X
בעקבות מתקפת ההאקרים

דליפת המידע מ"אטרף": הרשות להגנת פרטיות פתחה בחקירה נגד החברה בגין רשלנות

הרשות הודיעה על הצעד בטענה שחברת cyber serve "התרשלה באבטחת המידע" • הרשות גם דרשה מהחברה להודיע באופן אישי לכל מי שהמידע על אודותיו דלף או קיימת אפשרות שדלף, מהם הנתונים שדלפו ומהן הפעולות המומלצות מצידו

גיא לוי, טכנולוגיהיאיר אלטמן
, עודכן
0השמעה
מאבק במתקפת סייבר // צילום: GettyImages

הרשות להגנת הפרטיות פתחה בחקירה בגין רשלנות נגד חברת cyber serve (שבבעלותה אתר ההיכרויות הלהט"בי "אטרף") בעקבות דליפת המידע מאתר ההיכרויות לאחר מתקפת קבוצת ההאקרים "Black Shadow".

החשד הוא שהחברה התרשלה באבטחת המידע טרם התקיפה. בנוסף, נאסר על החברה להעלות את האתר חזרה לאוויר ולא תאפשר העלאתו עד להודעה חדשה.

במסגרת החקירה, חברת cyber serve נדרשה להודיע אישית לכל מי שהמידע שלו דלף או היה חשוף לאפשרות כזו. המטרה היא לאפשר לציבור הנפגע לנקוט באמצעי זהירות מתאימים ולהקטין את הנזק שעשוי להיגרם לפרטיותו.

בעקבות כך, הרשות הזהירה כי "כל שימוש במידע אישי שדלף מאתר כזה או אחר, ללא הסכמת נושא המידע, הוא עבירה פלילית לפי חוק הגנת הפרטיות. עצם ההורדה והשימוש בקובץ שפורסם על ידי התוקפים ברשת מהווה שימוש בידיעה על ענייניו הפרטיים של אדם שלא למטרה לשמה נמסרה, וככזו יכולה לעלות לכדי עבירה פלילית, שהעונש המרבי עליה הוא חמש שנות מאסר".

"כפי שהתריעה הרשות בעבר", הודגש, "אירועי אבטחת מידע חמורים והדלפת מאגרים, הן על ידי גורמים עבריינים והן על רקע בטחוני, הן מגפה עולמית וצפויים להמשיך ואף לגבור. חובת ההגנה על מידע רגיש מוטלת על הגורמים המחזיקים בו, בהתאם לתקנות אבטחת מידע".

להערכת הרשות להגנת הפרטיות, גופים רבים במשק מחזיקים מידע רגיש ולא מאבטחים אותו כראוי. בהקשר זה, הומלץ לכל גוף לפעול מיד להגברת רמת האבטחה ולהיערך להתקפות סייבר. הרשות קראה גם לקידום דחוף של תיקוני החקיקה שגובשו בנושא, שיובילו לשיפור המשמעותי הנדרש בתחום הגנת המידע, לרבות הענקת סמכויות אכיפה מנהליות משמעותיות לרשות להגנת הפרטיות, כמקובל בעולם.

מתקפת האקרים, אילוסטרציה, צילום: רויטרס

קבוצות חדשות נפתחו

פרקליטות המדינה, כפי שפורסם לראשונה ב"ישראל היום", היא זו שפעלה מול חברת טלגרם על מנת לסגור את הקבוצות מהן פועלים ההאקרים של Black Shadow, אבל כפי שראינו בהמשך האירוע, נפתחו קבוצות מקבילות נוספות והקישורים להורדת המידע הפרטי הוכפלו בכמות.

הרשות להגנת הפרטיות פועלת לצמצם את הפגיעה בציבור, ומשתפת פעולה עם מערך הסייבר הלאומי ועם פרקליטות המדינה. הרשות פועלת בתיאום עם מחלקת הסייבר בפרקליטות המדינה אשר פעלה להוצאת צו שיפוטי המורה לספקיות האינטרנט להסיר כל מידע שדלף מהחברה, לחסום גישה לכל אתר הכולל את המידע האישי המודלף ולסנן תוצאות חיפוש שמובילות למידע זה.

לאחר שפג אולטימטום של 48 שעות, בו ביקשו האקרים מקבוצת Black Shadow סכום של מיליון דולר על מנת לא לפרסם את המידע האישי שגנבו מכמיליון חברים באתר ההיכרויות של קהילת הלהט"ב - "אטרף", הדליפו השבוע חברי הקבוצה את כל המידע בסדרה של 9 קבצי אקסל עם פרטי החברים, מערכת ההודעות בין החברים, מערכת של פתקי תזכורת שהייתה למשתמשים ומידע לגבי מיקומם.

המידע שדלף כלל שמות אמיתיים של חברי האתר והכינויים שלהם - לצד יתר הפרטים שהוצגו במהלך הסופ"ש כמו עיר מגורים, העדפות מיניות, נתוני גיל משקל וגובה והפרטים שמשמשים לכניסה לאתר - קרי הכינוי והסיסמה. לצד הנתונים הללו הדליפו חברי הקבוצה גם את מערכת ההודעות בין החברים ואף רשימה של חברים ישנים של האתר שכבר עזבו אותו. המידע שדלף אינו כולל תמונות של חברי האתר.

יו"ר איגוד האינטרנט הישראלי, יורם הכהן אמר: "לאור ההתרעה המוקדמת שהייתה, יש לחקור בראש ובראשונה מדוע הפירצה לא נסתמה לפני האירוע. ההודעה על פתיחה בחקירה על ידי הרשות להגנת הפרטיות מעידה על כך שיש חשד שנעשו עבירות פליליות בפרשה זו, אחרת היה נפתח הליך של פיקוח מנהלי.

במקביל, לאור הודעת מערך הסייבר כי הם התריעו בפני חברת cyberserve על כשלי אבטחת מידע לפני הפריצה, יש לבדוק בראש ובראשונה מדוע למרות ההתרעה המוקדמת הרשות להגנת הפרטיות לא דאגה לטיפול בפירצת האבטחה."

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
אטרףהאקרים

כדאי להכיר