חסרי אחריות – על פרשת הפריצה לאתר One / דעה
בועז זינימן חושב שאתרים מהם נגנב המידע של הסעודים עברו על כל כלל בסיסי של אבטחת מידע – לא רק שהם שמרו פרטי אשראי, הם שמרו אותם בצורה פשוטה, קריאה ושאינה מוצפנת. דעה.
אז כולם מדברים הבוקר על הקבצים שפירסמו החבר’ה מערב הסעודית, עם עשרות פרטים מזהים כגון שמות, כתובות email, טלפונים, סיסמאות והכי חשוב פרטים מלאים, כולל מספר כרטיס, תוקף וקוד אימות של כרטיסי אשראי של כמה אלפי ישראלים.
מי שהספיק להוריד את הקבצים, יכול להתרשם שלא מדובר בשיא הטכנולוגיה. אולי הדעה שלי מוסחת מהעובדה שמדובר בבני דודינו, לובשי הגלימות ונסיכי הנפט מדרום, אבל קשה שלא לשאול את השאלה איזה האקר דמיקולו מפרסם קבצים בפורמט MS Access או קבצי HTML. המשפט האחרון היה יכול להיות לא רלוונטי לפוסט זה אבל אם לוקחים דברים אלו בחשבון, קשה לי להאמין שמדובר בפרציה מתוחכמת, מה שהופך את העניין לעוד יותר מרגיז.
מי לא אשם?
התקשורת, שמנפחת את הסיפור מעבר לכל פרופורציות (אבל מה חדש), מחפשת מישהו להפנות אליו את האצבע אבל בסיפור הזה די ברור, לפחות לי, מי לא אשם.
האתר One, שנפרץ אתמול בלילה ושימש פלטפורמה להפצת הודעת הקבוצה הסעודית והלינק לקבצים, צריך להיות נבוך מעט, אבל לא יותר מזה. פריצות מסוג זה שכיחות מאד וקורות לטובים וגדולים מ – One (כולל משרדי ממשלה ומערכת הבטחון). באותו מידה יכלו הסעודים לשים שם דגל פלסטין או את סרטון הוידאו של המרמרה. One תיקנו את התקלה לאחר מספר דקות ועושה רושם שבכך נגמר תפקידם בסיפור.
חברות האשראי גם הן לא צד בעניין. אמנם עשרות אלפי לקוחות שלהם חשופים לגניבה והן חשופות לתשלומי פיצויים במקרה זה, אבל לא המערכות שלהן נפרצו והן לא יכלו לעשות דבר על מנת למנוע זאת.
מי כן?
יש פה רק אשם אחד. קבוצה של אתרי אינטרנט, חסרי ידע ובעיקר חסרי אחריות, שידעו לקחת מידע חסוי מהלקוחות שלהם, אבל לא עשו דבר על מנת להגן עליו. ואם זה לא מספיק, אתרים אלו התעלמו לחלוטין מכל מה שקשור לתקנות שמירת פרטי אשראי של לקוחות ואני בטוח שאם נשאל אותם, אף אחד מהם לא שמע מעולם על תקן מוזר שנקרא PCI.
פריצה למאגר נתונים של אתר אינטרנט היא דבר שכיח. זה לא אמור לקרות אבל זה קורה, כמעט לכולם. למה זה קורה? כי אבטחת מידע ברמה גבוהה עולה הרבה מאד כסף ומסבכת מאד את הגישה למאגר הנתונים. מפתחים רבים מעדיפים (ובמקרים רבים בצדק) לוותר על המורכבות והעלות וכל עוד המידע שנשמר הוא בסיסי, הנזק שבדליפתו הוא קטן ופרטים חסויים, כגון סיסמאות, מוצפנים, מדובר בפשרה הגיונית.
כשמדובר במידע רגיש, כגון פרטי אשראי, הסיפור הוא הרבה יותר מורכב. קיימים תקנים, מחמירים ביותר, הכוללים את כל האספקטים של המערכת, החל מהקוד, דרך החומרה, בקרה ותיעוד ועד גישה פיזית לשרתים, המאפשרים לשמור מידע מסוג זה רק לחברות שעומדות בתקנים אלו. כל אתר שלא עבר תקינה אסור לו לשמור פרטי אשראי של לקוחות.
תהליך התקינה הוא לא פשוט ובעיקר לא זול ועל כן חברות רבות נמנעות מלהיכנס לתחום זה. חברות עם אחריות ציבורית מחפשות אלטרנטיבות לבעיית סליקת האשראי, מבלי להתחייב לתקנים, אך גם מבלי לעבור עליהם מצד שני. מאות חברות בעולם (חלקן בישראל) ישמחו לקחת מכם את האחריות הזאת ולספק לכם שרותים אלו ללא כל סיכון מצדכם. אמנם גם חברות אלו מחוייבות לתקנים מחמירים אבל כיוון שהן מספקות את השרות לאלפי לקוחות, ההשקעה של ספקי שרות אלו באבטחת מידע גדולה בסדרי גודל מכל מה שאתר, מצליח וגדול ככל שיהיה, יכול היה להשקיע. זה לא אומר שספקים אלו חסינים לפריצות אבל האקרים פורצים למקומות שקל לפרוץ אליהם. אין שום סיבה בעולם לשרוף ימים על מנת לפצח מספר הגנות במערכות מאובטחות במקום לפרוץ בדקות אתר לא מאובטח, התוצאה היא אותה תוצאה.
האתרים מהם נגנב המידע של הסעודים עברו על כל כלל בסיסי של אבטחת מידע. לא רק שהם שמרו מידע של לקוחות שהם לא אמורים לשמור (למה אתר קופונים צריך לשמור את פרטי כרטיס האשראי של הלקוח???) הם שמרו אותם במה שנקרא Clear Text, פשוט, קריא ולא מוצפן. אגב, השטות של שמירת מידע לא מוצפן חוזרת על עצמה בחלק מהקבצים גם לסיסמאות המשתמש לאתרים אלו. אם השם שלכם מופיע באחד הקבצים, ממולץ להחליף את הסיסמא שבה אתם משתמשים בדרך כלל לרישום לאתרים. אחרי הפרסום של ערוץ 10 אתמול בלילה וההמשך הבוקר, לכמה עשרות אלפי אנשים יש אותה.
ומי סובל?
הכי מסכנים מכל הסיפור הזה הם הלקוחות. רק מהכאב ראש של להחליף כרטיס אשראי בגלל שרצית לקנות חופשה בים המלח (כן, גם מידע זה מגיע מאותו קובץ) בהנחה של 200 שקל, הופך את העסקה ללא ממש משתלמת, גם אם חברת האשראי תחזיר לכם את מה שעלולים לגנוב מכם.
פורסם לראשונה בבלוג “מעונן חלקית”
הגב
16 תגובות על "חסרי אחריות – על פרשת הפריצה לאתר One / דעה"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
לא אכפת לי שהכ.א נחשף רק למה הסיסמא שלי כתובה בצורה שכולם יכולים לקרוא אותה??? לא שמעו על SHA1??? ביזיון!
פשוט מחדל מצד מפתחים חובבנים. “מי נתן להם רישיון?”
זה שיש אלגוריתמים שלא ניתן “לפרוץ אותם” (התכוונת למפתח כללי אני מניח), לא אומר שאתה לא מוצא תוך שניה את המפתח על השרת או שהאתר שומר את זה בMD5 ללא SALT ואז אתה מביא מאגר והופך את כל הסיסמאות חזרה. הבעיה היא חדירה לשרת, הגנה מבחוץ. על הדרך גם צריך להצפין הכל. מבחינת לשמור CC אין שום סיבה לעשות דבר כזה, בטח לא CVV.
שחר, אלו היו האקרים חובבנים… =\ אני בספק כמה הם היו עושים את זה….
שחר, יקיר,
אם עובדים עם הצפנות כמו MD5, SHA1, SHA256, SHA512, SHA-3… והסיסמאות באורך טריוויאלי אכן ניתו לפרוץ בכוח בהנתן מספיק כוח חישוב וזמן סביר. לכן עדיף להשתמש באלגוריתם כמו bcrypt
http://codahale.com/how-to-safely-store-a-password/
מה ה-url של אתר one המדובר?
אכן חוסר אחריות,
חייב לציין שבעברי יצא לי להתקל בתופעה (גם בחברות גדולות) בהם פשוט מתכנתים רשמו ל-DB ישירות והניחו שזה בסדר, לא בכוונה אלא מחוסר ניסיון,
כמובן שהדבר הראשון שעשיתי היה להצפין את אותו מידע רגיש אבל אני יכול לציין מה היה קורה חלילה אם המידע הרגיש היה זולג,
שלא לדבר על זה שה-DB לפעמים פתוח החוצה ואפשר פשוט להתחבר ישירות ל-DB מבחוץ (“כי זה הכי נוח”)
ישי – bcrypt הוא אלגוריתם מעולה ומומלץ להשתמש בו במיוחד בנתונים רגישים,
Note that even if you don’t store the credit card numbers, you still have to be PCI compliant (to a lesser degree) since you have the card numbers flowing through your systems.
A hacker may listen on the internal traffic and memory dumps, that would be enough to get credit card numbers even if they are not stored.
For more info see:
http://www.pcicomplianceguide.org/pcifaqs.php#1
The Payment Card Industry Data Security Standard (PCI DSS) is a set of requirements designed to ensure that ALL companies that process, store or transmit credit card information maintain a secure environment…
אפשר לדעת מי אלה אותן עשרות אלפי עיניים?
מה ההכשרה ורמת הידע של אותם אנשים בתחום אבטחת מידע?
מהי ההסמכה שלהם בנושא אבטחת המידע?
האם עצם העובדה שמתכנת בינוני (סטטיסטיקה…לא כולם עילויים) מסתכל בקוד הופכת אותו ליותר מאובטח?
בקיצור, מיתוס
איך אפשר לדעת אילו אתרים בטוחים ? האם יש דרך?
נשמע האופן כללי שלא כדאי לסמוך על אף אחד. תמיד יהיו אלו שיצליחו לפרוץ ולהתחכם. כמו כל דבר טכנולוגי בימינו.
ONE.CO.IL
התגובה שלי למעלה היתה לאורי ששאל מה הURL של ONE.. חבל שהיא לא מופיעה תחת התגובה שלו.
בכל אופן כתבה מעניינת, תודה.