top of page
  • תמונת הסופר/תעמוס איתן

דליפת המידע הגדולה בעולם? שיעור היסטוריה קצר


החודש לפני שלוש שנים, בפברואר 2020, הוגש כתב אישום חשוב בידי ממשלת ארצות-הברית - ארבעה האקרים סינים שפעלו בשירות הצבא הסיני הועמדו לדין על כך שביצעו את הפריצה למאגרי המידע של Equifax. הפריצה הזאת נחשבת לאחת מהגדולות בהיסטוריה, ולימדה את קהילת אבטחת המידע כמה לקחים חשובים. אז היום זאת הזדמנות נהדרת לדבר על מה שקרה שם: מה היא Equifax, מה אירע במסגרת דליפת המידע, מה היו ההשלכות המשפטיות ומה אנחנו יכולים ללמוד מזה. אגב, התמונה של הברז הדולף? זה כי זאת הייתה "דליפת" מידע. מקווה שאתם מעריכים את הבדיחה המוצלחת...


נתחיל בטיפה רקע. Equifax היא סוכנות לדיווח אשראי צרכני (Consumer Reporting Agency - CRA) שאוספת ומנתחת נתונים על היסטוריית אשראי, מוסר תשלומים ומידע פיננסי אחר על אנשים ועסקים. חברת Equifax פועלת על ידי איסוף מידע ממקורות שונים, כמו בנקים או חברות כרטיסי אשראי, ומרכיבה מהמידע שהיא אספה דוחות אשראי המשמשים גופים שמלווים כספים או מעסיקים פוטנציאלים. דוחות האשראי של Equifax מסייעים למי שמעיין בדוח לקבל החלטות כמו האם לספק הלוואה לאדם מסוים והאם להעסיק אדם מסוים. הדבר החשוב ביותר לדעת על Equifax זה שהיא אחת משלוש סוכנויות דיווח האשראי הגדולות בארצות הברית.


אז מה קרה ל-Equifax? בשנת 2017, Equifax הייתה קורבן לדליפת מידע אדירה שהשפיעה על למעלה מ-147 מיליון אמריקאים, ועל כמה מיליונים נוספים של אזרחים בריטים וקנדים. 147 מיליון איש זה כמעט חצי מאוכלוסיית ארצות הברית! אז איך זה קרה? התוקפים הסינים ניצלו חולשת אבטחה במסגרת מוצר של חברת Apache. החולשה הזאת אפשרה לתוקפים לגשת אל מאגרי המידע של החברה ולדלות משם פרטים אישיים רבים, כולל שמות מלאים, מספרי Social Security, תאריכי לידה, כתובות, מספרי רישיון נהיגה ומספרי כרטיסי אשראי. הנקודה המרכזית שחשוב לזכור בסיפור היא לוחות הזמנים: עצם קיומה של החולשה פורסם במרץ 2017. התקיפה עצמה של מערכות Equifax התרחשה בין החודשים מאי ליולי 2017. משמע, שבין מועד פרסום קיומה של החולשה ועד לפריצה בפועל עברו בערך חודשיים. בנוסף, התקיפה עצמה התרחשה לאורך חודשיים בערך. כפי שנראה בהמשך, לוחות הזמנים הם קריטיים באירוע כמו זה, גם מנקודת מבט רגולטורית.

כלל ידוע בתחום של אבטחת מידע הוא שאין 100% הצלחה. תמיד יש חולשות מסוימות, תמיד "שמיכת המשאבים" תהיה קצרה מידי בשביל "לכסות" את כל הבעיות התיאורטיות האפשריות שיכולות להתרחש. ובכל זאת היו במקרה הזה השלכות משפטיות דרמטיות על Equifax. לפני שנסביר למה, כדאי להזכיר מה היו ההשלכות הדרמטיות האלה: ובכן, Equifax התמודדה עם מספר תביעות ייצוגיות. בנוסף, ה-FTC, שכבר הזכרנו כאן בעבר, חייבה את Equifax לשלם לאנשים שהמידע שלהם דלף סכום כולל של למעלה מ-425 מיליון דולר (כדי לקבל אותו, כל לקוח צריך היה להראות שהמידע שלו דלף בפועל). וזה עוד לפני שדיברנו על איבוד לקוחות, פגיעה במחיר המניה, ונזק תדמיתי לחברה שבוודאי הזיק לה כלכלית.


אז מה אפשר היה, אולי, לעשות אחרת? כמובן, שהיום קל לנו - אנחנו כבר בשלב ה"בדיעבד". ובכל זאת ננסה. ישנם שלושה דברים מרכזיים שה-FTC התמקדה בהם כאשר חקרה את דליפת המידע הזאת, וכולם סובבים סביב שאלת לוחות הזמנים. ראשית, Equifax לא ידעה על החולשה, למרות שכבר פורסמה חודשיים לפני הפריצה עצמה. לא רק ש-Equifax לא ידעה על החולשה הספציפית הזאת, אלא שלא הייתה לה מלכתחילה תוכנית אבטחת מידע מקיפה שכללה איתור חולשות וסגירתן תוך פרק זמן סביר. שנית, הפריצה עצמה נמשכה כחודשיים. משמע, שהאקרים סינים הסתובבו באופן חופשי למדי כחודשיים במערכות של Equifax, בלי שאף אחד שם לב. מבחינת ה-FTC, זאת מהות התקלה: Equifax לא הצליחה לנטר כראוי את תעבורת הרשת שלה, מה שהיה מתריע בפני החברה על נוכחותם של ההאקרים בתוך המערכות. שלישית, וזאת נקודה חשובה במיוחד לעורכי דין, Equifax הודיעה ללקוחות שלה על כך שהמידע שלהם דלף רק כעבור למעלה מחודש. המשמעות הפרקטית היא שיש משתמשים רבים שהנזק שנגרם להם היה גדול יותר בגלל ש-Equifax לא הודיעה להם בזמן. בתקופת החודש שחלפה, יכולים היו המשתמשים הללו להתגונן (נניח, להחליף סיסמאות בשירותים אינטרנטיים כלשהם), אבל לא יכלו לעשות זאת.


מסתבר שלא רק שצריך לפעול נכון (מה שלא קרה כאן), צריך גם לפעול מהר (וגם זה לא קרה כאן).


ומה לגבי ההאקרים הסינים אתם שואלים? ובכן, בשיטת המשפט האמריקנית, מותר לתביעה הכללית להגיש כתב אישום גם אם האדם לא נמצא בתוך תחומי ארצות-הברית, גם אם הוא אף פעם לא היה בארצות-הברית, וגם אם הוא אף פעם לא נחקר בידי רשות חקירה אמריקנית. איך ולמה? את זה נשאיר לפעם אחרת. בינתיים מה שחשוב לדעת זה שלמרות ש"הוגש כתב אישום" נגד ארבעת ההאקרים, כתב האישום הזה לא התקדם לשום מקום מאז, כי ההאקרים האלה פשוט לא דרכו על אדמת ארצות הברית מאז הגשת כתב האישום ועד היום.

Comments


bottom of page