סייברינט הישראלית טוענת: דליפת הנתונים בקפיטל וואן גדולה בהרבה משחשבו

חוקרי אבטחה מחברת סייברינט הישראלית חוששים שאפשר שמה שנודע עד כה אודות הפריצה לבנק קפיטל וואן הוא רק "קצה הקרחון", ושייתכן כי האירוע, החמור בלאו הכי, השפיע על חברות גדולות אחרות.

לפי סייברינט, חברות ענקיות כמו וודאפון ופורד, וארגונים וביניהם אוניברסיטת מישיגן ומחלקת התחבורה של אוהיו יכולים גם הם להיכלל בקורבנות הפרת הנתונים, שבמסגרתה נודע עד כה כי נגנבו למעלה מ-106 מיליון בקשות אשראי וקבצים משרת ענן שניהלה קפיטל וואן על ידי ההאקרית פייג' תומפסון מסיאטל, שנעצרה בידי ה-FBI מוקדם יותר השבוע.

משרד המשפטים האמריקני הגיש כתב אישום נגד תומפסון, שהיא מהנדסת התוכנה בת ה-33 שעל פי הבנק והמשרד פרצה לשרת של קפיטל וואן ב-22 וב-23 במרץ, והשיגה גישה ל-140 אלף מספרי ביטוח לאומי בארצות הברית, מיליון מספרי ביטוח לאומי קנדיים וכ-80 אלף מספרי חשבון בנק. זאת, בנוסף למספר לא ידוע של שמות, כתובות, דירוגי אשראי, מסגרות אשראי, יתרות ומידע אחר.

על פי כתב האישום, תומפסון איימה להפיץ את הנתונים שהשיגה מהבנק. כך, במהלך שיחת Slack שערכה ביוני, היא כתבה: "בעצם חגרתי על עצמי אפוד עם פצצה. אני אxxין את קפיטל וואן הנופלת, ומודה בזה. אני רוצה לחלוק את מאגרי הנתונים שברשותי". היא ציינה כי בקבצים היו מספרי ביטוח לאומי, שמות מלאים ותאריכי לידה.

אלא שכעת דיווחים חדשים של פורבס וכתב הסייבר בריאן קראבס מצביעים על כך שייתכן כי קפיטל וואן לא הייתה החברה היחידה שנפגעה, ושעל פי ההודעות סלאק ששלחה ההאקרית, לכאורה, אפשר היה לזהות גם פגיעה ב"אחת מספקיות הטלקום הגדולות בעולם", ב"גוף ממשלתי באוהיו" וב"אוניברסיטה אמריקנית גדולה".

גם בדו"ח סייברינט שפורסם אתמול (ד') התייחסו החוקרים להודעות ה-Slack של ההאקרית וכתבו בנוסף כי "ניתן להסיק על קורבנות אחרים משמות הקבצים", בציינם ספציפית את החברות אפריאן, ווקופה ואינפובלוקס.

בבלוג האבטחה שלו, Krebs On Security, פרסם קראבס צילום מסך של רשימת קבצים שנגנבו ככל הנראה על ידי תומפסון. הנתונים הגנובים הכילו שמות קבצים ובהם שמה של יצרנית הרכב פורד וחברת השירותים הפיננסיים האיטלקית יוניקרדיט. בנוסף, ממשרד המשפטים נמסר כי תומפסון עתידה לעמוד בפני אישומים נוספים, וזו עוד אינדיקציה לכך שחברות אחרות היו מעורבות בפעילותה.

התגובות: לא מודעים אבל בודקים

דובר יוניקרדיט אמר אתמול כי הבנק "יצר קשר עם הרשויות הרלוונטיות" והחל בבדיקה מקפת, לאור ממצאי קראבס שטוען כי תומפסון גנבה גם נתונים מהחברה. "ב- 30 ביולי נודע ליוניקרדיט ששמה הוזכר ביחס לסוגיית קאפיטל וואן", נמסר בהודעת הדובר שפורסמה בפייננשל טיימס. "אבטחת מידע ופרטיות הם סדר העדיפויות העיקרי שלנו בכל עת", כתב הדובר.

דוברת פורד אמרה ל-TechCrunch כי החברה "בודקת את המצב כדי לקבוע אם מדובר במידע של פורד".

דובר וודאפון אמר כי ענקית הטלקום "לא הייתה מודעת" לנתונים שלה שנגנבו בהפרת ההון.

דוברת אוניברסיטת מישיגן אמר כי הגוף האקדמי מקבל "מאות איומים והתקפות על המערכת שלנו" וציין כי "קשה לדעת אם אחד מהאחרונים היה ההאקרית שלכאורה קשורה לאירוע קפיטל וואן. הצוותים שלנו בוחנים זאת, אבל בשלב זה אין לנו מידע לחלוק".

ולבסוף, ממחלקת התחבורה של אוהיו נמסר כי היא עובדת עם ה-FBI בכדי לנסות "לקבוע מה, אם בכלל, היה נגיש במקרה", כך אמרה הדוברת לתקשורת ושציינה כי "עם זאת, בנקודה זו אנו יכולים לאשר כי המידע בקובץ שהוזכר הכיל נתונים הזמינים לציבור ולא היה בו כל מידע פרטי".

צ'סטר ווישניבסקי, חוקר ראשי, סופוס: "ממה שאנו יודעים בנקודה זו בזמן, אובדן נתוני הלקוחות ב-Capital One הוא אירוע נוסף בשרשרת אירועים של דליפות נתונים, שהופכים ליותר ויותר נפוצים – במיוחד בחודשים האחרונים. אבטחה בשרשרת האספקה היא חיונית כדי לשמור על אבטחת מידע, וככל שארגונים מאמצים טכנולוגיות ענן, הם גם צריכים להבין את הסיכונים הקשורים במידע שמאוחסן שם ולטפל בהם.

דאגה לאבטחה של כל מרכיב בשרשרת האספקה מעולם לא הייתה חשובה יותר, ואלה כוללים לא רק רכיבים פיזיים ורכיבי תוכנה במערכות המידע, אלא גם את הצוות שלך, ואת הצוות של מי שמספק לך את השירותים החיוניים לפעילות העסקית. הביטוי הוותיק באבטחה 'אל תבטח באף אחד' עדיין מתקיים. ההגנה על המידע הרגיש שאתה אמון עליו היא מחויבת המציאות, בין אם הוא מאוחסן בציוד המחשוב האישי שלך, או אצל מישהו אחר. הצפנה ובקרת גישה הם חיוניים, בכל מקום, במיוחד אם אתה מאחסן מידע עסקי רגיש".