פריצות הטורקים – בעיה רצינית: עשרות אלפי סיסמאות משתמשים נחשפו

עשרות אלפי שמות משתמש וסיסמאות עבור אתר ישראלי ידוע נמצאו בקובץ אקסל באתר האקרים טורקי וכן התגלו שני קבצי מידע נוספים בהם מעל 76,000 שמות משתמש וסיסמאות סך הכל. נראה שיש לנו בעיה

בתחילת חודש יוני נפרצו חשבונות ישראלים בפייסבוק, ג’ימייל, MSN Messenger ומקומות נוספים, על ידי האקרים טורקיים ששתלו מסרים בגנות ישראל בחשבונות אלו. בתאריך 6.6.2010 פורסם במדור המחשבים של Ynet המאמר “איך נפרצו חשבונות פייסבוק ישראלים” מאת גדי עברון, מומחה אבטחה, לשעבר מנהל אבטחת המידע של תהיל”ה ומקים ה-CERT הממשלתי. באותו מאמר עברון, מתקשה להאמין ש”ההאקרים, גנבו את נתוני הגישה לחשבונות הפייסבוק במיוחד למען מטרה זו של השחתת חשבונות ישראלים” ומציין כי “הגיוני יותר כי הפושעים גנבו את הפרטי הגישה למען מטרה פלילית כלשהי, וניצלו את ההזדמנות והשתמשו בנתונים שכבר היו להם – כדי לפרוץ לחשבונות”. עברון מעריך במאמר כי הפריצה נעשתה באמצעות פישינג (אתר המתחזה לפייסבוק ודורש מהמשתמש להזין סיסמה) או באמצעות סוסים טרואיינים.

יכול להיות שכל זה קרה כך וזה נשמע הגיוני, אבל אני חושש שמה שקרה הוא הרבה הרבה יותר בעייתי מזה.

אתמול בלילה חיפשתי משהו אחד ומצאתי משהו לגמרי אחר, קובץ אקסל המכיל 32,560 פרטי כתובות מייל וסיסמאות של משתמשים ישראלים. אחזור על המספר: שלושים ושניים אלף חמש מאות ושלושים.

בפורום אליו הגעתי, לקח לי קצת זמן מה בדיוק עומד לפני (בעיקר בגלל שהטורקית שלי לא ממש טובה) אבל זה מה שהבנתי: בתאריך 5.6.2010  יצאה לפועל התקפה של קבוצת האקרים טורקיים על אתר מסחרי מאד מאד גדול ומרכזי בישראל שכמעט כל מי שאני מכיר השתמש בו לפחות פעם ופתח בו חשבון. מטרת ההתקפה היתה להשיג את פרטי החשבונות של המשתמשים כדי לעשות שימוש בנתונים ולפרוץ בעזרתם לחשבונות הפייסבוק ואתרים נוספים.

הפריצה הצליחה וההאקרים השתמשו בנתונים שבידם כדי להיכנס לחשבונות באתרים אחרים. בהנחה שגולשים רבים משתמשים באותו מייל ובאותה סיסמה ובאותו יוזר כדי להירשם לכל האתרים הדורשים רישום (יותר קל לזכור…), המייל והסיסמה מהאתר שנפרץ יהיו גם אותם מייל וסיסמה שיכניסו אותם לג’ימייל, פייסבוק, מסנג’ר ועוד. כשאני אומר עוד, אני מתכוון גם ל-PayPal. מתוך מה שהצלחתי להבין בפורום, ההאקרים חדרו לחשבונות פייפל של ישראלים ולחשבונות בנקים וגם השיגו פרטי כרטיסי אשראי.

מדוע לא שמענו על גניבות שבוצעו? להבדיל ממה שהעריך גדי עברון הפריצות לא נעשו במטרה פלילית, אלא פוליטית. בפורום מתקיים ויכוח בנושא, חלק טוענים שאסור לגעת בכספים היות והאג’נדה היא פוליטית וגניבה תפגע במטרה. חלק אחר מביא אסמכתאות מהקוראן לגבי מה מותר לעשות עם כסף של כופרים. יתכן גם שכספים נגנבו והבעלים לא הבחינו בכך.

נחזור למספר: 32,560. מספר מאד גדול, אך למעשה יתכן וקיים קובץ אקסל הרבה הרבה יותר גדול. כנראה (כאן קלינגר עזר להגיע למסקנה) מדובר רק בחשבונות פרימיום משלמים כאשר למעשה לאותו אתר יש הרבה יותר משתמשים רשומים. אם ההאקרים הגיעו גם לנתונים ההם, היקף החשיפה של משתמשים ישראלים הוא הרבה יותר גדול.

הצרות לא נגמרות כאן, הסתכלות על הקובץ מגלה עוד כמה נתונים בעייתיים, כגון: 142 כתובות מייל וסיסמאות של gov.il ו-305 כתובות ac.il ועוד בעיות אחרות.

איך יוצאים מזה?

ראשית, יתכן ויש כאן עבירה פלילית היות ונראה כי אותו אתר גדול לא שמר את פרטי המשתמשים כפי שדורש החוק (יש חוק) והסיסמאות לא היו מוצפנות (לא בטוח לגבי זה, אך כך נראה). בנוסף, חייבים להודיע לכל משתמשי האתר כי פרטיהם נחשפו ובעיקר, אם הם משתמשים באותם פרטים באתרים אחרים, עליהם ללכת לאותם אתרים אחרים ולהחליף בהם את הסיסמאות. כלומר, אותו אתר, שעד היום בבוקר לא ידע בכלל שפרצו אליו, צריך לפנות לכל המשתמשים או לצאת בהודעה בנושא.

מה עשיתי עם המידע

דבר ראשון בבוקר יום שישי, פניתי אל האתר והודעתי להם על העניין והעברתי להם את כל הפרטים שברשותי. אני לא מציין כאן את שם האתר כדי לתת להם את ההזדמנות לטפל בזה כמו שצריך ולעשות את הדבר הנכון. במידה ולא יהיה טיפול, אני סבור שהמשתמשים צריכים לדעת על חשיפת פרטיהם ואעביר את זה למי שיכול להגיע לתפוצה רחבה כדי  שהנושא יפורסם.

פניתי אל המשטרה והעברתי את הפרטים ליחידת לה”ב. אני שוקל אם צריך להעביר את הנושא גם לרשות למשפט וטכנולוגיה היות ויתכן שבוצעה עבירה פלילית של רשלנות בניהול מאגר מידע כי הסיסמאות היו צריכות להישמר מוצפנות.

העברתי את המידע ואת הפורום למומחה לאבטחת מידע היות ומצוינות שם שיטות, ידע ודרכים להתקפות ונראה שאפשר ללמוד שם משהו שיעזור להתגוננות.

חלק מתיעוד הפריצות

חשבון פיי פאל שנפרץ

פוסט זה פורסם במקור באתר We CMS

עדכונים מאת מערכת ניוזגיק:

עדכון – 21:02: על פי הדיווח באתר וואלה! במקביל לבדיקתנו שלנו, התברר שהאתר המדובר בו הינו אתר המודעות הומלס (Homeless.co.il), אחד מאתרי המודעות הגדולים בישראל. מהומלס נמסר לוואלה!: “חשוב ראשית להבהיר שהפריצה הייתה לחלק קטן מאד במאגר בתוך הומלס (לא הראשי) והפריצה כללה אך ורק שמות משתמש ולא לשום פרט אישי! אנו מתמודדים כל העת עם ניסיונות הבלתי פוסקים של האקרים מוסלמיים לפרוץ לאתרים המובילים בישראל ומשפרים ללא הרף את האבטחה שלנו. גם במקרה זה, מרגע שגילינו את הפריצה למאגר השולי, מיידית, כל הסיסמאות אופסו, והורדו מכל השרתים שבהם הם הופיעו. ככלל, בהומלס לא נשמרים בכלל פרטים אישים ו/או פרטים פיננסים וזאת מהסיבה של המצב המדיני של ישראל אשר גורר התקפות אלימות על האתרים המובילים.”

יתרה מכך, בשיחה עם וואלה! אמר מנכ”ל האתר, פז דרור, כי רק כ-2500 מתוך הסיסמאות בקובץ הן מהומלס. דרור טוען כי מחר (א’) ישלחו בהומלס מייל לכל מי שסיסמתו נפגעה לרבות אנשים שאינם רשומים בהומלס כיום, כדי להזהיר את המשתמשים.

בנוסף, התגלו עוד שתי רשימות נוספות של כתובות דואר אלקטרוני של ישראלים עם סיסמאות. לא ברור מאיזה אתר לקחו הרשומות בקובץ הראשון, המכיל כ-70,000 צירופי דואר אלקטרוני וסיסמא. הקובץ השלישי שמכיל ככל הנראה את המשתמשים מאתר החב”ד, מכיל כ-7,000 משתמשים נוספים.

עדכון – 21:32: מנכ”ל מגלן טכנולוגיות הגנת מידע, שי בליצבלאו אומר: “החשיפה של עשרות אלפי חשבונות דוא”ל, פייסבוק, אתרי שיתוף קבצים ועוד ועוד התגלתה ע”י מעבדת המחקר של מגלן-טכנולוגיות הגנת מידע בע”מ כבר בתחילת חודש יוני 2010 במסגרת המעקב והמחקר של פריצות וחדירות לאתרי ומערכות אינטרנט בישראל ועם תחילת גל התקיפות הלוגיות בעקבות המשט הטורקי לעזה. כבר בשבוע הראשון של יוני נאספו במגלן למעלה 120,000 שמות משתמש וסיסמאות של חשבונות ישראליים בפרט של חשבונות דואר אלקטרוני, רשתות חברתיות, כרטיסי אשראי, קבוצות דיון ופורמים. בניגוד להערכות שהתפרסמו כי חשיפת שמות משתמש והסיסמאות היו תוצאה של “פישניג” (אתרים מתחזים), התברר מעל לכל ספק כי מקורם המרכזי של שמות משתמשים והסיסמאות הם אתרים שנפרצו והכילו מידע זה. בדיקת מגלן מצאה כי פריצה לתא דואר אלקטרוני גוררת אחריה חשיפה מיידית של 4 חשבונות נוספים היות והרשמת משתמש תמיד תעשה לחשבון הדוא”ל של אותו משתמש (למשל פייסבוק, מסנג’ר, פורומים וכו’).  בנוסף התברר כי מידע ארגוני רב מוצא עצמו גם לחשבונות משתמשים פרטיים ובכך האיום משמעותי עוד יותר. דאז, המידע דווח לגורמי הביטחון של מדינת ישראל לשם ביצוע הערכת איום רחבה יותר.”

מגלן מציעה כפתרון המיידי לבצע החלפת סיסמה לסיסמה חזקה (מינימום 8 תווים, ללא היקש לוגי המשולבת סימנים, אותיות ומספרים) ובחלק מהאתרים והתוכנות להגביל גישה רק לחברים שאושרו על ידי המשתמש בלבד. יחד עם זאת הערכת מומחי מגלן היא כי לפחות שליש מחשבונות המשתמשים שנפרצו יאלצו להסגר במקודם או במאוחר היות ולא תהא דרך לחסום גישה של פורצי מחשבים העושים בהם שימוש. יתר על כן קיים חשש משמעותי של שימוש בחשבונות שנפרצו לביצוע פריצות אחרות, גניבת זהות ופעילות פלילית.

אם אכן מדובר באתרים שפגיעויות בהם נמצאו לפני מעל חודש, מדוע לא עשו בעלי האתרים שנפרצו (עד כה ידוע על הומלס וחב”ד) דבר להגן על המשתמשים שלהם? על שאלה קשה זו יאלצו להשיב בעלי האתרים האלו לא רק לעיתונאים אלא גם למשתמשים עצמם.

רוצים לבדוק אם המייל שלכם מופיע ברשימות? אייל שחר פיתח כלי קטן ופשוט המאפשר לכם לבדוק את המייל שלכם מול הרשימות השונות.

ארז וולף

בנוסף לבלוג WE-CMS מפעיל אתרים על ג'ומלה, מרצה על מערכות ניהול תוכן, מרכז תרגום והתאמה לעברית עבור מספר מערכות ניהול תוכן (websitebaker, 19pages, pluck, modx, zenphoto, phpizabi ועוד כמה שבדרך), מפעיל בלוג אישי נוסף בקפה דה-מרקר ומחזיק מספר רב של אתרי אינדקסים ואתרים מסחריים.

הגב

20 תגובות על "פריצות הטורקים – בעיה רצינית: עשרות אלפי סיסמאות משתמשים נחשפו"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.

סידור לפי:   חדש | ישן | הכי מדורגים
גידי
Guest

אתם חייבים ליידע אותנו מה שם האתר – שנדע אם אנחנו צריכים לדאוג.
אומנם שיניתי את כל הסיסמאות שלי לאחרונה בדיוק מהחשש הזה, אבל עדיין – חשוב לכולנו לדעת אם יש סיכוי שאחנו נמצאים ברשימת ה30,000 הזו.

באיזה אתר מדובר??

אור
Guest

אני מניח שתדע את זה בקרוב דרך האתר עצמו או דרך ערוץ חדשות כזה או אחר במידה והאתר לא ינקוט באמצעים הנדרשים.

גידי
Guest

ובכל זאת…

גיל
Guest

מומלץ לשנות מידי פעם ססמאות.. לא מזיק אף פעם!

עמוס
Guest

ידוע לי שלכל מדינה יש סדרת כתובות IP ייחודיות ,
לכן אולי מומלץ לאתרים ישראלים לחסום משתמשים על פי כתובת IP
של המדינה משם הם מגיעים .

לדוגמא תורכיה ,
שכן מה יש לתורכים לחפש באתרים ישראלים דוגמת הומלס ?
האם הם מתכוונים לקנות דירות בישראל ?
ואם כן שיחפשו דירות בעזה .

שחר
Guest

ךדעתי צריכים להקים קבוצת אקרים מטעמנו כדי למצוא את הגנבים האלה ולהעניש אותם קשות ולעשות אותם עניים כל כך שלא יהיה לבהם כסף לשלם חשמל בשביל להפעיל מחשבים למעשיהם.

ניר
Guest
קיבלתי אתמול מייל מאתר מאמרים שבוא הם אומרים שפרצו להם, ציטוט מהמייל שנשלח אלי: ” שלום רב, כמו מרבית האתרים הגדולים בישראל – פעמים רבות עומד אתר מאמרים בפני התקפות חוזרות ונשנות של האקרים המעוניינים לפגוע באתרים ישראלים. מקרה כזה התרחש לפני כחודש – בעת המשט התורכי לעזה, בו הצליחו האקרים תורכיים להשיג את כתובות המייל והססמאות של 990 מתוך 12 אלף הכותבים באתר. מייל זה נשלח אליכם מכיוון שכתובת המייל שלכם זוהתה כאחת מהכתובות שנגנבו מהאתר. הפירצה תוקנה והמערכת אינה חשופה יותר לפירצה, וחשוב להדגיש כי נכון לרגע זה לא בוצע שימוש לרעה בנתונים בתוך אתר מאמרים. עם זאת,… Read more »
אנונימי
Guest

חבל מאוד שאתר Homeless לא משתמש בפרוטוקול HTTPS

דרך אגב, גם אתר הדואר של Walla לא משתמש בפרוטוקול HTTPS

יגאל
Guest

חבל מאוד ששום אתר בארץ כמעט לא משתמש ב-HTTPS
אם תשאלו אותי, נובע ישירות ממי שבונה את האתרים האילו.
הגדרת השרת היא פשוטה מאוד, פשוט אין מודעות לאבטחת מידע בארץ.
מה זה לא מובן שהעברת מידע בין מחשב לקוח לשרת אינה מוצפנת אם לא מצפינים אותה? לא צריך אפילו לפרוץ למחשב שלכם כדי להאזין למידע הזה, אפשר לעשות את זה מכל אחד מהשרתים בדרך ולא יהיה לכם שום מושג.
SLL, TLS – לא המציאו את זה אתמול.

ארז
Guest

זה טפשי ומיותר להשתמש ב Https בכל עמוד או בכל האתר כולו, ב SSL יש להשתמש רק בטפסים שמעבירים מידע רגיש, כלומר, בעמודי לוגין או בעמודי הרשמה. ברוב האתרים בארץ -כן- משתמשים ב https בעמודים כאלה, כולל וואלה. מה שחבל זה שאנשים שלא מבינים בנושא מסויים מעירים עליו.

אנונימי
Guest

באתר הומלס הוא לא מתבצע בHTTPS.

shdow
Guest

“נחזור למספר: 32,561.”
זה 32,560, אם אני לא טועה

מאור
Guest

http://www.cyber-warrior.org/Forum/govde-gosterisi–31,0.cwx
זה האתר, האקר טורקי סיפר לי עליו, ופרסמתי את זה ב myisrael ב facebook

שגיא
Guest

אפשר לבדוק אם המייל שלכם ברשימת החשבונות שנחשפו בכתובת
http://lucid.co.il/exposed/

מחכה
Guest

אני עדיים מחכה לאימייל רשמי מהומלס. האימייל שלי מופיש בקובץ ועדיין לא קיבלתי שום הודעה מהומלס. הומלס זורק פה בענק על הלקוחות. למה הם לא מפרסים הודע רשמית באתר שלהם.

yoram
Guest

אז כנראה שאתה לא ברשימה שנפרצה מהומלס ולכן לא קיבלת מייל.
חשוב לדת – נפרצו מעל 2100 אתרים בישראל והומלס הוא רק אחד מהם (שים לב גם לתגובת האתר – מהומלס נגנבו רק כ- 2500 כתובות) ייתכן והכתובת שלך לא הושגה מהוממל – בכל מקרה ממליץ בחום לשנות סיסמאות – – בסך הכל – לא קרה כלום (אלא אם אתה בנקאי מדופלם שהוא במקרה גם מדען אטום וסוכן מוסד) :)

yoram
Guest

המקלדת שלי מקולקלת – אני לא באמת עילג :)

איילת חצור
Guest

בהחלט כתבה מעולה!!!

003918259
Guest

לללללללל

003918259
Guest

חעק

wpDiscuz

תגיות לכתבה: