לקוחות Vodafone לא ישנים בלילה

עוד מאגר מידע ציבורי נחשף לעיני מי שאינו מורשה לכך – הפעם באוסטרליה. האם מדובר במקרה האחרון? כנראה שלא

מפעילת הסלולר האוסטרלית Vodafone חווה תקופה קשה. היא מתמודדת עם תביעה ייצוגית הנוגעת לבעיות ברשת שהיו לה לאחרונה עקב תקלות עם שרתי החברה. עד כאן זה מזכיר מעט חברה ישראלית מאותו התחום. אתמול (א') הודתה החברה כי אחד מספקיה, בעל הרשאה מלאה למאגרי המידע המאחסנים פרטי לקוחות של החברה, שיתף בסיסמא ובשם המשתמש שלו גורמים נוספים.

היקף נזק

היקף הנזק עוד לא ידוע, והצפי הוא שניתן יהיה להעריכו ב-48 השעות הקרובות. בינתיים, המידע שידוע הוא שעיתונאי באחד מעיתוני אוסטרליה יצר קשר עם מנכ"ל החברה וגילה לו שפרטי ההתחברות של אדם עם הרשאות למאגרי המידע של החברה שותפו עם אנשים נוספים.

בשלב זה קשה להעריך את הנזק שעשוי להיגרם לחברה. כמו כן, לא ידוע עדיין האם נחשף המידע לגורמי צד ג' שיתכן והספיקו לנצל את הפרטים שקיבלו כדי לחדור למאגרי המידע של החברה, לערוך שינויים כולל חיובי לקוחות, או האם לחילופין העתיקו את המאגר.

פרטיות הלקוח

מנכ"ל Vodafone טען בראיון לרשת החדשות ABC כי החברה לוקחת את נושא פרטיות הלקוחות והמידע שלהם ברצינות רבה. למעשה, הוא גם אמר בצורה ישירה כי במידה ואכן נגנב מידע מזוהה אישי של לקוחות החברה, יכולה להיות לזה השפעה משמעותית ביותר על המותג של Vodafone באוסטרליה, ועל החברה האוסטרלית בכלל.

התגובה שפורסמה באתר Vodafone בעקבות החשיפה מדאיגה. החברה טוענת שהמידע שבמאגר שלה אינו זמין באינטרנט, עוד לפני שסיימה לבצע חקירה, מצד אחד. מצד שני, בהמשך התגובה שלה היא אומרת שקיימת גישה לאנשים מורשים דרך האינטרנט, והם משתמשים בפורטל מאובטח.

גורמי צד ג'

רק בחלוף כמה ימים, כנראה, נדע האם באמת הועתק המידע, והאם גורמי צד ג' הצליחו לנצל את הפרטים כדי לחדור למערכת ולשנות/להעתיק פרטים.

מאגר המידע של Vodafone כולל מידע רגיש אשר מבסס את מערכת האמון שבין הלקוחות לבין החברה. הוא עמוד השדרה עליו היא מבוססת. בלי המידע הזה, הכולל את כל פרטי החיוב (Billing) של הלקוחות, והן את ההיסטוריה הסלולרית שלהם, לחברה יהיה קשה מאוד להתקיים.

מבחינת הלקוחות, המדובר במידע אישי, ועל כן הוא נמצא אצל חברת הסלולר למטרות מאוד מסוימות ומוגדרות. מוזר, עם כן, ש-Vodafone בחרה להעניק לאנשים גישה עם הרשאה לכל המאגר, ולא מידרה את ההרשאות לתחומים מסוימים, למשל לתחומים שעליהם אותם אנשים אחראיים. אם היתה עושה כן, ייתכן והיתה יכולה לצמצם את הסכנה שבחשיפת פרטי עובד אחד או ספק אחד לצדדים שלישיים.

גורמי פשע ברחבי העולם יכולים למצוא שימוש רב בפרטי ההתקשרות של אנשים מהמערכת של חברת Vodafone. בפרטים ניתן למצוא את הפרטים המזהים האישיים של האדם, כגון כתובת מגוריו, דרכי ההתקשרות עימו, מספרי כרטיסי האשראי, ועוד. הם יכולים להצליב את המידע הזה עם מאגרים אחרים שברשותם כדי להגיע לניתוחים מדויקים אותם הם מחפשים, למשל אנשים עם חשבונות גדולים או מעל רף מסוימים, רשימת אנשים הגרים בשכונה מסוימת, ועוד.

גניבת זהות

שימוש אחר אפשרי למידע זה יכול להיות במסגרת ניסיונות של גורמי פשע לבצע גניבת זהות (Identity Theft), במטרה להתחזות לאנשים אחרים ולבצע פשעים. כאשר הם מצוידים במידע ממאגר מקיף כמו מאגר שיכול להיות לחברת סלולר, הפוטנציאל הטמון בניצול המידע להשיג עוד כסף בדרכי מרמה יכול לעודד אותם להשקיע סכומי כסף לא מבוטלים לשחד ספקים או עובדים זוטרים, שלהם גישה למאגר המידע של חברת Vodafone, כדי שאלו יתנו להם את פרטי הכניסה למאגר.

האם בכך תם הסיפור? הניסיון מלמד שרק אחרי שנכיר את התמונה האמיתית, יוכלו משתמשי Vodafone באוסטרליה באמת להיות רגועים. ומה אנחנו לומדים מכל הסיפור? שכדאי ורצוי שחברה שיש לה מאגר מידע גדול, ובו מידע בהיקף רחב, הכולל מידע מזהה אישי וגם כספי, תדאג לא רק לנקוט באמצעים המקובלים לשמור על המערכות שלה ועל שלמות המאגר, אלא תשים לב שהיא לא נותנת לאנשים שאין להם צורך בכך גישה מלאה למאגר.

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

2 תגובות על "לקוחות Vodafone לא ישנים בלילה"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
דני
Guest

מה שעצוב הוא שVODAFONE האוסטרלית לא ידעה לנהל הרשאות בצורה נאותה ונתנה לאחד הספקים שלה הרשאות מלאות על מאגרי המידע. לאף בן אדם לא צריכות להיות הרשאות מלאות על המאגרים האלה למעט משתמשים למקרים מיוחדים.
זה מה שקורה כשניהיים חאפרים ומצפצפים על סטנדרטים

אילן
Guest

צודק…זה נראה כמו מחדל או מעשה של טיפשות.
אישורי כניסה כאלה צריכים להיות מאוד מאוד מוגבלים .

wpDiscuz

תגיות לכתבה: