מי שומר על המידע שלכם? תגובות אתרים שנפרצו וטיפים לאבטחה

במהלך סוף השבוע התפשטה כמו אש בשדה קוצים הודעתו של ארז וולף בבלוג We-CMS, שפורסם גם אצלנו, בנושא גניבת פרטי המשתמשים ממספר אתרים מוכרים בישראל. מה אומרים האתרים הנפגעים ומה כדאי לכם לעשות בשביל לא להפוך לקורבנות

במהלך סוף השבוע התפשטה כמו אש בשדה קוצים הודעתו של ארז וולף בבלוג We-CMS, שפורסם גם אצלנו, בנושא גניבת פרטי המשתמשים ממספר אתרים מוכרים בישראל. תחילה אמנם נראה כי מדובר בכ-30 אלף משתמשים מאתר שהתברר כאתר מודעות הומלס, אך לאחר חיפוש ותחקיר מקיפים יותר, התברר שמדובר במספר הנע סביב 120,000 כתובות דואר אלקטרוני וסיסמאות של משתמשי אינטרנט בישראל מאתרים כמו החב”ד, פיצה האט ואתר המאמרים Articles. רשימה של כל שמות וכתובות האתרים שנפרצו ניתן למצוא באתר וואלה! TECH.

הבוקר (א’) החלו להגיע לתיבת הדואר האלקטרוני של משתמשי אתרים אלו ועיתונאי טכנולוגיה מכתבי הסברים מפי אותם אתרים על מחדל גניבת הסיסמאות מהם. להלן ההודעה מאתר פיצה האט:

לאחר בדיקה שערכנו הבוקר, מסתבר שאומנם האקרים תורכים פרצו לאתר האינטרנט של פיצה האט וגנבו את רשימת כתובת המייל והסיסמאות. יש לציין שאנו לא שומרים מספרי כרטיסי אשראי לא באתר האינטרנט,  ולא בשום מקום אחר, ועל כן, אין סיכון לאובדן כספי כלשהו. החשיפה היחידה הינה לשם המשתמש , כתובת האימייל וסיסמת הכניסה לפיצה האט.

כמובן שאצלנו אין להאקר מה לעשות עם הסיסמה, מלבד להזמין פיצה בשמכם. ולשלם עליה מכספו הוא. ואולם, אנו מצטערים ומתנצלים על עוגמת הנפש שעלולה להיגרם מעצם החשיפה של הנתונים, ופועלים מייד לסגור פרצה זו.

אנו ממליצים לאילו שמשתמשים בסיסמא זו גם לאתרים אחרים, להחליף אותה.

ושוב סליחה.

צוות פיצה האט ישראל

אתר הומלס שלח הודעה ובה נכתב:

שלום רב,
כידוע לך, בימים האחרונים האתרים המובילים בישראל נמצאים תחת מתקפה בלתי פוסקת מצד האקרים מוסלמיים בניסיון לפגוע במשק הישראלי בכלל ובמשתמשי האינטרנט בפרט.
כחלק מניסיונות אלו, הייתה פריצה טורקית למאגר הנתונים של “טבלת ההמלצות” באתר הומלס, אשר כלל שם משתמש וסיסמה של חלק מן המשתמשים.
מעבר לשם המשתמש והסיסמא, לא הכיל המאגר כל מידע נוסף.
אתר הומלס הינו אחד מהאתרים המאובטחים ביותר ופועל בהתאם לתקן המחמיר ביותר.
אתר הומלס אינו שומר נתונים כספיים – כל הרכישות מבוצעות באמצעות אתר ייעודי מאובטח. מודגש כי לאף צד שלישי אין גישה לפרטי כרטיס האשראי שלכם.
כחלק מתהליך האבטחה, הנכם מתבקשים להיכנס לאיזור האישי שלכם באתר הומלס ולשנות את הסיסמא הקיימת שלכם בסיסמא חדשה במקביל, אם הנכם משתמשים באותה הסיסמא באתרים אחרים שאתם גולשים בהם, יש לשנות את הסיסמא באתרים אלה.

מי אשם פה?

בראש ובראשונה ובניגוד למה שכותבים מאתר הומלס, האשמים הם מנהלי האתרים שאפשרו את הפריצה. אילו פעל האתר בהתאם לתקנים המחמירים עליהם הוא כותב, לא סביר שפורצים טורקים החובבנים מספיק לפרסם באינטרנט קישור לרשימות שצדו, היו מגיעים למידע זה. שמות המשתמשים שהגיעו לידי קבוצת ההאקרים כוללים לא פעם גם את כתובת הדואר האלקטרוני של המשתמש, המהווה את אותו שם משתמש לכניסה.

יתרה מכך, הומלס כותבים שמדובר בתקיפות מהימים האחרונים, אך קישור בפורום הטורקי בו נמצא הקובץ המדובר פורסם שם כבר בתחילת יוני (לפני יותר מחודש) וקשה לנחש כמה זמן הסתובב טרם לכן בקרב פורצים מיומנים מעט יותר שלא חשפו את ממצאיהם בפורום הפתוח לעולם המקוון כולו. יתרה מכך, אם חושבים על מספר הקבצים שאותרו (כשלושה) לעומת אלו המסתתרים בפורומים סגורים המוגנים בסיסמא או אף במחשבים אישיים של פורצים,  מדובר במספר עצום של משתמשים שפרטיהם נחשפו.

עורכי הדין יעסקו עוד לא מעט זמן בהטחת האשמות ובירור זהות האחראי ללקויות באבטחת האתרים שגרמו לפריצות, אך שאלה חשובה עולה כאן והיא אחריות האתר מול המשתמשים בעת פריצה או גניבה של פרטיהם. ההודעות שנשלחו הבוקר ללקוחות האתרים הן הודעות שהיו צריכות להישלח כשהפריצות התגלו על ידי מנהלי האתרים ולא שבועות מאוחר יותר כשהנושא הגיע לכותרות בזכות פוסט בבלוג של ארז וולף. אילו טרחו בחברות השונות לזהות שהיתה פריצה לאתרם ולעדכן את המשתמשים בצורך בהחלפת הסיסמא באתרים נוספים בהם הם השתמשו בה, אולי מספר חשובונות הפייסבוק וההוטמייל שנפרצו בחודש יוני היה קטן בהרבה. הניסיון של החברות לטאטא את גניבת פרטי המשתמשים מתחת לשטיח גרמה נזק ישיר למשתמשי אותם אתרים, שכעת יחשבו פעמיים לפני שיבחרו לצרוך מוצרים או שירותים של אותה חברה.

אמנם, גם המשתמשים משחקים פה תפקיד חשוב. מאות משתמשים נרשמו לאתר באמצעות כתובת הדואר האלקטרוני האישית שלהם ממקום העבודה או ספקית האינטרנט. במקרה הטוב, כתובות אלה ימצאו את עצמן בבסיסי הנתונים של ספאמרים שונים ובמקרה הרע, הסיסמא שבחרו המשתמשים עבור אתר הומלס או פיצה האט ושימשה אותם במקומות אחרים, יכולה לסכן לא רק פרטיות המשתמשים עצמם, אלא גם את הארגונים בהם אלו עובדים. מספר הכתובות בקובץ השייך לעובדי מוסדות מדינה ואף צבא הינו מדאיג מאוד. בעצם, הפיצה שהזמינו או הדירה ששכרו, עשויות לסכן את ביטחון המדינה. הזוי, לא?

האתרים שנפגעו דואגים להדגיש כי הפרטים שנגנבו בפריצות אינם יכולים לשמש להפרה של פרטיות המשתמשים באתרים בהם נגנבו כי אלו אינם מאכסנים את פרטי התשלום של לקוחות. גם אם כך הדבר, אין זה אומר שאותם פרטים אינם משמשים את הלקוחות לכניסה לאתרים ושרותים אחרים שכוללים פרטי תשלום ואך מאפשרים העברת כספים כדוגמת PayPal שצילום מסך ממנו עיטר את אחת ההודעות בשרשור בפורום הטורקי.

מה עושים כעת?

אם אתם משתמשים ולא מנהלי אתרים יש מספר חוקי ברזל שיש לשמור עליהם בעת רישום לשרותים מקוונים ושימוש בהם:

  • דואר זבל: הקפידו על שימוש בכתובת דואר יעודית וחינמית לצורך הרשמה לשירותים מקוונים ואתרים שונים. אם אתם מתקשים לעקוב אחר מספר תיבות דואר, רוב ספקי הדואר האלקטרוני יאפשרו לכם להגדיר העברה אוטומטית לכתובת האישית שלכם שתישאר חבויה מהשולח.
  • בחירת סיסמאות: בואו נודה בזה – לא קל לשמור על סיסמא ייחודית עבור כל אתר שנשמים אליו ואף לזכור אותה. מדובר לפעמים במאות או אלפי סיסמאות שונות שפשוט חבל לבזבז עליהן שטח איחסון במוח. קיימים מספר פתרונות כדוגמת תוכנות מנעול שונות השומרות את כל סיסמאותיכם תחת סיסמא אחת לאישור השימוש ביישום. איננו ממליצים על פיתרון זה כי תקלה קטנה בתוכנה זו – ונשארתם בחוץ. ההמלצה הרווחת היא בחירה של סיסמא מורכבת בת שישה תווים לפחות בה אותיות, מספרים וסמלים ושינוי של אות או שתיים עבור כל אתר בהתאם לשמו, למשל. כך תיאלצו לזכור רק פונקציה ליציאת הסיסמא ולא מאות סיסמאות שונות. אפשר גם להחזיק סיסמת זבל המיועדת לאתרים בהם אינכם מאכסנים מידע אישי, כגון אתר פיצה האט ואפילו הומלס. אם ברצונכם לדעת אם הסיסמא שבחרתם הינה מורכבת מספיק ומאובטחת, תוכלו לבדוק זאת באתר בדיקת חוזק סיסמאות שגם יגלה לכם כמה ימים ייקח למחשב שולחני לפצח את הסיסמא באמצעות תקיפת מילון.
  • שינוי סיסמאות: על אף שהוכח כבר ששינוי תדיר של סיסמאות אינו תורם כלל לאבטחת המידע של גולש או ארגון, בעת ריבוי דיווחים על פריצות, אולי כדאי לכם בכל זאת לבצע עדכון של הסיסמאות באתרים המחזיקים עבורכם מידע אישי חשוב. עם זאת, אם הסיסמא אינה עומדת בתנאים בסעיף מעלה, אז בעצם לא עשיתם כאן הרבה.

למפתחי אתרים ומפעיליהם נמליץ ליישם מדיניות אבטחה מוגדרת ומדוייקת, גם אם זו באה על חשבון נוחות המשתמשים:

  • בחירת ספק וטכנולוגיה: בעת בחירת ספק עבור פיתוח האתר שלכם או התקנת פלטפורמת ניהול זו או אחרת, הקפידו לוודא שאלה שמים דגש על אבטחת המידע והגנה על בסיס הנתונים של האתר הכולל את המידע הרגיש של משתמשים. במקרים רבים נוצר פער בין המפתחים ומנהלי האתרים כשהמפתח אינו מטפל בהגדרות האבטחה הנחוצות ומנהל האתר כלל אינו מודע להן.
  • עדכוני אבטחה: שלל היישומים והתוכנות הפועלים על השרת שלכם ידרשו לא אחת עדכוני אבטחה וגירסאות בשביל לשמור על המידע שלכם בטוח. הקפידו לבדוק על בסיס קבוע את זמינות העדכונים אם לא קיימת אפשרות של עדכון אוטומטי ביישומים המדוברים.
  • הצפנה: זה אולי יישמע קצת בנאלי וברור מעליו, אבל חשוב להצפין את בסיס הנתונים של האתר אם אינכם רוצים להקל יתר על המידה על פורצים המתדפקים על דלת לוח הבקרה של השרת שלכם. אם יש לכם אפשרות להסתיר את קרביו של האתר מאחורי חיבור המחייב VPN, מומלץ שתעשו זאת.
  • דרישת סיסמא מורכבת: המשתמשים לא יאהבו את זה, אבל הם בטוח יאהבו את זה יותר מאשר את כתובת המייל שלהם בידי טורקים הרוצים ברעתה של מדינת ישראל ותושביה. חייבו את הגולשים לבחור סיסמא הכוללת לכל הפחות שני אותיות קטנות שונות באנגלית, שתיים גדולות ושתי ספרות והקפידו לרשום בעמוד ההרשמה שמומלץ לבחור סיסמא השונה מזו שבחרתם באתרים אחרים.

אילנה ברודו

אשת המילה הכתובה וחובבת טכנולוגיה. גרפומנית, גיקית, גיימרית, בשלנית, ואפילו משוררת לעת מצוא. בימים עיתונאית רשת נעימת הליכות ובלילות לוחמת צדק דיגיטלי חסרת רחמים ובעלת לשון מושחזת היטב. לשעבר כתבת טכנולוגיה ב-ynet ו-walla!.

הגב

19 תגובות על "מי שומר על המידע שלכם? תגובות אתרים שנפרצו וטיפים לאבטחה"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.

סידור לפי:   חדש | ישן | הכי מדורגים
שגיא
Guest

מאגר של 102 אלף מיילים שיבדוק אם הסיסמה שלכם נחשפה
http://www.lucid.co.il/exposed/

ליטל
Guest

התגובה של פיצה האט מרתיחה. הם מריצים דאחקות על הפיצה שתשלח הביתה, תוך התעלמות ממידע נוסף שעלול להיות בחשבון (כתובת? טלפון? הסטורית הזמנות? תעודת זהות?), מכך שהססמא אולי בשימוש במקומות אחרים, ומכך שהם שברו אמון וחשפו ברשלנות פרטים של אנשים. מן טפיחה על הראש עם “לא באמת אכפת לך, נכון?-מצויין”.

אורח
Guest

I WANT TO SEE REVENGE !!!
הלוואי שכל ההאקרים בישראל יתאחדו ויפילו את כל השרתים השרתים בטורקיה..

אור
Guest

צריך להכניס את האתרים האלו לרשימות האתרים החסומים ב stopbadware.org עד שהם יוכיחו שהם מצפינים את הסיסמאות…

אריה
Guest
נראה לי חשוב לציין שהאתרים הנ”ל התנהלו באפן רשלני ביותר – לשמור ססמאות כמו שהן המסד הנתונים זה ממש רשלנות לשמה. זהה אחד העצות הראשונות שלומד כל מתכנת מתחיל בנושא אבטחה – אין סיבה שבעולם שלמישהו תוכל להיות גישה לססמה שלי. ססמאות צריכות להשמר כהאש חד-כיווני, עדיף עם מלח. זה ממש א-ב, והעובדה שאתרים בסדר גודל כזה לא דואגים לאמצעים כאלה בסיסיים זה פשוט מביך. הסיבה העיקרית ד”א היא שאי דבר כזה מערכת מאובטחת לחלוטין, ולכן המינימום שצריך לדאוג לו זה שבמקרה שפרצו אליך אין איך לנצל זאת כדי לפגוע במשתמשים. כמו כן – ההמלצה להכריח משתמשים להכניס ססמאות חזקות… Read more »
יגאל
Guest

צודק 100%. הצפנה של סיסמה במאגר נתונים אפילו לא דורשת הצפנה באמת.
כל מה שצריך הוא לשמור אותה בפורמט SHA1 שכל בסיס נתונים תומך (string). ככה שגם אם מישהו גונב את בסיס הנתונים כולו ולא הוא ולא אתה יכולים לדעת מה הסיסמא באמת.

בתור מפתח אתרים זה סטנדרטי אצלי בטבלאות משתמשים, וחשוב שכולם ידעו שכל אתר שאינו עושה את זה, לא באמת מאבטח את הסיסמא שלכם.

אבנר
Guest

אם כבר הצפנה אז SH2 שכן SH1 נחשבת פרוצה ומיושנת
מה עם penetration tests שחייבים להיעשוב באופן יום יומי
שלא לדבר על ארכיטקטרת FW ראויה

החלמאות פה חגגה

אבי
Guest
הגיע הזמן שגם כמשתמשים וגם כבעלי אתרים נפסיק את הנוהל המטופש של להרשם לכל שטות ברשת. כל אתר וכל בעל עסק קטן וחמדן רוצה מאגר מידע, מאגר לקוחות ונתונים סטטיסטיים כדי לעשות בהם שימוש (לרוב לרעת הלקוח) הגיע הזמן שנתעורר ונפסיק להרשם לכל שירות “בחינם” כי החינם הזה תמיד עולה ביוקר, במיוחד כשמדובר בשירותים שברור לנו שהם ממש לא חינם, כבר עדיף לשלם כסף על שירות מאשר לתת לעסקים וסוכנים מפוקפקים מידע פרטי ורגיש כמו ת.ז וכל מיני נתונים פרטיים! ואם אתם נרשמים לשירותים לא חשובים כמו פיצה?!? (מה יש להרשם לאתר של פיצה נגיד? מה יש מבצעים? שידחפו אותם… Read more »
אור
Guest

אני לא חושב שצריך להעביר חוק או להכריח מישהו לעשות משהו בניגוד לרצונו.
לפי דעתי צריכים לעורר את המודעות ל OpenID, ובכך למנוע את העניין אחת ולתמיד. שאנשים לא ירשמו לאתר שלא מאפשר כניסה באמצעות OpenID.
המקסימום שיגנבו זה את הOpenID שלך, שגם ככה להשיג אותו זה לא יותר מידי קשה :)

אבי
Guest
אני לא מסכים עם זה כ”כ ידידי, טוב שלא הצעת שהזדהות מול אתרים תהיה עם “תעודת זהות חכמה” או ע”י טביעת אצבע (שאני מניח שבשלב מאוחר יותר לצערנו תהיה משולבת גם בת.ז החכמה) כי אבטחת מידע כבר מזמן הפכה להפקר, במיוחד בעידן שבו מרשם האוכלוסין של מדינה שלמה דולף כמעט כל שנה והפרטיות של האזרחים הפכה להפקר. אין לתת יד בשום צורה שהיא לעוד מאגרי מידע ובטח שלא לאמצעי זיהוי חד ערכיים ברשת, כמו שאמרת קל נורא לגנוב ולזייף זהות של מישהו, ברגע שיהיה סטנדרט או מקום אחד שירכז את כל הזהויות שלך בכל האתרים, במקרה של גניבה הלכה כל… Read more »
אור
Guest
הטיעונים שאתה מעלה הם מאוד פופוליסטים (או שאין לך מושג מה זה OpenID) ולא מתחשבים ביתרון מאוד ספציפי שיש ל OpenID. אף אחד לא מכריח אותך לבחור בשירות ספציפי של OpenID (מה שאתה לא יכול לעשות עם תעודות זהות). אתה יכול לבצע Delegation, ואם אתה ממש פרנואיד תחזיק שרת OpenID משלך ותזדהה איתו, ואז אתה תהיה האחראי הבלעדי על ה”תעודה” שלך. מה יותר מאובטח? שהסיסמה שלך יושבת ב50 אתרים (שהאבטחה שלהם מוטלת בספק) או שהסיסמה שלך יושבת במקום אחד שאתה יודע מה רמת האבטחה שלו? יותר מזה, ישנם שירותי OpenID שמאפשרים לך להשתמש בתעודה אלקטרונית. ככה בכלל אין לך סיסמה… Read more »
שחר
Guest

אני אישית מסכים עם אריה – זו באמת בושה שסיסמאות של משתמשים מסתובבות במסד נתונים ללא שום הצפנה. זה באמת דבר בסיסי.
אני אחזק את דבריו ואוסיף שאם אתר (כמו הומלס) רוצה להצהיר שהוא עומד בתקנים המחמירים ביותר – הוא לפחות צריך להצפין גם את כתובות המייל של המשתמשים. מבחינת “עלות” של תכנות וזמן מעבד – זה זניח יחסית להגנה שהוא מספק במקרים כאלו.
ישנן מספיק פתרונות התפורים בדיוק לנושא הזה

הצפנה בסיסית היתה חוסכת המון עוגמת נפש, זמן, כסף ומוניטין של אתרים ושירותי HOSTING ובשאיפה מונעת (לפחות מעכבת) את חשיפת הפרטים עצמם.

שמואל
Guest
תגובת אתר חבד לפריצה : כלי התקשורת דיווחו בסוף השבוע כי האקרים טורקים פרצו למספר אתרי אינטרנט גדולים, וגנבו מהם למעלה ממאה אלף כתובות אימייל וסיסמאות, לפי הדיווח נפרץ גם “אתר חב”ד”. עם קבלת הדיווח החל הצוות הטכני של האתר לבדוק את הנושא לעומקו, וכעת מתברר כי האתר המדווח הינו אתר חב”ד אינפו. הטורקים אכן פרצו לשרת הישן של האתר, והצליחו לשים את ידם על רשימת כתובות האימיילים הישנה של שירות הדואר הישן שהיה פעיל באתרנו עד לפני מספר שנים, ביחד עם הסיסמאות לכתובות האימייל הלא פעילות. הבעיה איננה נסיון הכניסה לחשבון דואר שאינו פעיל, שהרי התיבות סגורות, אלא שהטורקים… Read more »
דני
Guest
אני מנהל פרוייקטים בחברת הייטק בינלאומית, ולארחונה הבחנתי כי גם המייל הפרטי שלי מופיע ברשימת הכתובות שנפרצו (אגב, עד לכתיבת שורות אלו לא הבחנתי בשום ניסיון השתלטות על המייל שלי ובינתיים החלפתי סיסמא). אני יכול להעיד כי מעולם לא עשיתי שימוש במייל זה בשום אתר מהמוזכרים בכתבה, ובטח שלא מסרתי את הסיסמא שלי ובכל זאת המייל שלי הגיע לידי ההאקרים הטורקיים. מה שכן, הייתי בשנה האחרונה בטורקיה מספר פעמים ונכנסתי לחשבון הדואר שלי בעת שימוש באינטרנט במלון (דבר שעושה כל אדם שנמצא בחו”ל אני מניח..). מה שמעיד הוא שנגד סניפינג על תעבורת הרשת במלון שאתם מתאכסנים לא יעזור אף מנגנון… Read more »
אור
Guest

אתה באמת חושב שהם פרצו את החשבון שלך דרך שכבת SSL?

ענת
Guest

מזעזע מה שקרה עם כל הפלישה המוסלמית הזו… אני הייתי עדה להשתלטות של האקרים תורכיים על הפייסבוק של אחת מהחברות שלי… כמעט לכל אחד מאיתנו יש מידע חשוף כזה או אחר שרץ ברשת וזה בהחלט מעלה חששות רבים, מה גם שככל שאנו מתקדמים עם הטכנולוגיה, כמות השימוש וכתוצאה מכך המידע שאנו חושפים ברשת, רק הולך וגדל…

שימי
Guest
טיפ יותר טוב בעניין הסיסמאות… תרגמתי לעברית מוצר חביב שנקרא SuperGenPass – הוא מאפשר לזכור סיסמה אחת בלבד, ומפיק ממנה סיסמאות *שונות לחלוטין* עבור כל אתר ואתר – והדבר היפה – לא צריך להתקין אותו בכלל, והוא גם לא שומר את הסיסמאות בשום מקום: הוא פשוט מרכיב את הסיסמה מצירוף של הסיסמה הקבועה + הכתובת של האתר, דרך אלגוריתם Hash. כך שאפילו אם נפרצת הסיסמה באתר כלשהוא, ולא משנה באיזו דרך, לא ניתן להסיק ממנה את הסיסמאות של האתרים האחרים שבהם השתמשו ביוצר הסיסמאות. כל התהליך קורה בתוך בוקמרק / סימניה בדפדפן. הסיסמה שלכם כלל לא עוברת באינטרנט (אתם מוזמנים… Read more »
לינדה
Guest
לינדה
Guest
wpDiscuz

תגיות לכתבה: