מומחית אבטחת מידע: "דליפת פרטי הגולשים היא באחריות החברה המארחת את אתרי הקניות שנפרצו"

"האחריות על אבטחת אתרים באירוח מוטלת על החברה המארחת, ולא ניתן להטיל את האשם על מי שאתר באירוח שלו נפרץ", כך אמרה לאנשים ומחשבים איריס לב ארי, מומחית אבטחת מידע ומרצה ב-GSECTRA. לב ארי אמרה את הדברים בהתייחסה לפרסומים לפיהם שני אתרי הקופונים שמהם נגנבו חלק מפרטי האשראי שנחשפו דווקא היו מוגנים כראוי – אולם הפורצים חדרו לאתר לא מוגן שנמצא על אותו שרת, ודרכו למאגרי המידע של האתרים המוגנים. טענה זו הושמעה בכלי התקשורת על ידי אנשי דובל, החברה שאצלה מאוחסנים האתרים. בדובל אומרים שהאתר שנפרץ נבנה על ידי חברה אחרת ורק אוחסן אצלם, אולם למרות זאת הם לא מוכנים לחשוף את זהותו בנימוק של הסכמי סודיות.

חוץ מאתרים שאנשי דובל בונים, הם נותנים שירותי אחסון לאתרים שלא בנו. לדברי אנשי דובל, האתר שנפרץ נבנה על ידי חברה אחרת והועבר להתארח אצלם. כך, כאשר הוא נפרץ, השרת כולו הפך לחשוף. כשהפריצה התגלתה, היא נחסמה מיד והאתר הוסר מהאוויר. עוד אמרו אנשי דובל, כי אין להם אפשרות לבדוק קוד של אתרים שלא הם בנו, וציינו כי מדובר במקרה חריג. "האשמים הם הסעודים, שפרצו לאתר", על פי דובל.

לדברי לב ארי, "האחריות היא על נותן האירוח: הוא אחראי על תקינות השרת ועל הטלאת עדכוני אבטחת מידע. המארח הוא זה שצריך לתת שירותים מאובטחים, בלא כל קשר לרמת האבטחה של האתרים המאוחסנים אצלו". לב ארי הוסיפה, כי "על החברה המארחת היה לערוך הפרדה של בסיסי הנתונים של האתרים המתארחים. זאת, על מנת שפריצה לאתר אחד לא תשפיע על רמת האבטחה של אתר אחר. האחריות היא תמיד על האתר המארח – היה עליו לדאוג שלא תהיה זליגה בין האתרים, תוך ביצוע תצורה והגדרה נכונות, ומימוש מדיניות הרשאות הגישה לבסיסי הנתונים של האתרים, תוך הפרדה ביניהם".

לא ניתן היה להשיג את תגובת חברת דובל, בטענה כי נאסר עליהם להתראיין על פרטי המקרה, בשל פתיחת החקירה של הרשות למשפט, טכנולוגיה ומידע בפרשה.

רוצים לשמוע עוד? הירשמו עכשיו לכנס CyberSec של אנשים ומחשבים