אחרי מכון מור: ההאקרים האיראנים פרצו למאגרי אתר הביטוח Trip Guaranty
אחרי מכון מור: ההאקרים האיראנים פרצו למאגרי אתר הביטוח Trip Guaranty
קבוצת בלאק שאדו פרסמה מאות אלפי פרטים מאתר ביטוח ביטולי הטיסות והשביתה אותו. מוקדם יותר פורסם כי ההאקרים חשפו מאות אלפי פריטי מידע של מטופלי מכון מור וכן נתוני משתמשים של אתר רדיו 103FM
אחרי הדלפת הענק של פרטי לקוחות מכון מור, רדיו 103 ועוד מספר ספקי שירות קטנים, ההאקרים האיראנים פרסמו היום (ד') עוד כחצי מיליון רשומות שמקורן ככל הנראה באתר ביטוח ביטול הטיסות טריפ גאראנטי (Trip Guaranty). לסוכנות יש שיתוף פעולה עסקי פורה עם חברת הפניקס, כאשר זו האחרונה מפנה תחת החלק של "ביטוח ביטול טיסה" - לטריפ גרנטי.
בין הפרטים שמופיעים ברשומות: שם משפחה, שם פרטי ובעיקר מספרי הדרכון ואף פרטי הטיסות. האתר של החברה הופיע כלא זמין בשעה האחרונה עם הכיתוב שהיא עוסקת בשדרוג המערכות שלה, לא ברור אם הדבר נובע מהפריצה.
כאמור, ההאקרים האיראנים ממשיכים להדליף במרץ מאגרי מידע שהצליחו לגנוב משרתי חברת האחסון סייברסרב (CyberServe). בין היתר הודלפו בערוץ הטלגרם של ההאקרים מאגרים של חברות נוספות, אם כי קטנים יותר. לפי הערכות אתר טריפ גאראנטי נעזר בשרת סייברברב.
אלה מצטרפים למאגר הענק שהודלף ושמקורו בנתוני פניות של לקוחות מכון מור, רשת מרכזים רפואיים ארצית, שמשמשת לביצוע בדיקות מעבדה וחיסונים עבור מיליוני מטופלים ישראליים.
ניכר כעת שלהאקרים יש מטרה שאינה רק לקיחת כופר. למרות הדרישה שלהם לתשלום של מיליון דולר כדי שלא יפרסמו את המאגרים בפומבי, מומחי סייבר מאוחדים בדעתם שמדובר בניסיון להסיט את תשומת הלב מכך שמדובר כנראה בפעולה שמגובה על ידי הרשויות האיראניות.
עם זאת עדיין לא נמצא קשר ישיר בין קבוצת בלאק שאדו (Blackshadow) לבין סוכנויות הביון האיראניות או משמרות המהפכה.
ההאקרים לא פנו קודם לפרסום
סוכנות טריפ גאראנטי נוסדה ב-2014 על מנת לבטח את הטסים לחו"ל בפני ביטול את ההזמנות שלו מספקי שירות ומוצרי צריכה. מאז פעילותה עבדה בעיקר עם חברת הפניקס. הסוכנות זכתה לעלייה בהתעניינות במיוחד מאז התפרצות הקורונה, לנוכח האפשרות כי התפשטות פתאומית של הנגיף במדינת יעד הטיסה או בישראל עלולה להביא לביטוח הטיסה. בסוף חודש יולי האחרון הפסיקה הפניקס את האפשרות לספק ביטוח טיסות דרך טריפ גאראנטי לאור המשך התגברות התחלואה הקשורה לנגיף הקורונה. מאז, לא השיבה חברת הביטוח את השירות של הסוכנות.
זו הפריצה השנייה של החברה בענף הביטוח. ב-20 בנובמבר פרצה קבוצת ההאקרים לשרתי חברת הביטוח שירביט במה שהוגדר כאחד מאירועי הסייבר החמור ביותר שידעה עד כה המדינה. ההאקרים לא רק הסתפקו בהצפנת הנתונים וגניבתם, אלא גם ניסו לסחוט את החברה דרך איום על פרסומו בפומבי - מה שאכן בוצע בסופו של דבר בהיקפים קטנים ממה שאיימו. על רקע הפריצה, סבלה שירביט מפגיעה במוניטין וירידה בכמות הלקוחות (שהתבטאה בירידה בכמות הפרמיות ברבעון האחרון של השנה). בחודש מאי השנה נמכרה שירביט לחברת הביטוח הראל תמורת 100 מיליון שקל.
על רקע התקפות הסייבר ועדת חוקה, חוק ומשפט של הכנסת צפויה להתכנס לדיון מיוחד ביום שני הקרוב שבו יעלה נושא ההגנה על הפרטיות ברשתות החברתיות, על רקע מתקפות הסייבר האחרונות על חברות ואתרים בישראל.
"מהבוקר מתפרסמים עוד ועוד מאגרי מידע"
מנכ"ל טריפ גאראנטי טיירי גננסיה מסר לכלכליסט כי הוא שמע על הפריצה אך עדיין לא יכול לאשר אותה. על פי גננסיה, בניגוד לאתר אטרף, ההאקרים לא פנו אליו קודם לפרסום.
ליאור חן, מנהל תחום הסייבר סקיוריטי בחברת אבטחת המידע והביג דאטה Varonis אמר בשיחה עם כלכליסט: "בקבוצת הטלגרם שפתחו הפורצים מקבוצת black shadow הבוקר ונסגרה זמן קצר לאחר מכן, הם אכן שיתפו מידע על הפריצה לאתר טריפ גארנטי. אנחנו רואים כי מהבוקר מתפרסמים עוד ועוד מאגרי מידע. הפרסום הראשון היה של 550 אלף משתמשים באתר אטרף וכלל פרטים מאוד אישיים לגבי זהות מינית ונשאות HIV. בנוסף התפרסם קובץ עם ההודעות והצ'אטים של המנויים באתר. בנוסף נחשפו 150 אלף רשומות של המשתמשים באתר מכון מור. בשעה האחרונה החלו להתפרסם גם מאות אלפי נתונים על המבוטחים בטריפ גרנטי".
תגובת מכון מור: ״בעקבות מתקפת סייבר על שרתי חברת סייברסרב נפגע גם האתר השיווקי של מכון מור. מדובר באתר מידע בלבד הכולל העתקי פניות שנעשו לחברה באתר, ואינו כולל תיקי נבדקים או תוצאות בדיקות. האתר מאפשר השארת פרטים לצורך יצירת קשר. החברה פועלת לקבלת תחקיר מלא של האירוע ומתואמת עם כל הגורמים הרלוונטיים האמונים על הנושא. מור ממשיכה באופן מלא במתן שירות ומענה באמצעות מוקד שירות הלקוחות *3171".