מרתה יאנוס, קספרסקי: "כל פריצה היא גרועה, גם אם האתר לא מוסרי, או לא חוקי"

"כל פרצת אבטחה המביאה לדליפה של נתונים אישיים ופרטיים היא רעה באותה מידה. זה לא משנה כלל אם האתר נחשב 'בלתי מוסרי' או אם הוא אפילו בלתי חוקי. המשתמשים הניזוקים מהפריצה לא בהכרח אשמים בכל פעילות בלתי חוקית או לא מוסרית של האתר שנפרץ", כך אמרה מרתה יאנוס, חוקרת אבטחה בקספרסקי (Kaspersky Lab), בתגובה לפרסום לפיו אתר הבגידות אשלי מדיסון (Ashley Madison) נפרץ על ידי קבוצת האקרים.

האתר הבינלאומי, המעודד נשואים ונשואות לבגוד, נפרץ על ידי קבוצת האקרים שגנבו ממנו מידע רב מאוד על 37 מיליון משתמשים ברחבי העולם. בעלי האתר הודו בכך שאירעה פריצה וכי הם פועלים באופן נמרץ על מנת למנוע אותה. בתוך המידע שנגנב מצויים פרטיהם של יותר מ-100,000 משתמשים ישראלים. מידע נגנב גם משני אתרים נוספים של החברה: Cougar Life ו-Established Men.

הפורצים, המתהדרים בכינוי "צוות אימפקט" (The Impact Team) איימו לפרסם את כל פרטי הגולשים של האתר, ובכך לגרום לרעש רב, שכן רבים מבני ובנות הזוג של הנרשמים לאתר אינם מודעים לדבר הבגידה של בן/בת הזוג שלהם. המידע שפורסם הכיל פרטים ממספר נמוך של לקוחות האתר. עוד פרסמו ההאקרים גם פרטים על שרתי החברה, חשבונות הרשת הפנימית של העובדים, ונתונים על משכורות העובדים.

ההאקרים יצאו בדרישה להורדת האתר, מה שהעלה את הסברה כי הם פעלו בשליחות של חברה מתחרה מהתחום וכי מטרת הפריצה היא לגרום לו לנזק כלכלי. מנגד, עלתה הסברה כי הפורצים פעלו בשליחות של גופים ימניים שמרנים ודתיים, שפעילות האתר לא הייתה לרוחם.

לדברי יאנוס, "הפרסום על הפריצה לאתר מדגיש את הצורך של כל החברות להטמיע אמצעי אבטחה כדי למנוע מתקפות סייבר, ובכך להגן על הנתונים האישיים של לקוחותיהם. משתמשים המפקידים מידע פרטי באתר אינטרנט צריכים להיות בטוחים בכך שהמידע הזה נשמר באופן מאובטח. חלה חובה על כל החברות שלהן אתרים ברשת להבטיח את שמירת הנתונים".

"כל פרצת אבטחה המביאה לדליפת נתונים אישיים וחסויים רעה באותה מידה", אמרה יאנוס, "במקרה של אשלי מדיסון, הנתונים שנגנבו מכילים מידע כמו שמות אמיתיים, כתובות, ופרטי כרטיסי אשראי – מה שהופך את זה לעניין רציני למדי. ברגע שהפרטים מתפרסמים – פושעי האינטרנט יכולים להשתמש בהם על מנת לגנוב כסף".

"ישנן כמה סיבות לכך שחברה הופכת לקורבן של התקפה מסוג זה, כגון מניע כספי, פוליטי, או כפי שנטען במקרה זה – מניע אתי", אמרה יאנוס. "מה שחשוב הוא שחברות מבינות כיום כי כל אחת עלולה להיות מטרה למתקפה ממוקדת של פושעים מקוונים. לצד העובדה כי הטמעת פתרונות אבטחה מפחיתות באופן משמעותי את הסיכון להצלחת המתקפה, נדרש לנקוט גם באמצעים אחרים, על מנת לספק הגנה יסודית".

אמצעים אלה, סיכמה יאנוס, "כוללים עדכוני תוכנה קבועים באופן מלא, ביצוע ביקורות ובקרות אבטחה קבועות באתר, ובדיקות חדירה יזומות ברמת התשתית. הדרך להילחם בסוגים אלה של מתקפות סייבר היא רק בתחילתה. יש להביא ליצירת אסטרטגיה יעילה לאבטחה מקוונת, ויש להעלותה לקדמת הבמה הארגונית בטרם הארגון יהפוך למטרה".