דל: האקרים ניסו לגנוב מידע של לקוחות

דל הודיעה אתמול (ד') כי זיהתה ניסיון לא מורשה לאסוף מידע של לקוחות מ-Dell.com מוקדם יותר החודש.

ענקית המחשוב הודיעה כי ניסיון הפריצה בוצע ב-9 בנובמבר, אך לטענתה היא הצליחה לעצור את ההאקרים שניסו לגנוב נתוני לקוחות. הפולשים, כך נראה, ניסו לחלץ מידע על לקוחות כגון שמות לקוחות, כתובות דוא"ל וסיסמאות מקוצרות (hashed passwords). דל חשפה גם כי ביצעה איפוס סיסמה יזום בעבור כל חשבונות הלקוחות בחנות האלקטרוניקה המקוונת שלה, Dell.Com, ב-14 בנובמבר למטרות אבטחה.

על אף שהחברה לא דנה במורכבות של האלגוריתמים של הסיסמאות המתומצתות, אשר משמשים להגנה עליהן, מומחים טוענים כי את חלקן ניתן לשבור בקלות, למשל במקרה של MD5 – פונקציית גיבוב קריפטוגרפית שנמצאת בשימוש מוגבל במערכות הצפנה, מקבלת קלט באורך כלשהו ומפיקה ממנו "תמצית" באורך 128 סיביות, שהיא מחרוזת סיביות חסרת משמעות המשמשת מעין טביעת אצבע דיגיטלית – ניתן בתוך שניות לחשוף את סיסמת הטקסט.

אין ראיות חותכות להוצאת מידע

דל בישרה בהודעתה לעיתונות כי "למרות שחלק מהמידע הזה הוסר מהרשת של דל, החקירות שלנו לא מצאו ראיות חותכות לכך שמידע כלשהו הוצא".

מה שיכול להרגיע במעט את הלקוחות הוא העובדה שככל הנראה ההאקרים לא ניסו בכלל להשיג מידע על כרטיסי אשראי ואמצעי תשלום או מידע רגיש אחר של הלקוחות. כמו כן, תקרית האבטחה לא גרמה לשיבוש כלשהו בשירותים הרגילים במהלכה או לאחריה.

החברה טוענת כי האירוע עדיין נחקר אך ההפרה לא הייתה נרחבת, שכן המהנדסים זיהו את החדירה באותו יום. עם זאת, דל סירבה לנקוב במספר החשבונות שהושפעו באירוע הסייבר.

למרות שדל ניסתה להמעיט את בהשפעה של האירוע, הלקוחות צריכים לזכור כי שחברות שחוו פריצה בדרך כלל מעדכנות פרטים אותנטיים של האירוע ככל שהחקירה מתקדמת ומשנות את שבישרו במהלך הגילוי הראשוני. כך שלמשתמשי אתר דל מומלץ לאפס את הסיסמאות שלהם, אם לא עשו זאת עדיין, ולבדוק באופן ידני איזה מידע הם שמרו בחשבונות שלהם, כמו גם להיות חשדנים יותר ולהשגיח ולבחון בעצמם האם משהו מעיד על כך שגורם זר השיג גישה אל הפרטים הללו.