חסרי אחריות – על פרשת הפריצה לאתר One / דעה

בועז זינימן חושב שאתרים מהם נגנב המידע של הסעודים עברו על כל כלל בסיסי של אבטחת מידע – לא רק שהם שמרו פרטי אשראי, הם שמרו אותם בצורה פשוטה, קריאה ושאינה מוצפנת. דעה.

האתר אליו הופנו גולשי One (צילום מסך)

אז כולם מדברים הבוקר על הקבצים שפירסמו החבר’ה מערב הסעודית, עם עשרות פרטים מזהים כגון שמות, כתובות email, טלפונים, סיסמאות והכי חשוב פרטים מלאים, כולל מספר כרטיס, תוקף וקוד אימות של כרטיסי אשראי של כמה אלפי ישראלים.

מי שהספיק להוריד את הקבצים, יכול להתרשם שלא מדובר בשיא הטכנולוגיה. אולי הדעה שלי מוסחת מהעובדה שמדובר בבני דודינו, לובשי הגלימות ונסיכי הנפט מדרום, אבל קשה שלא לשאול את השאלה איזה האקר דמיקולו מפרסם קבצים בפורמט MS Access או קבצי HTML. המשפט האחרון היה יכול להיות לא רלוונטי לפוסט זה אבל אם לוקחים דברים אלו בחשבון, קשה לי להאמין שמדובר בפרציה מתוחכמת, מה שהופך את העניין לעוד יותר מרגיז.

מי לא אשם?

התקשורת, שמנפחת את הסיפור מעבר לכל פרופורציות (אבל מה חדש), מחפשת מישהו להפנות אליו את האצבע אבל בסיפור הזה די ברור, לפחות לי, מי לא אשם.

האתר One, שנפרץ אתמול בלילה ושימש פלטפורמה להפצת הודעת הקבוצה הסעודית והלינק לקבצים, צריך להיות נבוך מעט, אבל לא יותר מזה. פריצות מסוג זה שכיחות מאד וקורות לטובים וגדולים מ – One (כולל משרדי ממשלה ומערכת הבטחון). באותו מידה יכלו הסעודים לשים שם דגל פלסטין או את סרטון הוידאו של המרמרה. One תיקנו את התקלה לאחר מספר דקות ועושה רושם שבכך נגמר תפקידם בסיפור.

חברות האשראי גם הן לא צד בעניין. אמנם עשרות אלפי לקוחות שלהם חשופים לגניבה והן חשופות לתשלומי פיצויים במקרה זה, אבל לא המערכות שלהן נפרצו והן לא יכלו לעשות דבר על מנת למנוע זאת.

מי כן?

יש פה רק אשם אחד. קבוצה של אתרי אינטרנט, חסרי ידע ובעיקר חסרי אחריות, שידעו לקחת מידע חסוי מהלקוחות שלהם, אבל לא עשו דבר על מנת להגן עליו. ואם זה לא מספיק, אתרים אלו התעלמו לחלוטין מכל מה שקשור לתקנות שמירת פרטי אשראי של לקוחות ואני בטוח שאם נשאל אותם, אף אחד מהם לא שמע מעולם על תקן מוזר שנקרא PCI.

פריצה למאגר נתונים של אתר אינטרנט היא דבר שכיח. זה לא אמור לקרות אבל זה קורה, כמעט לכולם. למה זה קורה? כי אבטחת מידע ברמה גבוהה עולה הרבה מאד כסף ומסבכת מאד את הגישה למאגר הנתונים. מפתחים רבים מעדיפים (ובמקרים רבים בצדק) לוותר על המורכבות והעלות וכל עוד המידע שנשמר הוא בסיסי, הנזק שבדליפתו הוא קטן ופרטים חסויים, כגון סיסמאות, מוצפנים, מדובר בפשרה הגיונית.

כשמדובר במידע רגיש, כגון פרטי אשראי, הסיפור הוא הרבה יותר מורכב. קיימים תקנים, מחמירים ביותר, הכוללים את כל האספקטים של המערכת, החל מהקוד, דרך החומרה, בקרה ותיעוד ועד גישה פיזית לשרתים, המאפשרים לשמור מידע מסוג זה רק לחברות שעומדות בתקנים אלו. כל אתר שלא עבר תקינה אסור לו לשמור פרטי אשראי של לקוחות.

תהליך התקינה הוא לא פשוט ובעיקר לא זול ועל כן חברות רבות נמנעות מלהיכנס לתחום זה. חברות עם אחריות ציבורית מחפשות אלטרנטיבות לבעיית סליקת האשראי, מבלי להתחייב לתקנים, אך גם מבלי לעבור עליהם מצד שני. מאות חברות בעולם (חלקן בישראל) ישמחו לקחת מכם את האחריות הזאת ולספק לכם שרותים אלו ללא כל סיכון מצדכם. אמנם גם חברות אלו מחוייבות לתקנים מחמירים אבל כיוון שהן מספקות את השרות לאלפי לקוחות, ההשקעה של ספקי שרות אלו באבטחת מידע גדולה בסדרי גודל מכל מה שאתר, מצליח וגדול ככל שיהיה, יכול היה להשקיע. זה לא אומר שספקים אלו חסינים לפריצות אבל האקרים פורצים למקומות שקל לפרוץ אליהם. אין שום סיבה בעולם לשרוף ימים על מנת לפצח מספר הגנות במערכות מאובטחות במקום לפרוץ בדקות אתר לא מאובטח, התוצאה היא אותה תוצאה.

האתרים מהם נגנב המידע של הסעודים עברו על כל כלל בסיסי של אבטחת מידע. לא רק שהם שמרו מידע של לקוחות שהם לא אמורים לשמור (למה אתר קופונים צריך לשמור את פרטי כרטיס האשראי של הלקוח???) הם שמרו אותם במה שנקרא Clear Text, פשוט, קריא ולא מוצפן. אגב, השטות של שמירת מידע לא מוצפן חוזרת על עצמה בחלק מהקבצים גם לסיסמאות המשתמש לאתרים אלו. אם השם שלכם מופיע באחד הקבצים, ממולץ להחליף את הסיסמא שבה אתם משתמשים בדרך כלל לרישום לאתרים. אחרי הפרסום של ערוץ 10 אתמול בלילה וההמשך הבוקר, לכמה עשרות אלפי אנשים יש אותה.

ומי סובל?

הכי מסכנים מכל הסיפור הזה הם הלקוחות. רק מהכאב ראש של להחליף כרטיס אשראי בגלל שרצית לקנות חופשה בים המלח (כן, גם מידע זה מגיע מאותו קובץ) בהנחה של 200 שקל, הופך את העסקה ללא ממש משתלמת, גם אם חברת האשראי תחזיר לכם את מה שעלולים לגנוב מכם.

פורסם לראשונה בבלוג “מעונן חלקית”

Avatar

בועז זינימן

בועז זינימן מנהל את מעונן חלקית, בלוג בעברית המוקדש ברובו למחשוב ענן (Cloud Computing) וטכנולוגיה בכלל. בועז משמש כדירקטור טכנולוגיה ותשתיות ענן בחברת Zend Technologies ובארבעת השנים האחרונות הוא ניהל את הצוותים הטכנולוגיים ב – Zend, כולל תיכנון ופיתוח כל מערכות ה – Web, פתרונות Hosting, אסטרטגיית IT ותשתיות.

הגב

16 תגובות על "חסרי אחריות – על פרשת הפריצה לאתר One / דעה"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
יקיר
Guest

לא אכפת לי שהכ.א נחשף רק למה הסיסמא שלי כתובה בצורה שכולם יכולים לקרוא אותה??? לא שמעו על SHA1??? ביזיון!

אלעד
Guest

פשוט מחדל מצד מפתחים חובבנים. “מי נתן להם רישיון?”

שחר
Guest
כתבה נכונה ומדברת על בעיה שהתעלמו ממנה (יחסית) בתקשורת וניסו לכסתח אותה. אוסיף רק את חברת האחסון. לטענתה, היא אינה אחראית לאתר אשר נכתב בטכנולוגיה שהיא לא מכירה ולכן לא בדקה אותו. כיצד חברת אחסון שרתים השומרת מספרי כרטיסי אשראי (פעולה שחוקיותה מוטלת בספק אם אינם עומדים בתקנים כגון PCI) נותנת אפשרות לגישת ROOT מחשבון הוסטינג של מישהו אחר? כיצד לא נמנעה הגישה מאותו אתר שלטענתם בנוי בצורה לא מאובטחת ואיפה האחריות שלהם על תקינות השירות והשרת ללקוחות האחרים? יקיר – יש הרבה אלגוריתמים כאלו שלא ניתן לפרוץ אותם (בניגוד לטענות דובל). להבנתי, הפורצים השיגו גישה מלאה (ROOT) לשרת ולכן… Read more »
ון
Guest

זה שיש אלגוריתמים שלא ניתן “לפרוץ אותם” (התכוונת למפתח כללי אני מניח), לא אומר שאתה לא מוצא תוך שניה את המפתח על השרת או שהאתר שומר את זה בMD5 ללא SALT ואז אתה מביא מאגר והופך את כל הסיסמאות חזרה. הבעיה היא חדירה לשרת, הגנה מבחוץ. על הדרך גם צריך להצפין הכל. מבחינת לשמור CC אין שום סיבה לעשות דבר כזה, בטח לא CVV.

יקיר
Guest

שחר, אלו היו האקרים חובבנים… =\ אני בספק כמה הם היו עושים את זה….

ישי סמיט
Guest

שחר, יקיר,
אם עובדים עם הצפנות כמו MD5, SHA1, SHA256, SHA512, SHA-3… והסיסמאות באורך טריוויאלי אכן ניתו לפרוץ בכוח בהנתן מספיק כוח חישוב וזמן סביר. לכן עדיף להשתמש באלגוריתם כמו bcrypt
http://codahale.com/how-to-safely-store-a-password/

אורי
Guest

מה ה-url של אתר one המדובר?

יוסי
Guest

אכן חוסר אחריות,
חייב לציין שבעברי יצא לי להתקל בתופעה (גם בחברות גדולות) בהם פשוט מתכנתים רשמו ל-DB ישירות והניחו שזה בסדר, לא בכוונה אלא מחוסר ניסיון,
כמובן שהדבר הראשון שעשיתי היה להצפין את אותו מידע רגיש אבל אני יכול לציין מה היה קורה חלילה אם המידע הרגיש היה זולג,
שלא לדבר על זה שה-DB לפעמים פתוח החוצה ואפשר פשוט להתחבר ישירות ל-DB מבחוץ (“כי זה הכי נוח”)

ישי – bcrypt הוא אלגוריתם מעולה ומומלץ להשתמש בו במיוחד בנתונים רגישים,

zohar
Guest
מסיבה זו בדיוק כדאי להשתמש במערכת ניהול תוכן *טובה*, ורצוי בקוד פתוח, שעשרות אלפי עיניים לפחות, שוטפות את הקוד ומגלות בעיות, שנפתרות עוד בטרם הן הופכות לסכנה מוחשית. יש מספר לא מבוטל של מערכות כאלה, ואין סיבה לבנות אתר מאפס, בלי יכולת לדאוג לכל בעיית אבטחה שכמוה צצות בכל יום. אנחנו משתמשים בדרופל (http://www.drupal.org.il) גם לאתרי מסחר אלקטרוני, ונהנים מרמת אבטחה התחלתית גבוהה. חשוב לציין שמדובר ברמת אבטחה *התחלתית” בלבד, משום שכל חתיכת קוד שאנחנו מוסיפים למערכת בכל אתר שאנו בונים, עלולה להכיל גם היא בעיות אבטחה חדשות, ועל כן זהו תפקידנו, כמי שבונים אתרים, לדאוג לכך שהקוד ימשיך להיות… Read more »
ישי סמיט
Guest

Note that even if you don’t store the credit card numbers, you still have to be PCI compliant (to a lesser degree) since you have the card numbers flowing through your systems.
A hacker may listen on the internal traffic and memory dumps, that would be enough to get credit card numbers even if they are not stored.

For more info see:
http://www.pcicomplianceguide.org/pcifaqs.php#1
The Payment Card Industry Data Security Standard (PCI DSS) is a set of requirements designed to ensure that ALL companies that process, store or transmit credit card information maintain a secure environment…

גולש
Guest

אפשר לדעת מי אלה אותן עשרות אלפי עיניים?
מה ההכשרה ורמת הידע של אותם אנשים בתחום אבטחת מידע?
מהי ההסמכה שלהם בנושא אבטחת המידע?

האם עצם העובדה שמתכנת בינוני (סטטיסטיקה…לא כולם עילויים) מסתכל בקוד הופכת אותו ליותר מאובטח?

בקיצור, מיתוס

ישי
Guest

איך אפשר לדעת אילו אתרים בטוחים ? האם יש דרך?
נשמע האופן כללי שלא כדאי לסמוך על אף אחד. תמיד יהיו אלו שיצליחו לפרוץ ולהתחכם. כמו כל דבר טכנולוגי בימינו.

SGS
Guest

ONE.CO.IL

SGS
Guest

התגובה שלי למעלה היתה לאורי ששאל מה הURL של ONE.. חבל שהיא לא מופיעה תחת התגובה שלו.
בכל אופן כתבה מעניינת, תודה.

הזומבקי
Guest
לכתב – אל תקל ראש בחוסר האחריות של ONE. לפני יותר משלוש שנים מצאתי אצלם פירצה, שאיפשרה לי גישה לכל הפרטים של המשתמשים שלהם (כולל סיסמאות גלויות). לא השגתי גישה לכרטיסי אשראי, אבל גם לא כל כך ניסיתי, ואני ממילא לא האקר – סתם איש מחשבים ששמע על SQL injection, ונוהג לבדוק מדי פעם אתרים מזדמנים. את הפירצה שאני מצאתי הם הואילו בטובם לחסום, מספר שבועות אחרי הדיווח, אבל אני מניח שאת שאר הפרצות הם השאירו. עוד על הסיפור כאן: http://www.we-cms.info/blog/one-sql-injection באופן כללי, אני חושב שבהעיה היסודית היא שבישראל יש אוכלוסיה עם נגישות גבוהה לאינטרנט ורמה גבוהה של פעילות מקוונת,… Read more »
בועז זינימן
Guest
תודה לכולם על התגובות! @ישי – האמת אי אפשר באמת לדעת. בסופו של דבר מדובר “בגורם האנושי”, DBA שלא הגדיר נכון משתמשים, מפתח חפיפניק וכו’ שיכולים להפיל מערכת שהושקעה בה עבודת אבטחה של אלפי שעות. נכון שגם לזה יש כלים אבל כמעט תמיד יש חור ואם לא היום, אז בעדכון הבא של המערכת. אני נוטה לסמוך על חברות גדולות יותר מחברות קטנות ועל מי שאני לא סומך (DealExtreme) ובכל זאת רוצה לרכוש ממנו שרותים, אני מסכים לשלם אך ורק ב – PayPal. @הזומבקי – מסכים איתך לחלוטין אבל ל – One לא היה חלק בכל מה שנוגע לסיפור כרטיסי האשראי.… Read more »
wpDiscuz

תגיות לכתבה: