חברה ישראלית נוספת מסתבכת בשערוריית פרצת האבטחה במחשבי לנובו
יצרנית המחשבים הודתה כי לא היתה מודעת לפרצת האבטחה בתוכנת סופרפיש הישראלית עד חמישי האחרון. בסופרפיש מפנים אצבע מאשימה לקומודיה, חברה ישראלית אחרת: "לנובו נזקקה לתוכנת חיפוש וקומודיה סיפקה לה זאת". הסוכנות להגנת המולדת ממליצה להסיר באופן מיידי את התוכנות
מבוכה לענקית המחשוב הסינית לנובו, יצרנית המחשבים הגדולה בעולם, בעקבות פרצת אבטחה חמורה שהתגלתה במחשביה הניידים במהלך סוף השבוע. מקור הפרצה בתוכנות של החברות הישראליות סופרפיש וקומודיה שהותקנו במחשבים ניידים מתוצרת לנובו בטרם נשלחו לחנויות. מספר מומחי אבטחת מידע חשפו כיצד הפרצה יכולה לאפשר להאקרים לזייף תעודות אבטחה לאתרים וכן לרגל אחרי המשתמשים כאשר הם גולשים באינטרנט.
- דיווח: מוטורולה סלושנס שוקלת אפשרות להעמיד עצמה למכירה
- לנובו ממריאה: ההכנסות צמחו ב-31% ברבעון
- מכירות הטאבלטים: אמזון, אסוס, אפל וסמסונג מתרסקות
סופרפיש חתמה עם לנובו על הסכם שיתוף פעולה במסגרתו תטעין ענקית המחשוב הסינית את התוכנה שלה מראש על מספר מחשבים ניידים, ביניהם כל מחשבי סדרת יוגה, פלקס, Miix וסדרות נוספות שנמכרו בין ספטמבר לדצמבר האחרונים. סופרפיש פיתחה את תוכנת Visual Discovery, המשתילה על גבי הדפדפן פרסומות למוצרים הקשורים במוצרים ששהמשתמ חיפש עבורם בגוגל או באתרי מסחר אלקטרוני דוגמת אמזון. חיפוש של ספר באתר אמזון, למשל, יעלה את דף הבית של הספר באמזון, ועל גביו תשתיל סופרפיש פרסומות לאותו הספר, רק במחירים זולים יותר הזמינים באתרים אחרים ומתחרים.
במקור, עם גילוי הפרצה, לנובו התקשתה להודות כי מדובר בפרצת אבטחה וניסתה לטעון שסופרפיש מספקת ללקוחותיה ערך נוסף. בין השאר, החברה מאפשרת ללקוח לקבל הצעות למוצרים דומים וזולים יותר וכן לאתר מוצרים שאינם מוכרים להם. תנאי השותפות בין סופרפיש ללנובו לא פורסמו, אך ככל הנראה, השתיים חלקו רווחים מקניות שביצעו המשתמשים בחנויות שסופרפיש הפנתה אליהם.
עמדתה הראשונית של יצרנית המחשבים עוררה עליה את זעמם של מומחי אבטחה וכלי תקשורת מכל העולם במהלך סוף השבוע. שיתוף הפעולה עם סופרפיש פגע קשות במוניטין שלה והפך את לנובו למושא לעג בתחום האבטחה. החברה הודתה כי טעתה בהתקנה של התוכנה הישראלית ואף טענה כי לא ידעה על פרצת האבטחה עד יום חמישי האחרון, למרות שהורתה להפסיק ולייצר מחשבים עם תוכנת סופרפיש כבר בינואר. ד"ר פיטר הורטנסיוס, סמנכ"ל הטכנלוגיה של לנובו, הודה כי "לנובו פישלה".
גם הממשל האמריקאי מתערב
הפרשה הסתבכה במהירות ביום שישי האחרון, כאשר המחלקה להגנת המולדת האמריקאית הצטרפה לקריאה ללקוחות לנובו להסיר את התוכנות באופן מיידי בגלל החשש מהתקפות סייבר. כאן גם נחשף שמה של חברה ישראלית אחרת המעורבת בפרשה, קומודיה. הוראות ההסרה שפרסם הממשל מוכיחות כי התוכנות לא ניתנות להסרה בקלות. "חשוב גם לשנות את הגדרות אישורי האבטחה של אתרים אליהם אתם גולשים," נכתב בהודעת הממשל . "הסרה פשוטה של התוכנה אינה מסירה את האישור האוטומטי שמנפיקה התוכנה לאתרים מאובטחים".
קומודיה פועלת בתחום שונה אך חופף לזה של סופרפיש. סופרפיש עצמה לא פיתחה את טכנולוגיית הזרקת הפרסומות המשמשת את לנובו אלא בפועל מספקת שירותי חיפוש של תמונות מוצרים. מומחה אבטחת המידע רוברט גראהם והמחלקה להגנת המולדת חשפו כי החברה שעומדת מאחורי מנגנון הזרקת הפרסומות ופרצת האבטחה היא לא אחרת מחברת קומודיה.
על מנת להזריק פרסומת לאתר מאובטח (HTTPS), כמו זה של בנק או חברת אשראי, סופרפיש צריכה להתמודד עם נושא הרשאות האבטחה. בפועל, היא צריכה לאשרר בעצמה את תעודת האבטחה (SSL) של כל אתר, ולהזדהות בפני הדפדפן כחברת אבטחת מידע המנטרת, מנתחת ומאשררת תעודות SSL.
אבל על ידי שימוש בסיסמה פשוטה ובקוד הגישה של חברת קומודיה, ניתן לפרוץ את ההגדרות של התקשורת המאובטחת בין המשתמש לאתר כלשהו ולהאזין לה וכן ליצור אתר מזויף שיוכל להשלות את הטכנולוגיה של סופרפיש. גראהם הדגים כיצד הוא יכול לפרוץ למחשבי לנובו באמצעות פרצת האבטחה. הוא התחבר לרשת אלחוטית בבית קפה, ובאמצעות הסיסמה של קומודיה ופרצת האבטחה יירט את כל תעבורת הגלישה של כל המחשבים הנגועים המחוברים לרשת. חוקר אבטחה נוסף, מארק רוג'רס מחברת קלאודפייר, מסר: "בעזרת הפירצה, ההאקרים יכולים לעשות הכל- החל מאיסוף מידע לצרכים שיווקיים, ועד בניית פרופיל על משתמשים וריגול על פעולות בנקאיות. זוהי פרצה מסוכנת מאוד".
החברות הישראליות בלב הפרשה
סופרפיש הוקמה על ידי עדי פנחס ומיכאל צ'רטוק, וגייסה 20 מיליון דולר ממשקיעים דוגמת וינטאג', DFJ וקרן DFJ-תמיר פישמן. היא מחזיקה משרדים בפתח תקוה ובפאלו אלטו. לפי ההערכות, החברה הישראלית מכניסה כ- 30 מיליון דולר בשנה ממכירת מוצרים שפורסמו באמצעותה.
קומודיה לעומת זאת היא חברה שנוסדה ומנוהלת על ידי ברק ויקסלבאום וממוקמת במושב פרדסיה. ויקסלבאום, בוגר יחידה טכנולוגית בחיל המודיעין, הקים ב-2000 את קומודיה. על פי הפרופיל של ויקסלבאום ברשת לינקדאין מסייעת בין השאר "להשתיל פרסומות בדפי אינטרנט מאובטחים ולא מאובטחים ללא שימוש בתוסף תוכנה או בסרגל כלים", וכן "לפצח תקשורת מאובטחות". עוד על פי רשת הלינקדאין, החברה מעסיקה מספר עובדים בפיליפינים ובטקסס.
לאחר הפרסום של גראהם שזכה לתהודה עולמית בליל יום חמישי, העלה האתר של קומודיה הישראלית הודעה כי הוא נתון למתקפת האקרים שהשביתה את מרבית פעילותו. אבל את הטכנולוגיה הפולשנית של קומודיה אפשר למצוא לא רק על מחשביה של לנובו. על פי ארגון התרעות הסייבר CERT, הטכנולוגיה של קומודיה נמצאת בשימוש גם בתוכנות צנזור תכנים כגון Qustodio ו- Keep My Family Secure, וכן תוכנות אבטחת מידע כגון Lavasoft, WebSecure ו- Atom Security. ויקסלבאום עצמו מנהל חברה המפתחת תוכנות לבקרת תכנים לילדים בשם Parental Control Solutions המצויה בבעלות מלאה של קומודיה.
בעקבות הפרשה, סופרפיש מפנה את האצבע המאשימה לקומודיה. "סופרפיש מספקת כלי חיפוש וקוד שניתן לשלב בתוכנות אחרות. לנובו הצטרכה תוכנת חיפוש וקומודיה סיפקה לה זאת", אמר ל"כלכליסט" עדי פנחס, מנכ"ל סופרפיש ואחד ממייסדיה. "כבר היה בלוגר ברשת שגילה כי ישנו סיכון פוטנציאלי בתוכנה של קומודיה. ממה שהוא כתב, לא קל לנצל את הפירצה הזו, אבל היא קיימת". לטענת פנחס, סופרפיש בחנה את הטכנולוגיה, אך פרצת האבטחה לא זוהתה אז.
בתגובה לשאלת "כלכליסט" כיצד ניתן להסיר את הטכנולוגיה של סופרפיש וקומודיה, פנחס ענה: "מיקרוסופט ולנובו החלו בתהליך אוטומטי של הסרה בליל יום חמישי ולנובו הודיעה שאין צורך בפעולה אקטיבית של המשתמשים. עם זאת, לנובו פרסמה הוראות כיצד ניתן להסיר את התוכנות למשתמשים שרוצים לעשות זאת בעצמם. אנחנו עובדים עם לנובו בכדי לחסום כל סוג של איום פוטנציאלי".
ויקסלבאום לא הגיב לפניית "כלכליסט".