קבוצת ההאקרים Blackshadow הפיצה הבוקר (שישי) עוד מסמכים המכילים מידע אישי של לקוחות ממאגרי חברת הביטוח שירביט. ההאקרים הפיצו את המסמכים, שנגנבו משרתי שירביט, לאחר שהחברה לא שילמה את הכופר המבוקש. שירביט שכרה מומחי ניהול מו"מ, ומשתפת פעולה עם מוסדות המדינה בחקר הפריצה שנחשפה השבוע, אך אינה יכולה למנוע מהפורצים לעשות במידע על הלקוחות ככל שירצו.
סמוך לשעה 9:00 בבוקר פרסמה הקבוצה מאות צילומי מסמכים אישיים, תמונות של עובדי החברה, דיווחים ממשטרת ישראל, מכתבים ששלחה החברה ללקוחותיה, מסמכים בעלי חיסיון רפואי של לקוחות ואף מסמכים פנימיים בעלי הקשר להתנהלות הכלכלית של החברה. מאז ממשיכים הפרסומים ממשיכים בתדירות של כמה דקות.
הפרסום הוא מימוש של האיום שהציבו ההאקרים אתמול, לפיו אם שירביט לא תשלם כופר בגובה 3.2 מליון ₪ (למעשה, 50 מטבעות ביטקוין) ההאקרים ידליפו עוד פרטים ויכפילו את דרישת הכופר.
מבחינת חוקי מדינת ישראל, לשירביט אסור לשלם את הכופר. גם לו היתה מעוניינת בכך, היא הייתה מתקשה לשלם כופר בן מיליוני שקלים בביטקוין בלוחות הזמנים שהציבו ההאקרים, אלא אם הכינה מראש ביטקוין לשעת משבר – פרקטיקה מקובלת בקרב תאגידים בחו"ל, אך איננה אפשרית כאשר הפריצה זוכה לחשיפה תקשורתית מרובה.
נראה כי כוונת הפורצים איננה לזכות בכסף, אלא בחשיפה תקשורתית על מנת להגביר את הנזק הנגרם מהפריצה.
בין לקוחותיה של שירביט היו גם מכרזי ביטוח הרכב של עובדי המדינה, מה שנוגע גם לעובדים בתעשיות הביטחוניות, ויכול להוות מנוף להגברת הלחצים עליהם. עם זאת, המידע שפורסם עד כה מכיל בחירת קבצים מקרית, ולא מידע מעובד המשקף כוונת מכוון או יכולת סינון של מידע רגיש, אלא ערבוביה של קבצים, בעלי פוטנציאל נזק שונה מאוד זה מזה בחומרתו.
חלק ממחדלי האבטחה כבר ידועים
לפי עיתונאי דה-מרקר אמיתי זיו, הפריצה התאפשרה לא מעט בשל פרקטיקות אבטחת מידע לקויות בחברה. לפי זיו הותקנה בשירביט תוכנת אבטחה שאמורה 'להפעיל אזעקה' בעת משיכת נתונים משמעותית משרתי החברה, שלא פעלה ברגע האמת. תוכנת ה-VPN, המיועדת לגישה מאובטחת מרחוק למידע בעבור עובדים מורשים, הייתה בעלת פגמים ידועים ובגרסה לא מעודכנת, וגם בשרתי הדואר האלקטרוני של החברה היו פגמי אבטחה.
מה אנחנו יודעים כרגע:
שרת אימייל חשוף לרשת – צ'ק.
תוכנת VPN *עם חולשות ידועות* שלא עודכנה – צ'ק.
תיבת אימייל שלא נסגרת אחרי עזיבת העובד – צ'ק.
תוכנת DLP שלא מרימה דגל בעת משיכת ג'יגות של חומר – צ'ק.
העדר תוכנית ניהול משבר בעת אירוע סייבר והתנהלות ציבורית מזעזעת – צ'ק.— Amitai Ziv (@amitaiz) December 4, 2020
מהחברה נמסר כי "שירביט הודיעה כי החליטה שלא להיענות לדרישות הכופר, ולהמשיך לפעול בכל המישורים כדי להגן על המידע של לקוחות החברה ועובדיה. במהלך המשא-ומתן שנוהל לאורך כל הלילה הגיעו כל הגורמים המקצועיים למסקנה גורפת כי לטרור הסייבר יש עניין בפגיעה אסטרטגית, ולא עומד מאחוריו מניע כספי כלשהו. הנהלת 'שירביט' החליטה לנהוג בהם כפי שיש לנהוג בתוקפים ולא להיכנע לאיומים מצד גורמים בעלי מניעים אסטרטגיים".
"שירביט' מתמודדת עם מתקפת סייבר עוינת שמאחוריה עומד גורם המבקש לבצע פגיעה אסטרטגית", אמר מנכ"ל החברה, צביקה ליבושור. "החברה לא תיכנע לטרור מסוג זה ותפעל בדרכים העומדות לרשותה להגן על לקוחות החברה ועל המידע המצוי בחברה, בתיאום עם כלל הרשויות הממלכתיות המלוות מקרוב מאוד את ניהול האירוע".
איש אבטחת המידע רן בר זיק ציין כי רבים מאתרי האינטרנט בישראל אינם מוגנים כראוי מהתקפות, ושימוש בדפדפן בלבד, ללא כל תוכנת פריצה ייעודית, מאפשר בקלות לחשוף מידע רב שלא אמור להיות נגיש לכל. אחת השיטות בהן נוקטות חברות שונות היא נסיון לגלות את חולשות האבטחה מראש באמצעות שימוש ב'האקרים לבנים' – להציע פרס כספי למומחי אבטחה שינסו לחדור למערכות החברה, בכדי לאפשר לה לתקן את הליקויים, בטרם חדרו אליה האקרים עוינים המעוניינים להזיק לה.
