מי שומר על המידע שלכם? תגובות אתרים שנפרצו וטיפים לאבטחה
במהלך סוף השבוע התפשטה כמו אש בשדה קוצים הודעתו של ארז וולף בבלוג We-CMS, שפורסם גם אצלנו, בנושא גניבת פרטי המשתמשים ממספר אתרים מוכרים בישראל. מה אומרים האתרים הנפגעים ומה כדאי לכם לעשות בשביל לא להפוך לקורבנות
במהלך סוף השבוע התפשטה כמו אש בשדה קוצים הודעתו של ארז וולף בבלוג We-CMS, שפורסם גם אצלנו, בנושא גניבת פרטי המשתמשים ממספר אתרים מוכרים בישראל. תחילה אמנם נראה כי מדובר בכ-30 אלף משתמשים מאתר שהתברר כאתר מודעות הומלס, אך לאחר חיפוש ותחקיר מקיפים יותר, התברר שמדובר במספר הנע סביב 120,000 כתובות דואר אלקטרוני וסיסמאות של משתמשי אינטרנט בישראל מאתרים כמו החב”ד, פיצה האט ואתר המאמרים Articles. רשימה של כל שמות וכתובות האתרים שנפרצו ניתן למצוא באתר וואלה! TECH.
הבוקר (א’) החלו להגיע לתיבת הדואר האלקטרוני של משתמשי אתרים אלו ועיתונאי טכנולוגיה מכתבי הסברים מפי אותם אתרים על מחדל גניבת הסיסמאות מהם. להלן ההודעה מאתר פיצה האט:
לאחר בדיקה שערכנו הבוקר, מסתבר שאומנם האקרים תורכים פרצו לאתר האינטרנט של פיצה האט וגנבו את רשימת כתובת המייל והסיסמאות. יש לציין שאנו לא שומרים מספרי כרטיסי אשראי לא באתר האינטרנט, ולא בשום מקום אחר, ועל כן, אין סיכון לאובדן כספי כלשהו. החשיפה היחידה הינה לשם המשתמש , כתובת האימייל וסיסמת הכניסה לפיצה האט.
כמובן שאצלנו אין להאקר מה לעשות עם הסיסמה, מלבד להזמין פיצה בשמכם. ולשלם עליה מכספו הוא. ואולם, אנו מצטערים ומתנצלים על עוגמת הנפש שעלולה להיגרם מעצם החשיפה של הנתונים, ופועלים מייד לסגור פרצה זו.
אנו ממליצים לאילו שמשתמשים בסיסמא זו גם לאתרים אחרים, להחליף אותה.
ושוב סליחה.
צוות פיצה האט ישראל
אתר הומלס שלח הודעה ובה נכתב:
שלום רב,כידוע לך, בימים האחרונים האתרים המובילים בישראל נמצאים תחת מתקפה בלתי פוסקת מצד האקרים מוסלמיים בניסיון לפגוע במשק הישראלי בכלל ובמשתמשי האינטרנט בפרט.כחלק מניסיונות אלו, הייתה פריצה טורקית למאגר הנתונים של “טבלת ההמלצות” באתר הומלס, אשר כלל שם משתמש וסיסמה של חלק מן המשתמשים.מעבר לשם המשתמש והסיסמא, לא הכיל המאגר כל מידע נוסף.אתר הומלס הינו אחד מהאתרים המאובטחים ביותר ופועל בהתאם לתקן המחמיר ביותר.אתר הומלס אינו שומר נתונים כספיים – כל הרכישות מבוצעות באמצעות אתר ייעודי מאובטח. מודגש כי לאף צד שלישי אין גישה לפרטי כרטיס האשראי שלכם.כחלק מתהליך האבטחה, הנכם מתבקשים להיכנס לאיזור האישי שלכם באתר הומלס ולשנות את הסיסמא הקיימת שלכם בסיסמא חדשה במקביל, אם הנכם משתמשים באותה הסיסמא באתרים אחרים שאתם גולשים בהם, יש לשנות את הסיסמא באתרים אלה.
מי אשם פה?
בראש ובראשונה ובניגוד למה שכותבים מאתר הומלס, האשמים הם מנהלי האתרים שאפשרו את הפריצה. אילו פעל האתר בהתאם לתקנים המחמירים עליהם הוא כותב, לא סביר שפורצים טורקים החובבנים מספיק לפרסם באינטרנט קישור לרשימות שצדו, היו מגיעים למידע זה. שמות המשתמשים שהגיעו לידי קבוצת ההאקרים כוללים לא פעם גם את כתובת הדואר האלקטרוני של המשתמש, המהווה את אותו שם משתמש לכניסה.
יתרה מכך, הומלס כותבים שמדובר בתקיפות מהימים האחרונים, אך קישור בפורום הטורקי בו נמצא הקובץ המדובר פורסם שם כבר בתחילת יוני (לפני יותר מחודש) וקשה לנחש כמה זמן הסתובב טרם לכן בקרב פורצים מיומנים מעט יותר שלא חשפו את ממצאיהם בפורום הפתוח לעולם המקוון כולו. יתרה מכך, אם חושבים על מספר הקבצים שאותרו (כשלושה) לעומת אלו המסתתרים בפורומים סגורים המוגנים בסיסמא או אף במחשבים אישיים של פורצים, מדובר במספר עצום של משתמשים שפרטיהם נחשפו.
עורכי הדין יעסקו עוד לא מעט זמן בהטחת האשמות ובירור זהות האחראי ללקויות באבטחת האתרים שגרמו לפריצות, אך שאלה חשובה עולה כאן והיא אחריות האתר מול המשתמשים בעת פריצה או גניבה של פרטיהם. ההודעות שנשלחו הבוקר ללקוחות האתרים הן הודעות שהיו צריכות להישלח כשהפריצות התגלו על ידי מנהלי האתרים ולא שבועות מאוחר יותר כשהנושא הגיע לכותרות בזכות פוסט בבלוג של ארז וולף. אילו טרחו בחברות השונות לזהות שהיתה פריצה לאתרם ולעדכן את המשתמשים בצורך בהחלפת הסיסמא באתרים נוספים בהם הם השתמשו בה, אולי מספר חשובונות הפייסבוק וההוטמייל שנפרצו בחודש יוני היה קטן בהרבה. הניסיון של החברות לטאטא את גניבת פרטי המשתמשים מתחת לשטיח גרמה נזק ישיר למשתמשי אותם אתרים, שכעת יחשבו פעמיים לפני שיבחרו לצרוך מוצרים או שירותים של אותה חברה.
אמנם, גם המשתמשים משחקים פה תפקיד חשוב. מאות משתמשים נרשמו לאתר באמצעות כתובת הדואר האלקטרוני האישית שלהם ממקום העבודה או ספקית האינטרנט. במקרה הטוב, כתובות אלה ימצאו את עצמן בבסיסי הנתונים של ספאמרים שונים ובמקרה הרע, הסיסמא שבחרו המשתמשים עבור אתר הומלס או פיצה האט ושימשה אותם במקומות אחרים, יכולה לסכן לא רק פרטיות המשתמשים עצמם, אלא גם את הארגונים בהם אלו עובדים. מספר הכתובות בקובץ השייך לעובדי מוסדות מדינה ואף צבא הינו מדאיג מאוד. בעצם, הפיצה שהזמינו או הדירה ששכרו, עשויות לסכן את ביטחון המדינה. הזוי, לא?
האתרים שנפגעו דואגים להדגיש כי הפרטים שנגנבו בפריצות אינם יכולים לשמש להפרה של פרטיות המשתמשים באתרים בהם נגנבו כי אלו אינם מאכסנים את פרטי התשלום של לקוחות. גם אם כך הדבר, אין זה אומר שאותם פרטים אינם משמשים את הלקוחות לכניסה לאתרים ושרותים אחרים שכוללים פרטי תשלום ואך מאפשרים העברת כספים כדוגמת PayPal שצילום מסך ממנו עיטר את אחת ההודעות בשרשור בפורום הטורקי.
מה עושים כעת?
אם אתם משתמשים ולא מנהלי אתרים יש מספר חוקי ברזל שיש לשמור עליהם בעת רישום לשרותים מקוונים ושימוש בהם:
- דואר זבל: הקפידו על שימוש בכתובת דואר יעודית וחינמית לצורך הרשמה לשירותים מקוונים ואתרים שונים. אם אתם מתקשים לעקוב אחר מספר תיבות דואר, רוב ספקי הדואר האלקטרוני יאפשרו לכם להגדיר העברה אוטומטית לכתובת האישית שלכם שתישאר חבויה מהשולח.
- בחירת סיסמאות: בואו נודה בזה – לא קל לשמור על סיסמא ייחודית עבור כל אתר שנשמים אליו ואף לזכור אותה. מדובר לפעמים במאות או אלפי סיסמאות שונות שפשוט חבל לבזבז עליהן שטח איחסון במוח. קיימים מספר פתרונות כדוגמת תוכנות מנעול שונות השומרות את כל סיסמאותיכם תחת סיסמא אחת לאישור השימוש ביישום. איננו ממליצים על פיתרון זה כי תקלה קטנה בתוכנה זו – ונשארתם בחוץ. ההמלצה הרווחת היא בחירה של סיסמא מורכבת בת שישה תווים לפחות בה אותיות, מספרים וסמלים ושינוי של אות או שתיים עבור כל אתר בהתאם לשמו, למשל. כך תיאלצו לזכור רק פונקציה ליציאת הסיסמא ולא מאות סיסמאות שונות. אפשר גם להחזיק סיסמת זבל המיועדת לאתרים בהם אינכם מאכסנים מידע אישי, כגון אתר פיצה האט ואפילו הומלס. אם ברצונכם לדעת אם הסיסמא שבחרתם הינה מורכבת מספיק ומאובטחת, תוכלו לבדוק זאת באתר בדיקת חוזק סיסמאות שגם יגלה לכם כמה ימים ייקח למחשב שולחני לפצח את הסיסמא באמצעות תקיפת מילון.
- שינוי סיסמאות: על אף שהוכח כבר ששינוי תדיר של סיסמאות אינו תורם כלל לאבטחת המידע של גולש או ארגון, בעת ריבוי דיווחים על פריצות, אולי כדאי לכם בכל זאת לבצע עדכון של הסיסמאות באתרים המחזיקים עבורכם מידע אישי חשוב. עם זאת, אם הסיסמא אינה עומדת בתנאים בסעיף מעלה, אז בעצם לא עשיתם כאן הרבה.
למפתחי אתרים ומפעיליהם נמליץ ליישם מדיניות אבטחה מוגדרת ומדוייקת, גם אם זו באה על חשבון נוחות המשתמשים:
- בחירת ספק וטכנולוגיה: בעת בחירת ספק עבור פיתוח האתר שלכם או התקנת פלטפורמת ניהול זו או אחרת, הקפידו לוודא שאלה שמים דגש על אבטחת המידע והגנה על בסיס הנתונים של האתר הכולל את המידע הרגיש של משתמשים. במקרים רבים נוצר פער בין המפתחים ומנהלי האתרים כשהמפתח אינו מטפל בהגדרות האבטחה הנחוצות ומנהל האתר כלל אינו מודע להן.
- עדכוני אבטחה: שלל היישומים והתוכנות הפועלים על השרת שלכם ידרשו לא אחת עדכוני אבטחה וגירסאות בשביל לשמור על המידע שלכם בטוח. הקפידו לבדוק על בסיס קבוע את זמינות העדכונים אם לא קיימת אפשרות של עדכון אוטומטי ביישומים המדוברים.
- הצפנה: זה אולי יישמע קצת בנאלי וברור מעליו, אבל חשוב להצפין את בסיס הנתונים של האתר אם אינכם רוצים להקל יתר על המידה על פורצים המתדפקים על דלת לוח הבקרה של השרת שלכם. אם יש לכם אפשרות להסתיר את קרביו של האתר מאחורי חיבור המחייב VPN, מומלץ שתעשו זאת.
- דרישת סיסמא מורכבת: המשתמשים לא יאהבו את זה, אבל הם בטוח יאהבו את זה יותר מאשר את כתובת המייל שלהם בידי טורקים הרוצים ברעתה של מדינת ישראל ותושביה. חייבו את הגולשים לבחור סיסמא הכוללת לכל הפחות שני אותיות קטנות שונות באנגלית, שתיים גדולות ושתי ספרות והקפידו לרשום בעמוד ההרשמה שמומלץ לבחור סיסמא השונה מזו שבחרתם באתרים אחרים.
אילנה ברודו
אשת המילה הכתובה וחובבת טכנולוגיה. גרפומנית, גיקית, גיימרית, בשלנית, ואפילו משוררת לעת מצוא. בימים עיתונאית רשת נעימת הליכות ובלילות לוחמת צדק דיגיטלי חסרת רחמים ובעלת לשון מושחזת היטב. לשעבר כתבת טכנולוגיה ב-ynet ו-walla!.
הגב
19 תגובות על "מי שומר על המידע שלכם? תגובות אתרים שנפרצו וטיפים לאבטחה"
* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.
מאגר של 102 אלף מיילים שיבדוק אם הסיסמה שלכם נחשפה
http://www.lucid.co.il/exposed/
התגובה של פיצה האט מרתיחה. הם מריצים דאחקות על הפיצה שתשלח הביתה, תוך התעלמות ממידע נוסף שעלול להיות בחשבון (כתובת? טלפון? הסטורית הזמנות? תעודת זהות?), מכך שהססמא אולי בשימוש במקומות אחרים, ומכך שהם שברו אמון וחשפו ברשלנות פרטים של אנשים. מן טפיחה על הראש עם “לא באמת אכפת לך, נכון?-מצויין”.
I WANT TO SEE REVENGE !!!
הלוואי שכל ההאקרים בישראל יתאחדו ויפילו את כל השרתים השרתים בטורקיה..
צריך להכניס את האתרים האלו לרשימות האתרים החסומים ב stopbadware.org עד שהם יוכיחו שהם מצפינים את הסיסמאות…
צודק 100%. הצפנה של סיסמה במאגר נתונים אפילו לא דורשת הצפנה באמת.
כל מה שצריך הוא לשמור אותה בפורמט SHA1 שכל בסיס נתונים תומך (string). ככה שגם אם מישהו גונב את בסיס הנתונים כולו ולא הוא ולא אתה יכולים לדעת מה הסיסמא באמת.
בתור מפתח אתרים זה סטנדרטי אצלי בטבלאות משתמשים, וחשוב שכולם ידעו שכל אתר שאינו עושה את זה, לא באמת מאבטח את הסיסמא שלכם.
אם כבר הצפנה אז SH2 שכן SH1 נחשבת פרוצה ומיושנת
מה עם penetration tests שחייבים להיעשוב באופן יום יומי
שלא לדבר על ארכיטקטרת FW ראויה
החלמאות פה חגגה
אני לא חושב שצריך להעביר חוק או להכריח מישהו לעשות משהו בניגוד לרצונו.
לפי דעתי צריכים לעורר את המודעות ל OpenID, ובכך למנוע את העניין אחת ולתמיד. שאנשים לא ירשמו לאתר שלא מאפשר כניסה באמצעות OpenID.
המקסימום שיגנבו זה את הOpenID שלך, שגם ככה להשיג אותו זה לא יותר מידי קשה :)
אני אישית מסכים עם אריה – זו באמת בושה שסיסמאות של משתמשים מסתובבות במסד נתונים ללא שום הצפנה. זה באמת דבר בסיסי.
אני אחזק את דבריו ואוסיף שאם אתר (כמו הומלס) רוצה להצהיר שהוא עומד בתקנים המחמירים ביותר – הוא לפחות צריך להצפין גם את כתובות המייל של המשתמשים. מבחינת “עלות” של תכנות וזמן מעבד – זה זניח יחסית להגנה שהוא מספק במקרים כאלו.
ישנן מספיק פתרונות התפורים בדיוק לנושא הזה
הצפנה בסיסית היתה חוסכת המון עוגמת נפש, זמן, כסף ומוניטין של אתרים ושירותי HOSTING ובשאיפה מונעת (לפחות מעכבת) את חשיפת הפרטים עצמם.
אתה באמת חושב שהם פרצו את החשבון שלך דרך שכבת SSL?
מזעזע מה שקרה עם כל הפלישה המוסלמית הזו… אני הייתי עדה להשתלטות של האקרים תורכיים על הפייסבוק של אחת מהחברות שלי… כמעט לכל אחד מאיתנו יש מידע חשוף כזה או אחר שרץ ברשת וזה בהחלט מעלה חששות רבים, מה גם שככל שאנו מתקדמים עם הטכנולוגיה, כמות השימוש וכתוצאה מכך המידע שאנו חושפים ברשת, רק הולך וגדל…
https://sites.google.com/site/wwworiacomil/
https://sites.google.com/site/wwworiacomil/