקיעה משאבים רבים באבטחת מידע והינה מוסמכת תקן אבטחת המידע ISO 27001. החברה עורכת באופן תדיר סקרי סיכונים ומבדקי חדירה, ומקיימת בקרות שוטפות של חדירות המערכות שלה לפריצות סייבר. אנו ממשיכים בחקירת האירוע ונעדכן ככל שיהיו ברשותנו ממצאים חדשים".
"ככל שהטענה של התוקף תתברר כנכונה, מדובר במקרה נוסף וחמור במיוחד של דלף מידע אשר מצביע על היעדר אמצעי אבטחת מידע ותהליכים נאותים", מסר יוסי רחמן, ראש קבוצת המחקר של סייבריזן. ״ארגונים המחזיקים במידע אישי ורגיש שכזה צריכים לאתר ניסיונות תקיפה, להגיב אליהם ולחסום אותם בזמן אמת. תחקורים בדיעבד הם חשובים אך מרגע שהמידע הגיע לידיים בלתי מורשות, הסוסים כבר ברחו מהאורווה והנזק כבר נגרם. קיימות כיום טכנולוגיות לזיהוי ועצירה של מתקפות מסוג זה בזמן אמת, רבות מהן, פרי פיתוחן של חברות ישראליות או מרכזי פיתוח ישראליים".
נמרוד וקס, מייסד ומנהל מוצר בחברת BigID, שפיתחה פלטפורמה לניהול ואכיפה של מדיניות ופרטיות המידע ברשת, מוסיף כי ״הפריצה האחרונה מדגישה את הצורך והמחסור בארץ בשקיפות לגבי המידע שנאגר עלינו כאזרחים, חוסר השליטה שלנו על איזה מידע נשמר עלינו ונעשה בו שימוש. תקנות פרטיות בעולם מחייבות עסקים לספק את השקיפות והשליטה במידע הפרטי שלנו במסגרת זכויות אזרח בסיסיות. לצערנו עדיין לא בחוק בישראל ולא הראשונות המקומיות. כאזרח וכצרכן, תנו לי את היכולת לדעת איזה מידע נאסף עלי ואת הזכות לבקש להמחק״.
ממערך הסייבר הלאומי נמסר: ״מהאינדיקציות העולות בשלב זה ידוע על מידע מצומצם ולא עדכני על תושבי עיר אחת, ובוודאי לא מיליוני רשומות. מקור הדלף ממשיך להיבדק״. מהרשות להגנת הפרטיות נמסר כי הנושא מוכר לה ונמצא עדיין בבדיקה. פרטים נוספים ותגובות נוספות של גורמים רשמיים יתעדכנו כאן ככל שיתקבלו.
