הפריצה הגדולה: הרשות להגנת הפרטיות פתחה בחקירה נגד סייברסרב

הרשות להגנת הפרטיות במשרד המשפטים הודיעה היום (ד') כי פתחה לפני כמה ימים בחקירה נגד סייברסרב, שההאקרים מקבוצת Black Shadow פרצו לשרתים שלה והדליפו מאגרי מידע שונים שאוחסנו עליהם – ובמרכזם של אתר ההיכרויות לקהילה הלהט"בית אטרף. החשד של הרשות הוא שהחברה התרשלה בהגנה על המידע של המשתמשים.

החקירה מתמקדת באתר אטרף, שאתמול חשפו ההאקרים מאגר מידע ובו יותר ממיליון רשומות של משתמשים, הכוללים את הכינויים שלהם באתר, סיסמאות, כתובות מייל, טלפונים ועוד (אך לא תמונות, בניגוד לחשש של משתמשים רבים). בנוסף לחקירה, הרשות אסרה על החברה להעלות את האתר חזרה לאוויר ולא תאפשר את העלאתו עד להודעה חדשה. הרשות גם דרשה מהחברה להודיע באופן אישי לכל מי שהמידע על אודותיו דלף או קיימת אפשרות שדלף, מהם הנתונים שדלפו ומהן הפעולות שמומלץ לו לעשות. זאת, על מנת לאפשר למשתמשים שנפגעו לנקוט אמצעי זהירות מתאימים ולהקטין את הנזק שעשוי להיגרם לפרטיותם.

ברשות אומרים שהם משתפים פעולה עם מערך הסייבר הלאומי ועם פרקליטות המדינה, ומזהירים שכל שימוש במידע שדלף מאתר אינטרנט ללא הסכמתו של המידע שהנתונים הם שלו מהווה הפרה של חוק להגנת הפרטיות.

ד"ר שלומית ווגמן, ראשת הרשות להגנה על הפרטיות. צילום: יניב הלפרין

בימים האחרונים נמתחה ביקורת רבה על הרשות להגנת הפרטיות, על כך שלא פעלה לשמירה על המידע מבעוד מועד. זאת, במיוחד לנוכח העובדה שמערך הסייבר הזהיר את סייברסרב כמה פעמים בעבר שהשרתים שלה חשופים לחדירה. גורמים בשוק העלו את השאלה האם המערך שיתף בכך את הרשות, ואם כן – מדוע היא לא עשתה מספיק בנדון, ונזכרה רק לאחר מעשה.

השתלשלות הפרשה

הפריצה אירעה ביום ו' האחרון, וחברי Black Shadow גנבו מידע לא רק מאטרף, כי אם גם נתונים הקשורים למאות אלפי מטופלים במכון מור, למאזינים של 103FM ועוד. אתמול בצהרים הם החלו לפרסם את המאגרים – בינתיים בשלושה גלים, כאשר השניים האחרים היו אמש והבוקר. בין היתר, פורסמו יותר ממיליון רשומות מאתר ההיכרויות הלהט"בי ומעל חצי מיליון רשומות של המכון הרפואי.

ההאקרים טענו כי הם ניהלו משא ומתן עם סייברסרב, ואף פרסמו התכתבויות שלפיהן, לכאורה, החברה הסכימה לשלם להם סכומים מסוימים – אולם אנשי Black Shadow לא נסוגו מדרישתם לקבל מיליון דולר תמורת אי שחרור המידע. לאחר שפקע האולטימטום שההאקרים נתנו לחברה, הם החלו לפרסם את הנתונים.

בסייברסרב טוענים שהם לא ניהלו משא ומתן עם הפצחנים ושמדובר במתקפת טרור איראנית. בחברה אומרים כי הם התריעו על כוונתם של ההאקרים לפרסם את המידע וקראו להסיר אותו מהרשת.

"גופים רבים מחזיקים מידע רגיש ולא מאובטח"

ברשות להגנת הפרטיות שבים ומתריעים שאירועי אבטחת מידע חמורים והדלפת מאגרים – הן על ידי גורמים עברייניים והן על רקע ביטחוני – הם מגיפה עולמית, וצפויים להמשיך ואף לגבור. חובת ההגנה על מידע רגיש מוטלת על הגורמים המחזיקים בו, בהתאם לתקנות אבטחת מידע, אומרים שם.

"להערכת הרשות להגנת הפרטיות, ישנם גופים רבים במשק המחזיקים מידע רגיש ואינם מאבטחים אותו כראוי. על כל גוף שמחזיק במידע רגיש לפעול באופן מיידי להגברת רמת האבטחה ולהיערך לאפשרות כי גם הוא יותקף על ידי גורם עוין, ולא להניח ש-'לנו זה לא יקרה'", נכתב בהודעה.

כמו כן, הרשות "קוראת לקידומם הדחוף של תיקוני החקיקה שגובשו בנושא, שיובילו לשיפור המשמעותי הנדרש בתחום הגנת המידע האישי בישראל, לרבות הענקת סמכויות אכיפה מנהליות משמעותיות לרשות להגנת הפרטיות, כמקובל בעולם. הדבר הכרחי למען הגנה על הציבור ומניעת אירועי דליפה עתידיים, וכן ליצירת הרתעה בקרב בעלי אתרים, מאגרים ואפליקציות המחזיקים מידע רגיש להקפיד על עמידה בדרישות אבטחת המידע כנדרש בחוק, ולא להתרשל בהגנה על המידע של הציבור".

ברשות ממליצים "לכל אדם שקיימת אפשרות שפרטיו דלפו לנקוט משנה זהירות בכל הקשור להתנהלות השוטפת במרחב הדיגיטלי".