מומחית אבטחת מידע: "דליפת פרטי הגולשים היא באחריות החברה המארחת את אתרי הקניות שנפרצו"

"על החברה המארחת היה לערוך הפרדה של בסיסי הנתונים של האתרים המתארחים. זאת, על מנת שפריצה לאתר אחד לא תשפיע על רמת האבטחה של אתר אחר", אמרה איריס לב ארי מ-GSECTRA, בתגובה לפרסומים לפיהם אתרי הקופונים שמהם נגנבו חלק מפרטי האשראי דווקא היו מוגנים כראוי - אולם הפורצים חדרו לאתר לא מוגן שנמצא על אותו שרת, ודרכו למאגרי המידע של האתרים המוגנים

"האחריות על אבטחת אתרים באירוח מוטלת על החברה המארחת, ולא ניתן להטיל את האשם על מי שאתר באירוח שלו נפרץ", כך אמרה לאנשים ומחשבים איריס לב ארי, מומחית אבטחת מידע ומרצה ב-GSECTRA. לב ארי אמרה את הדברים בהתייחסה לפרסומים לפיהם שני אתרי הקופונים שמהם נגנבו חלק מפרטי האשראי שנחשפו דווקא היו מוגנים כראוי – אולם הפורצים חדרו לאתר לא מוגן שנמצא על אותו שרת, ודרכו למאגרי המידע של האתרים המוגנים. טענה זו הושמעה בכלי התקשורת על ידי אנשי דובל, החברה שאצלה מאוחסנים האתרים. בדובל אומרים שהאתר שנפרץ נבנה על ידי חברה אחרת ורק אוחסן אצלם, אולם למרות זאת הם לא מוכנים לחשוף את זהותו בנימוק של הסכמי סודיות.

חוץ מאתרים שאנשי דובל בונים, הם נותנים שירותי אחסון לאתרים שלא בנו. לדברי אנשי דובל, האתר שנפרץ נבנה על ידי חברה אחרת והועבר להתארח אצלם. כך, כאשר הוא נפרץ, השרת כולו הפך לחשוף. כשהפריצה התגלתה, היא נחסמה מיד והאתר הוסר מהאוויר. עוד אמרו אנשי דובל, כי אין להם אפשרות לבדוק קוד של אתרים שלא הם בנו, וציינו כי מדובר במקרה חריג. "האשמים הם הסעודים, שפרצו לאתר", על פי דובל.

לדברי לב ארי, "האחריות היא על נותן האירוח: הוא אחראי על תקינות השרת ועל הטלאת עדכוני אבטחת מידע. המארח הוא זה שצריך לתת שירותים מאובטחים, בלא כל קשר לרמת האבטחה של האתרים המאוחסנים אצלו". לב ארי הוסיפה, כי "על החברה המארחת היה לערוך הפרדה של בסיסי הנתונים של האתרים המתארחים. זאת, על מנת שפריצה לאתר אחד לא תשפיע על רמת האבטחה של אתר אחר. האחריות היא תמיד על האתר המארח – היה עליו לדאוג שלא תהיה זליגה בין האתרים, תוך ביצוע תצורה והגדרה נכונות, ומימוש מדיניות הרשאות הגישה לבסיסי הנתונים של האתרים, תוך הפרדה ביניהם".

לא ניתן היה להשיג את תגובת חברת דובל, בטענה כי נאסר עליהם להתראיין על פרטי המקרה, בשל פתיחת החקירה של הרשות למשפט, טכנולוגיה ומידע בפרשה.

רוצים לשמוע עוד? הירשמו עכשיו לכנס CyberSec של אנשים ומחשבים

תגובות

(4)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. איתן כספי

    מה פתאום? אם הפריצה בוצע דרך אפליקציה לא מאובטחת (ע"י SQi) ואם הנתונים לא הוצפנו במסד הנתונים - אז מה זו אשמת החברה המארחת את האתר?!

  2. מ

    גב' לב ארי היקרה, האחריות היא לא רק של החברה המארחת , אלא גם של הרגולטור קרי בנק ישראל. בכדי שחברת אינטרנט כל שהיא תוכל לבצע עסקה כלשהיא עליה להתחבר למסלקה, לעניות דעתי על המסלקה לדווח לבנק ישראל שמאן דהו הולך להתחבר אליה בכדי שבנק ישראל יוכל לתת את האישור לכך הוא צריך לבצע בדיקות מינימליות של אבטחה ואם בנק ישראל אינו מבצע זאת אזי הוא אינו עושה את עבודתו נאמנה כל זאת כמובן אינו מוריד את האחריות גם מהחברה המארחת/ או חברת האינטרנט שדרכה מבוצעות העסקאות.

  3. יובל

    ישנה הגדרה משפטית לסוגיה - ריבוי מעוולים . שני הגורמים אחראים לכשל. בגורם המארח נתן שירות שאינו מתאים למה שהלקוח היה צריך, ואילו הלקוח לא בדק באמת שהוא מקבל שירותים הולמים. ברור שהסיבה לכשל היא כלכלית גרידא. הרי אם הצדדים היו משקיעים בניהול אבטחת מידע ובפיתוח לפי תקנים מקובלים, הפריצה לא היתה מתרחשת. אבל ששני הצדדים מנסים לצאת מרווחים, מי שמפסיד בסופו של יום זה הציבור.

אירועים קרובים