מומחי אבטחה: כרטיסי האשראי נחשפו בגלל זלזול בתקנים

אתרים שלקוחותיהם נחשפו: עמדנו בבדיקת חברות האשראי; בנק ישראל: כ-15 אלף כרטיסים נחשפו בפריצה של ההאקרים הסעודים

עודד ירון
שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
עודד ירון

חברות האשראי מסרו הבוקר כי מספר כרטיסי האשראי והפרטים שנגנבו קטן בהרבה מ-400 אלף איש' כפי שנטען בתחילה על ידי ההאקרים הסעודים. חברת ישראכרט מסרה כי המספר האמיתי קרוב יותר ל-14 אלף בני אדם שפרטיהם נחשפו. בתוך כך מומחי אבטחה אמרו הבוקר כי הבעיה נובעת במקרים רבים עקב שמירה לקויה על תקני אבטחה. אולם אתרי הקופונים שלקוחותיהם נחשפו מסרו כי עברו את בדיקות חברות האשראי. בנוסף, חברת הסליקה עומדת בתקן המחמיר ביותר של חברות האשראי.

כזכור אמש הכריז האקר סעודי על "מתנה לעולם לשנה החדשה" - פרטים וכרטיסי אשראי  של 400 אלף. הרשימה הועלתה אתמול לאתר אחד, אולם הבוקר כבר ניתן למצוא אותה בעשרות אתרים. "שמע זה מפחיד", סיפר להארץ א', שכרטיס האשראי שלו נחשף ברשימה, "זה מפחיד אימים".

"לאחר בדיקה שנערכה כל הלילה במטה קבוצת ישראכרט, הובהר כי מתוך 3.3 מיליון כרטיסים, נחשפו פרטיהם של כ-6,600 כרטיסים אמיתיים של לקוחות החברה, כתוצאה מהפריצה לאתרי אינטרנט בישראל. מניתוח האירוע עולה כי מספרם של כלל הכרטיסים של כל חברות האשראי בישראל שנחשפו הינו כ-14 אלף כרטיסים. מספר זה מצומצם ביותר ביחס ל-7 מיליון כרטיסים פעילים בשוק הישראלי", מסרה החברה ל-TheMarker.

עשו לנו לייק וקבלו עדכונים חמים ופרשנויות נוספות ישירות לפייסבוק

בלאומי קארד אמרו כי מדובר בסה"כ בכ-4,000 מלקוחות החברה שנפגעו, והאשימו כי הבעיה נעוצה באתרים שלא עמדו בתקני אבטחה. בחברת כא"ל אמרו כי אצלם מדובר רק במאות אנשים שנפגעו.

באתר קבוצתי שכרטיסי האשראי של רבים מלקוחותיו נחשפו מסרו בתגובה בדף הפייסבוק של האתר כי "האתר עבר בדיקות אבטחת מידע מקיפות ע"י חברות האשראי ונמצא תקין על פי כל הפרמטרים. האתר עלה לאויר רק לאחר שקיבל את האישור מחברות האשראי ופועל תחת אישורם".

"האתר אינו שומר פרטי אשראי בבסיס הנתונים שלו והחיוב מתבצע במערכת טרנזילה (מערכת חיצונית) ופרטי האשראי של המשתמשים נשמרים שם. בכל מקרה הפרטים השמורים באתר כגון שמות משתמשים וסיסמאות מוצפנים ומאובטחים היטב.אנו בודקים את אמיתות הפירסום בבדיקה מקיפה ואנו נסיק מסקנות ונפעל בצעדים הנדרשים לפי הצורך".

לחצו לרשימת הכרטיסים והשמות המלאה שפורסמה באתר מזבלה

מסייל 365, שגם רבים מלקוחותיו התגלו ברשימה נמסר להארץ כי האתר מאובטח ועבר  את כל בדיקות האבטחה והאישורים של חברות האשראי.

מומחי אבטחה: אתרים בארץ לא עומדים בתקן

ג'ואי פלג, מנכ"ל חברת icdi, מומחה ומרצה לאבטחת מידע, הסביר כי הבעיות הללו מתרחשות בשל אי עמידה בתקני אבטחה. "קיים תקן בשם PCI DSS, שנוצר בידי המועצה העליונה של חברות כרטיסי אשראי והוא מצוין. הוא מתאר בדיוק, צעד אחר צעד, מה  חברה שעושה עסקות אינטרנטית צריכה לעשות בתחום האבטחה", הוסיף. הבעיה לדבריו היא, שבארץ מעטים עומדים בתקן.

איציק נוסצקי, מנכ"ל אינטרספייס, המפעילה את מערכת הסליקה טרנסזילה, שבה משתמשים שני האתרים, הסביר כי הם דווקא משתמשים בתקן המחמיר. "אנחנו לא יודעים על שום דבר שנבע מאיזה כשלון מערכתי אצלנו. עברנו את תקן אבטחה PCI DSS לפני שנתיים . זה עלה לנו באחוזים יקרים מההכנסות", אמר והסביר כי הוא כולל בדיקות מעמיקות של כל הקוד על ידי חברות חיצוניות.

נוסצקי הסביר כי ישנן חוליות נוספות בשרשרת שבהן המידע עשוי היה לדלוף, ובהן מחשבי הלקוחות ואתרי הקניות עצמם. "מהניסיון שלי המון מחשבים בארץ נגועים, מבלי שאנשים יודעים על זה", אמר. נוסצקי הוסיף כי אם הפריצה אכן היתה מתרחשת במערכת של טרנסזילה, רוב הסיכויים שהיינו רואים את הפרטים של הרבה יותר מ-14 אלף לקוחות.

הוא הסביר כי בשל הסכנות, החל מהשנה חברות האשראי החלו לדרוש שמי שלא עובר תקינה אצלו באתר מחויב שדף הסליקה שלו ישב אצל צד שלישי מאובטח. כך שכל פעולת הסליקה תתבצע באתר הסליקה, כך שהמידע לא עובר בשום צורה אצלו באתר, וגם אם האתר שלו פרוץ זה לא משנה.

IBM: כל האתרים שנבדקו, נפרצו

עדי שהרבני, ראש תחום Security Strategy And Architecture בחברת יבמ, אמר לאחרונה בפאנל הסייבר בכנס גלובס לעסקים, כי "בשש השנים האחרונות כל האתרים הישראלים שנבדקו במבחן החדירות נפרצו על ידם".

פלג התייחס בכעס לניסיונות ההרגעה של חברות האשראי. "הנזק פה הוא לא רק כלכלי. מי מפצה אותך על אובדן הזהות שלך? יש גורמי עולם תחתון ענקיים שחיים על הנושא של כרטיסי אשראי. לנו, הישראלים, יש לנו רובד נוסף של התקפות אידיאולוגיות. תאר לעצמך שאתה נוסע לחו"ל, והמספר שלך חשוף, כל אחד יכול להיעזר בזה כדי לעקוב אחריך".

גם הרכישות מאתרים המצוידים בתעודת -SSL (מצוין ב-HTTPS בתחילת הלינק) המציינת כי התעבורה בין האתר ללקוח מוצפנת, אינה מספקת, הוא אומר. יש לוודא שהאתר משתמש בתקן המחמיר EV SSL. "אם הוא לא משתמש, אני לא קונה. זה זלזול בלקוח", אמר.

קריאת השכמה לשוק הישראלי

צביקה פרידנלנד, מנהל חטיבת אבטחת מידע בבינת, אמר להארץ כי "מה שקרה פה לדעתי יגרום לשיחת השכמה בשוק הישראלי בכל הנוגע למסחר באינטרנט".

פרילנדר הסביר כי ברוב המקרים לא שומעים על כך, כי ההאקרים שמשתמשים בכרטיסי אשראי עושים זאת למטרות מסחריות ולא פוליטיות. "כל מי שמתעניין יודע שהנושא של גניבת כרטיסי אשראי קיים כל הזמן. פה מטרת האקר היתה לגרום לבלגן בשוק הישראלי, אבל יש תעשייה שוק שחור מאוד מפותח שבו אתה יכול לקנות כמה כרטיסי אשראי שאתה רוצה".

הוא הוסיף כי רוב ההתקפות האלה נעשות על ידי sql injection (החדרת קוד למאגר המידע של האתר), למרות שיש טכנולוגיות כמו ווב אפליקיישן פיירוול שיודעות לתת לזה מענה בצורה כמעט מושלמת. ולמרות זאת יש עדיין מאות אתרים שלא מוגנים מפני התקפות. "לא מדובר במשהו שמצריך גאוני מחשב, זה משהו מאוד פשוט ומאוד בסיסי. אפשר למצוא את הידע באינטרנט, או ערכות של כלי פריצה שאפשר לקנות בכמה דולרים או עשרות דולרים".

איתן ויחימוביץ': מה יקרה עם המאגר הביומטרי?

הפריצה עוררה תגובות גם במערכת הפוליטית. השר מיכאל איתן ויו"ר העבודה שלי יחימוביץ' הזהירו כי האירוע מדגים שוב את הסכנה הפוטנציאלית הגלומה במאגר הביומטרי. "את מספרי כרטיסי האשראי שנפרצו ניתן להחליף, אך מה נעשה כאשר יפרץ המאגר הביומטרי? נחליף את הפרצופים של אזרחי המדינה? נצרוב לכולנו טביעות אצבע חדשות? היום אנחנו מדווחים על פריצת מאגר כרטיסי האשראי, לא מזמן דווחנו על פריצת מאגר מרשם האוכלוסין. כל אדם סביר צריך להביא בחשבון שהמאגר הביומטרי ייפרץ אף הוא. עדיין לא מאוחר לעצור את מצעד האיוולת של המאגר הביומטרי, שתועלתו מפוקפקת ונזקו בלתי הפיך", אמר איתן.

יו"ר ועדת המדע והטכנולוגיה, ח"כ רונית תירוש, הגיבה לנושא וקראה לכניסה מיידית לפעולה של רשות הסייבר, בהתאם להמלצות ועדת בן ישראל. לדבריה מדובר בהתחלה של מלחמת סייבר שכוונתה לשתק תשתיות חיוניות למדינת ישראל.

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ