דיוויד ממן, GreenSQL: "אין ספק שאירועים של דליפת כרטיסי אשראי ופרטים מזהים נוספים – יקרו שוב"
"אתרים וחברות לא משקיעים משאבים בתחום האבטחה, והרגולציות לא מוטמעות, כי זה עולה כסף ולוקח זמן", אמר ממן, ה-CTO שלGreenSQL ● לדבריו, "המסקנה הפשוטה מאירוע דליפת פרטיהם האישיים של אלפי ישראלים היא שהאחריות צריכה להיות מוטלת על שני הצדדים - המשתמשים מחד, והאתרים ששומרים את המידע הפרטי שלנו מאידך. המשתמש לא יכול להיות דביל ולהכניס את פרטיו לכל אתר קיקיוני ומצד שני בעלי האתרים חייבים להטמיע מערכות ומתודולוגיות הגנה" ● לייזי ינאי, נשיא וריפון ישראל: "במרבית המקרים הצרכן לא יינזק כתוצאה מהאירוע הזה"
"המסקנה הפשוטה מאירוע דליפת פרטיהם האישיים של אלפי ישראלים היא שהאחריות צריכה להיות מוטלת על שני הצדדים – המשתמשים מחד, והאתרים ששומרים ואוגרים את המידע הפרטי שלנו מאידך", כך אמר דיוויד ממן, ה-CTO של GreenSQL.
לדבריו, "המשתמש לא יכול להיות דביל ולהכניס את פרטיו לכל אתר קיקיוני ומצד שני בעלי האתרים חייבים להטמיע מערכות הגנה ומתודולוגיות הגנה, תחום שהוא לא פחות חשוב".
"ההאקרים הוציאו מידע מהרבה אתרים שלא היו מאובטחים", אמר ממן, "על פי בחינות של חברות אשראי מדובר בעיקר באתרי קופונים. המידע שהוצא משם רוכז לקובץ אחד גדול שלטענת המפיצים כלל 400 אלף כרטיסי אשראי, אף שבפועל הוא הכיל פרטים של 15-20 אלף, וגם אלה בחלקם היו בלתי עדכניים. נטילת המידע נעשתה בטכניקת הזרקת SQL, שמשמעה שהאתרים לא היו מאובטחים".
"במסגרת הזו אנשים צריכים להבין את המנטרה שאנו משננים כבר 20 שנה: האינטרנט הוא לא מקום בטוח וקשה לסמוך על אתרים קטנים מבחינת עמידתם בכל תקני אבטחת המידע הנדרשים", ציין ממן. הוא הוסיף, כי "כשנדרש לשלם, יש לבחור באפשרות של מסלקה מקצועית כמו פיי-פאל (PayPal), פעולה המקטינה את החשיפה והסיכון באופן דרמטי".
לדברי ממן, "לא צריך להיכנס לפאניקה. חברות האשראי היו ערות לאפשרות של חשיפת הפרטים וכבר באמצע הלילה הן הכינו רשימות שחורות של כרטיסי אשראי שהופיעו ברשימות שפורסמו – וחסמו אותם לפעילות ברשת. כלומר, ניתן למשוך עם הכרטיסים הללו כסף בכספומט, אולם לא ניתן לבצע פעולות כספיות מקוונות".
ממן סיים בציינו, כי "אין לי ספק שאירועי דליפת פרטי כרטיסי אשראי ופרטים מזהים נוספים – יקרו שוב. זאת כיוון שאתרים וחברות לא משקיעים משאבים בתחום האבטחה, והרגולציות לא מוטמעות, כי זה עולה כסף ולוקח זמן. חשש נוסף, חמור יותר, הוא היכולת לבצע גניבת זהויות: אם יש להאקר שם, מספר תעודת זהות, כתובת וטלפון – הוא במצב הקלאסי לגנוב את זהותו של הקורבן, ולבצע בשמו פעולות לא חוקיות, החל מזיוף רישיון נהיגה וכלה בפתיחת חשבון בנק על שמו".
"הצרכנים לא יינזקו"
לדברי לייזי ינאי, נשיא וריפון (VeriFone) ישראל, "למרות האפקט התקשורתי המרשים שהצליחו ההאקרים הסעודים להשיג, הרי שמערכות הניטור של חברות האשראי יעלו במרבית המקרים על עסקאות מזויפות ועל מה שהם לא יעלו, הן יצטרכו לספוג את הנזקים. במרבית המקרים הצרכן לא יינזק כתוצאה מהאירוע הזה".
האירוע האחרון, אמר ינאי, "מלמד שוב כי אבטחת והצפנת המידע בתחום התשלומים האלקטרוניים הינן אבני יסוד לביטחונו של הצרכן במערכת זו. אתרים העוסקים בסחר אלקטרוני חייבים להגן על עצמם באמצעי הצפנה ואבטחה על מנת להימנע ממצבים דומים. פה נגנבה כמות רבה מאוד של נתוני כרטיסי אשראי, אולם אם יטופל המשבר בצורה הנכונה, יימנע נזק משמעותי. תיתכן הוצאה חריגה לחברות האשראי, כמו גם התמודדות של צרכנים עם עדכון הוראות קבע בעת שיונפק להם כרטיס חדש, אולם בסופו של דבר, עלינו כצרכנים להתחיל להשתמש באמצעים שלא חושפים את פרטי כרטיס האשראי באינטרנט ויש לא מעט אמצעים כאלו".
ינאי סיים בציינו, כי "הארנק המאובטח שפיתחה וריפון עבור גוגל וחברות נוספות נותן פתרון לחלק מן הבעיה, מאחר ומדובר בפתרון שמגן על פרטי כרטיס האשראי ומאפשר לבצע עסקאות ללא חשיפת פרטי הכרטיס".
"עקבנו אחר קבוצת ההאקרים"
אלון מנצור, מנכ"ל 2BSecure, אמר כי "בשבועות האחרונים אנשי החברה עקבו אחר קבוצת ההאקרים, בעקבות פעילות חשודה אצל אחד מלקוחותינו. במהלך העבודה הגענו לפורום דובר ערבית. ניסינו להתחבר אליו ולאחר שלא הצלחנו, התחברנו למרות זאת. אז גילינו התכתבות בין שני האקרים: האחד אמר 'יש לי קובץ עם 150 פרטי כרטיסי אשראי ישראלים' והשני שלח לו לינק לקובץ המכיל פרטים רבים יותר. לאחר עבודה של התחקות מצאנו את הקובץ המכיל את הנתונים האישיים ומייד פרסמנו את הבעיה האבטחתית. כנראה שבאותו זמן, אמש, ההאקרים עלו על כך שאיתרנו אותם, ואז הם פרצו לאתר ONE ופרסמו את הקובץ הגדול. הפריצה נעשתה ככל הנראה, לאתרי קופונים ומכירות שונים בארץ".
מנצור ציין, כי "הקמנו באתר החברה יכולת מיידית לחיפוש לפי כתובות מייל, כדי שהציבור יוכל לגשת ולבדוק האם הפרטים שלו מופיעים בקובץ. עמלנו כל הלילה לפתח כלי שיאפשר לציבור לבדוק האם הוא נחשף. הכלי מאפשר להכניס את כתובת הדואר האלקטרוני שלך ובכך אנו נחזיר אינדקציה האם כרטיס האשראי שלך מופיע ברשימה שנחשפה או לא. כיוון שאנו לא רוצים לחשוף, או להסתכן באפשרות חשיפה של פרטים אישיים של אנשים, ובטח לא כרטיסי אשראי – אפשרנו בדיקה לפי כתובת דואר בלבד".
מר ממן היקר, לא הייתי יוצא בהצהרות חד משמעיות כאלו ולהגיד "המסקנה הפשוטה מאירוע דליפת פרטיהם האישיים של אלפי ישראלים היא שהאחריות צריכה להיות מוטלת על שני הצדדים - המשתמשים מחד, והאתרים ששומרים את המידע הפרטי שלנו מאידך. המשתמש לא יכול להיות דביל ולהכניס את פרטיו לכל אתר קיקיוני ומצד שני בעלי האתרים חייבים להטמיע מערכות ומתודולוגיות הגנה". אני לא הייתי קורא לך "CTO" אלא הייתי קורא לך דביל,כי כנראה אתה לא מבין כיצד הנושא אמור לעבוד,האחריות המלאה של אחזקת פרטי כרטיסי האשראי היא של הרגולטור בלבד, קרי בנק ישראל, על הרגולטור לאכוף את הנושא שכל חברה אשר מבקשת לבצע עסקאות אשראי דרך האינטרנט, חייבת מן הסתם להתחבר למסלקה כזו או אחרת, לדרוש מהמסלקה שתבדוק את נוהלי אבטחת המידע או שהמסלקה תדווח לרגולטור שלקוח מאן דהו מבקש להתחבר אליה ואז בנק ישראל יבדוק את נוהלי האבטחה, כל זאת כמובן אינו מסיר את האחריות מהאתר אבל מכאן להגיד שאנו הצרכנים דבלים זו אמירה מטומטמת של אדם אשר חושב שהוא יודע אבל בעצם לא יודע. ולא צריך לצאת במילים בומבסטיות ולא חכמות בכדי להתפרסם, אפשר גם ע"י מילות חוכמה וצנועות הרבה יותר