כעסתם על דליפת פנקס הבוחרים מאפליקציית ״אלקטור״? קיבלתם הודעה חריגה מפייבוקס? בעקבות דליפת המידע שהייתה ב paybox בסוף חודש ינואר (השייכת לבנק דיסקונט) ובחודש מאי 2019 לקאנבה (canva) רציתי לעשות לכם קצת סדר בראש. סדר שיאפשר לכם להגן על המידע שלכם ועל המידע של הלקוחות שלכם (כמעט בחינם).

על פי המידע שנמסר מפייבוקס, עקב טעות בהגדרת אחד השרתים שלהם, נחשף בסיס נתונים לגישה חופשית מבחוץ. בסיס הנתונים הכיל פרטים אישיים כגון שם ותעודת זהות וכן את ארבעת הספרות האחרונות של כרטיס האשראי והיסטוריית העברות כסף באפליקציה. המידע דווח לחברה על ידי חוקר אבטחת מידע שהוריד דגימה חלקית של הנתונים לצורך בדיקה ודיווח לחברה. נכון להיום אין אינדיקציה לחדירה זדונית לנתונים או לשרתי החברה.

אירועים חמורים יותר ופחות מהתקלה בפייבוקס אינם נדירים. מדי יום ומדי שעה נפרצים שרתים, שרותים ואתרים רבים ברחבי העולם, כאן תוכלו לראות בזמן אמת (ובצורה ויזואלית) ניסיונות פריצה ברחבי העולם.(כאן אגב יש פרופיל טוויטר שצוחק על מפות שכאלה, למתקדמים).

ובוא נראה עוד קצת מספרים על 2019:

חצי ממתקפות הסייבר מטרגטות עסקים קטנים- עסקים קטנים פחות מייחסים חשיבות (וכסף) לסיכונים אלה, אולי בגלל תחושת ה''לי זה לא יקרה'' או מחוסר ידיעה, אבל זה בהחלט הופך אותם למטרה קלה ונוחה יותר. עסקים קטנים מהווים 13 אחוז משוק אבטחת הסייבר, יחד עם זאת, מרבית העסקים האלה משקיעים פחות מ - 500 דולר באבטחת הנכסים הדיגיטליים שלהם.

התחזיות הן שעד 2021 הנזק מפריצות אבטחת מידע יעמוד על 6 טריליון דולר- שזה הרבה יותר מנזקים של כל אסונות הטבע בשנה ועולה אפילו על הסחר העולמי של כל הסמים הבלתי חוקיים הקיימים בעולם.

רק 10% מפשעי הסייבר בארה''ב מדווחים מדי שנה- זה קורה מהמון סיבות, כי קשה להוכיח לפעמים, כי אין תקווה לתפוס את האשמים או לזהות אותם וכי לפעמים הפורצים מחזיקים במידע רגיש או אינטימי שאנשים מפחדים שיחשף במידה ויפנו לרשויות.

כל 14 שניות עסק נפרץ ומקבל דרישת כופר עבור שחרור המידע שנפרץ.

והנה קצת נתונים על גניבת מידע של משתמשים בחברות הגדולות שכולנו כנראה מכירים:

אדובי, בשנת 2013 נגנבו פרטים על 152,445,165 משתמשים.

בקאנבה (canva), במאי 2019 נגנבו פרטים על 137,272,116 משתמשים.

לביטלי (Bitly), במאי 2014 נגנבו פרטים על 9,313,136 משתמשים.

מדרופבוקס נגנבו ב2012 פרטים על 68,648,009 משתמשים.

ללינקדאין נגנבו ב2012 פרטים על 164,611,595 משתמשים.

בניגוד לפייבוקס, לכל השירותים האלה נגנבו גם פרטים אישיים וגם סיסמאות הגישה של המשתמשים!

את המידע המלא ואיסוף מידע על עוד פריצות תוכלו למצוא ממש כאן.

את חלקכם אולי הנתונים האלה מלחיצים אבל חלקכם יגידו: נו אז גנבו את שם המשתמש והסיסמה שלי באדובי הם לא גנבו את המידע שיש לי שם (ואפשר לחשוב איזה מידע כבר יש לי שם…) אז נשנה סיסמה ונתקדם עם השגרה שלנו.

הבעיה היא שמרבית האנשים רשומים לעשרות אתרים ומשתמשים באותה סיסמה לכולם, אם פעם הסיסמאות נרשמו ונתלו על הקיר או ליד המחשב בעמדת עבודה, היום כשאנחנו עובדים מכל מקום, ממגוון מכשירים ומשתמשים בעשרות שירותים - למי יש כוח לנהל את הסיסמאות שלו על פתקים. בסוף אנחנו משתמשים באותן הסיסמאות בכל מקום. וכאן מתחילה הבעיה. כשנפרץ שירות כמו קאנבה, הפורצים פשוט מקבלים רשימה של 137 מיליון איש - שם משתמש, מייל וסיסמה (לפעמים מוצפנת או מגובבת אבל זה לא תמיד עוזר). עכשיו נשאר רק להצליב ולנסות את המייל והסיסמה האלה בשירותים אחרים - פייסבוק, פייפאל, גוגל…. והנה איך אתם בקלות מאבדים את המידע והכסף שלכם או של הלקוחות שלכם, בלי שאולי אפילו שמתם לב.

גם אם אתם לא ממחזרים סיסמאות בין שירותים, דבר נוסף שאפשר לעשות עם המידע שנגנב זה לשלוח מייל מזוייף של איפוס סיסמה או אימות פרטים (מתקפת פישינג או "דיוג"). ניתן להרכיב מייל כזה המשלב פרטים מהמידע שנגנב משירות א' וכך לגרום למייל להראות מאוד מאוד אמין. כך ניתן לנסות לקבל גישה לחשבון שלנו בשירות ב'.

עד כאן לא נעים ואולי גם קצת מביך, אבל כל הדבר הזה מחמיר עוד יותר כשאנחנו מחזיקים מידע עבור הלקוחות שלנו, כשאנחנו מנהלים להם אתרים, חשבונות פייסבוק, חשבונות ecommerce ועוד ועוד ועוד, פריצה אחת לחברה אחת גדולה יכולה להסב לנו הרבה נזק בעסק הפרטי שלנו ובסביבה הקרובה אלינו.

מה המשמעויות של זה?

לפעמים הנטייה שלנו היא לחשוב שלהאקרים אין בכלל סיבה לפרוץ אלינו - שאנחנו פשוט לא מספיק מעניינים. אבל הנתונים ואופי הפריצות מראים שזה פחות רלוונטי, כל מה שפריץ או נגיש - ייפרץ. אז קודם כל, צאו מגישת ה''לי זה לא יקרה'' ותחשבו איך אתם יכולים למנוע את המהלכים האלה ולשמור על המידע שלכם ושל הלקוחות שלכם.

מה אפשר לעשות כדי למנוע או למזער נזקים?

לא ממחזרים סיסמאות בין שירותים שונים

אולי העצה הכי חשובה, הסברתי כבר למה זה חשוב ועכשיו נדבר קצת על איך עושים את זה:

עדיף להשתמש במנהל סיסמאות שמאפשר לנו לייצר סיסמאות מסובכות לחשבונות שלנו ושומר לנו אותם במקום מרכזי כדי שאנחנו לא נצטרך לזכור אותן, מנהל הסיסמאות מוגן בדרך כלל בסיסמת מאסטר שזו הסיסמה היחידה שנצטרך לזכור.

מנהלי סיסמאות מגיעים בדרך כלל כתוסף לדפדפן, כדי שיוכלו להקליד את שם המשתמש והסיסמה לתוך האתר שאתם מנסים להתחבר אליו, או כאפליקציה לנייד. הסיסמאות שאתם שומרים בהם יסתנכרנו בין המכשירים שלכם ולא תצטרכו יותר להקליד או לזכור אותן.

שני מנהלי סיסמאות מומלצים הם https://1password.com/ ו https://www.lastpass.com/ אבל ישנם שירותים נוספים.

אם לא בא לכם להתקין תוכנות נוספות אפשר גם להשתמש במנהל הסיסמאות של הדפדפן. הרבה אנשים שומרים סיסמאות בכרום שלהם אבל לא כולם יודעים שאפשר לנהל את הסיסמאות (לראות אותן ולעדכן אותם) בצורה מרוכזת בכרום. ככה תוכלו לבדוק איפה לא עדכנתם הרבה זמן את הסיסמה שלכם ואיפה יש לכם סיסמאות שחוזרות על עצמן ושווה להחליף. העתיקו את הלינק הזה לכרום שלכם ותוכלו לגשת ישר למנהל הסיסמאות שלכם.

chrome://settings/passwords

ניתן גם להשתמש בחשבון הגוגל שלכם כדי לסנכרן את הסיסמאות בין המכשירים השונים אם תחברו את הדפדפן לחשבון גוגל שלכם.

מעדכנים סיסמאות

בתום קריאת הפוסט הזה תגשו לעדכן ולשנות את הססמאות הקבועות שלכם בכל מקום. גם במקרים נקודתיים - כשאנחנו מקבלים עדכון ששרות מסויים נפרץ (לדוגמא קאנבה), חשוב לא רק לשנות שם את הסיסמא שלנו אלא ללכת לכל מקום בו אנחנו משתמשים באותה סיסמה בדיוק ולשנות אותה, כדי למנוע הצלבת סיסמאות ופריצה לחשבונות נוספים שלנו.

מפעילים אימות דו שלבי על חשבונות חשובים (כמו פייסבוק וגוגל)

אימות דו שלבי זה אומר כשמתחברים לחשבון שלכם- מעבר להכניס שם משתמש וסיסמה, אתם מקבלים גם אסמס או מייל עם עדכון על ניסיון התחברות למערכת וקוד חד פעמי שצריך להזין כדי להתחבר לחשבון.

במערכות שונות תוכלו לשחק עם ההגדרות של האימות הכפול - האם בכל התחברות, התחברות ממחשב חדש, כל X זמן (למשל פעם בחודש) וכו. חלקן גם תומכות בהזדהות באמצעות מפתח אבטחה, מכשיר פיזי או אפליקציה לטלפון שמייצרים קוד חד פעמי חדש כל דקה אותו נדרש להקליד בנוסף לשם המשתמש והסיסמה הרגילים.

אם משתמשים באפשרויות האלה חשוב להגדיר גם גיבוי כדי שלא נאבד גישה לחשבון (תוכלו לקרוא על כך עוד כאן)

לא להיכנס לחשבונות שלנו ממחשבים ציבוריים או ממחשבים של אנשים אחרים

קודם כל ברור שאם נשכח להתנתק בסיום העבודה, משתמשים אחרים במחשב יוכלו לגשת לחשבון שלנו. אבל גם אם אנחנו סומכים על המשתמשים האחרים במחשב, אנחנו לא יודעים מה רמת האבטחה שלו ואם הוא מודבק בקוד זדוני שיכול לגנוב את הסיסמאות שלנו כשאנחנו מקלידים אותן.

אם אין ברירה וחייבים להתחבר ממחשב שלא שייך לנו, כדאי להשתמש במצב ״גלישה בסתר״ (ctrl+shift+n בדפדפן chrome). במצב גלישה בסתר המידע נשמר בדפדפן רק באופן זמני כל עוד הוא פועל. זה אומר שברגע שנסגור את החלון של ״גלישה בסתר״ המידע שלנו ימחק וכל החשבונות שהתחברנו אליהם במחשב הזה ינותקו. חשוב לשים לב שסוגרים את כל הטאבים כדי שהמידע ימחק.

הקפידו לעדכן את מערכת ההפעלה ואת התוכנות השונות שאתם משתמשים בהם בדגש על הדפדפן

אני יודעת שזה מעצבן ואף פעם אין כוח להפעיל מחדש את המחשב אבל חלק מהעדכונים האלה מכילים תיקוני אבטחה שמטרתם למנוע מפורצים לחדור למחשב שלכם.

לא לוחצים על לינקים חשודים

הרבה פעמים כשאתם מקבלים מיילים, הודעות או התראות ברשתות חברתיות על איפוס סיסמה, אימות נתונים וכו- בדקו טוב טוב מה מקור המייל ואל תלחצו על אף מייל שלא אתם ביקשתם או יזמתם. בטח לא להכניס סיסמאות, פרטי חשבון בנק, אשראי וכו.

בדיקת חשבונות

הדרך הכי טובה להגן על הפייפאל והכרטיס אשראי שלכם זה פשוט לבדוק ולעקוב אחרי החשבונות וההוצאות שלכם, בדקו כל דבר שאתם לא מכירים או לא בטוחים שרכשתם.

ועוד קצת טיפים:

איך יודעים שהמידע שלנו דלף?

פה תוכלו להכניס את המייל שלכם ולבדוק אם הפרטים שלכם דלפו באחת מדליפות המידע בחברות הגדולות. אפשר גם להירשם לעדכונים וכך תקבלו מייל הודעה אם האימייל, שם המשתמש או הסיסמה שלכם נחשפים בפריצה חדשה.

פה תוכלו לעשות חיפוש לפי סיסמה אם יש לכם סיסמה קבועה שאתם משתמשים בה, שווה לעשות בדיקה האם הסיסמה הספציפית הזאת דלפה איפשהו - כדי לרוץ לשנות אותה.

למה פורצים לאתרים קטנים?

אנחנו מבינים למה שירצו לפרוץ לחשבונות שלנו בשירותים גדולים, אבל למה שמישהו ירצה לפרוץ לבלוג שלי או לאתר תדמיתי קטן? יש המון סיבות שבגללן פורצים למערכות ואתרים אבל בואו נבחן כמה סיבות שבעיני חשוב להכיר:

גניבת מידע על משתמשים

למרות שאתרים קטנים מחזיקים בפחות מידע משרותים גדולים כדוגמת פייסבוק, אבל דווקא שם הרבה פעמים יש מידע שקל לגשת אליו ויכול להיות מאוד רגיש לדוגמא: שמות משתמש, סיסמאות, פרטי אשראי, אתרים עם אזורי מנויים, אזורי סליקה וכו.

במה לשינוי תוכן

אתם יכולים להיכנס לאתר שלכם יום אחד ולגלות שכל התוכן שלכם השתנה לחלוטין ומישהו בוודאות פרץ אליו, אבל לפעמים פריצות כאלה יכולות להתרחש גם מבלי שישימו לב בכלל. פריצה לאתרים מאפשר לפורץ להחליף את התוכן באתר באופן גלוי או נסתר (ברמת הכפתור שמוביל פתאום לעמוד אחד שלא אתם יצרתם, איסוף מידע בזמן אמת באתר על משתמשים וכו). זה יכול להיות תוכן מכל סוג, חלק עושה נזקים, חלק אוסף מידע, אבל זה לא משנה - האתר שלכם מאפשר זאת ואתם בבעיה (אתם והגולשים שלכם).

קישורים

אתרים שנפרצו מהווים כר פורה לשתילה של קישורים שונים בתוך האתר שלכם, זה יכול להיות קישור לעמוד מתחזה שיאסוף מידע על המשתמשים שלכם בצורה סמויה, זה יכול להיות לינק זדוני שמוריד וירוס למחשב שלכם או של המשתמשים. לפעמים זה יכול להיות אפילו למטרות של שיפור הSEO של אתר אחר - אנשים שפורצים לכל אתר אפשרי ומפזרים שם בצורה סמויה לינקים לאתרים שהם רוצים לקדם ולהקפיץ במהירות במנוע החיפוש של גוגל. למקדמים מסוג זה קוראים Black hat SEO.

דרישות כופר

המחשב, הטלפון, כל המידע שלנו בענן הם מאוד מאוד חשובים ויקרים לנו. בגלל שהם יקרים לליבנו פעמים רבות במידה והמידע הזה יילקח מאיתנו נהיה מוכנים לשלם כסף כדי לשחזרו. פריצות שמביאות לדרישת כופר יכולות להיות מסוגים שונים, זה יכול להיות כי פרצו לחשבונות שלנו והצליחו להוציא תמונות אינטימיות שלנו ואז הכופר הוא תמורת אי הפצה, זה יכול להיות כי פרצו למצלמה של הטלפון או המחשב שלנו ויש להם מידע רגיש, או שזה יכול להיות שהורדנו תוכנה זדונית למחשב או לטלפון- המחשב כולו ננעל וכדי להמשיך לתקשר ולקבל את כל החיים שלנו בחזרה (או את כל העסק שלנו) - אנחנו צריכים לשלם.

סתם כי אפשר

לפעמים להיות ''האקר'' זה טייטל פשוט ''מגניב'', זה מפתה ואנשים (אפילו נוער) מתפתים להתנסות בשלל דברים ברשת כדי לראות מה הם יכולים לעשות, כמה רחוק הם יכולים להגיע. לדוגמא קל מאוד לסרוק אתרים במסה גדולה ולבדוק האם יש בהם תוספים לא מעודכנים, או פרצות אבטחה קלות - זה נעשה במערכות אוטומטיות שלא בוררות איזה אתר מעניין יותר ואיזה פחות. כל עוד יש פרצת אבטחה וזה פריץ- זה לפעמים מספיק טוב. אתרים כאלה מאותרים בקלות ונפרצים בקלות, התוכן שלהם יורד ומוחלף בתוכן אחר למשל - סתם, כי אפשר.

אבטחת מידע באתר שלכם

אם האתר שלכם בנוי בוורדפרס חשוב לשים לב שאתם מנהלים את המידע שלכם בשרת מאובטח ומנוהל, זה עולה יותר אבל שווה כל דולר. חשוב לעשות גיבויים לתוכן של האתר שלנו (לרוב מתאפשר לעשות אוטומטית בשרתים מנוהלים - רק לוודא שהאפשרות מופעלת). לחבר לאתר רק תוספים מוכרים שיש להם ביקורת חיובית ולעדכן את כל התוספים שלנו על בסיס קבוע כדי למנוע פרצות אבטחה.

אבל לא רק באתר- חשוב לגבות את כל המידע שלכם מהמחשב והטלפון- מסמכים, מיילים, תמונות וכו. אבל לא רק לגבות, גם לדאוג לאבטח אותם.

היו אקטיביים לשמירה על המידע שלכם, של הלקוחות שלכם ותעשו בחירות נכונות.

#אבטחתמידע #אתר #תהליךמומלץבבנייתאתר