כלכליסט-טקאחרי יותר משבוע: סייברסרב "נזכרה" ליידע את משתמשי אטרף שהמידע שלהם נגנב
כלכליסט-טק
אחרי יותר משבוע: סייברסרב "נזכרה" ליידע את משתמשי אטרף שהמידע שלהם נגנב
זמן רב מדי לאחר הפריצה לאתר ההיכרויות של קהילת הלהט"ב, שהובילה לחשיפת פרטים רגישים של משתמשים, נזכרה החברה להזהיר את משתמשיה, אך באופן תמוה נמנעה מלקחת אחריות על האירוע. "ייתכן שכתובת הדואר ופרטים שעמם נרשמת לאתר נחשפו", ציינה סייברסרב בלקוניות, ושלחה את המשתמשים לקרוא "הנחיות נוספות באתר הרשות להגנת הפרטיות"
"ייתכן וכתובת הדואר ופרטים שעמם נרשמת לאתר נחשפו", כך "נזכרה" סייברסרב להזהיר את משתמשיה, יותר משבוע לאחר הפריצה לשרתיה. החברה שלחה היום (שבת) מייל למשתמשי אתר "אטרף" על כך שפרטיהם נחשפו פומבית לאחר שהאקרים - ככל הנראה איראנים - פרסמו אותם בערוץ הטלגרם שלהם. המייל לא כולל התנצלות או הבטחה לשינוי מדיניות האבטחה של החברה בעתיד.
אף שכלל לא ברור שמדובר במתקפת טרור, בסייברסרב תולים בהודעתם את האשמה בטהרן ומציינים כי הפריצה נגרמה "במסגרת מתקפת טרור סייבר איראנית על אתרים ישראליים, ובהם אתר אטרף".
סייברסרב נמנעת במייל מלקחת אחריות על האירוע, אף שהיא זו שמחזיקה באתר אטרף, מפעילה ומאחסנת אותו על שרתיה. מדובר לכל הפחות בניסיון להפריד באופן מלאכותי בין האחריות של סייברסרב לזו של אטרף, אף שמדובר כאמור בגוף שמנוהל ומוחזק בידי אותם גורמים.
"עוד עולה כי במסגרת המתקפה דלף מידע המכיל נתונים כגון פרטי הזדהות וססמאות כניסה, פרטי קשר ופרטים אישיים נוספים וכן תכתובות אנונימיות". את החלק הזה, החשוב והמטריד ביותר, סייברסרב מנסה להצניע. החברה מודה למעשה שכל המידע, הכי אישי והכי רגיש של המשתמשים, נחשף לפורצים.
אל תחפשו בהודעת סייברסרב מילות צער, אמפתיה או גילוי אחריות: "אנו ממליצים על החלפת סיסמאות, הפעלת אימות דו-שלבי להגברת האבטחה על חשבונות ותשומת לב לפעולות חשודות. הנחיות נוספות והמלצות למשתמשי אתרים שפרטיהם האישיים דלפו ניתן למצוא באתר הרשות להגנת הפרטיות". החברה ממליצה למשתמשים על פעולות להגן על עצמם, בשעה שאם היתה מבצעת את הפעולות האלה בדיוק על שרתיה, אולי כל האירוע היה נמנע מלכתחילה.
מערך הסייבר, רשות הפרטיות ואפילו אנשי האחסון של חברת נטוויז'ן, שמחכירה את שטח האחסון של אטרף, כולם הזהירו את סייברסרב על האבטחה הלקויה, אך לדבריהם החברה בחרה להתעלם. בנוסף החברה שולחת את המשתמשים לאתר רשות הפרטיות כדי לבדוק מה הם יכולים לעשות בגלל המחדל שהיא בעצמה גרמה לו לכאורה. קשה להבין את הרעיון של שליחת מייל מעין זה למשתמשים שנפגעו בצורה כל כך קשה מהתנהלותה הקלוקלת של החברה.
החברה יכלה לקחת אחריות, אך בחרה לנסות ולהקטין ככל שניתן את אחריותה לפריצה. יש כאן לכאורה ניסיון להתחמקות ולזריקת אחריות - אם מתוך פחד מתביעה או מקמפיין תקשורתי שיגיע כאשר המידע שנחשף יגרום נזק משמעותי למשתמשים.
בישראל אין אמנם חוק שקובע עדיין מה הדרישות המינימליות להגנת סייבר או לאבטחת מאגרי מידע פרטי, והקנס המקסימלי של רשות הפרטיות עשוי להגיע במקרה הגרוע ביותר ל-29 אלף שקל הקבועים בתקנותיה. אבל אין שום מניעה שמשתמשים - שמוצאים שהיה מחדל בהתנהלות הגוף שאסף מהם את נתוניהם ושכח לשמור עליהם - יתבעו את המגיע להם בעצמם.
שאלנו את סייברסרב מדוע נזכרו לשלוח רק עכשיו, כמעט עשרה ימים לאחר חשיפת הפריצה, את המייל למשתמשים. כמו כן שאלנו את החברה אם יש קשר בין המייל לבקשת התביעה הייצוגית שהוגשה. גורם בסייברסרב מסר בתגובה: "ההודעה למשתמשים נשלחה ברגע שהיתה לחברה גישה למאגר הכתובות, בהתאם להנחיית הרשות להגנת הפרטיות. בנוסף קודם לכן הועמד לטובת המשתמשים קו מידע ועדכונים בעמוד הפייסבוק".