גלובס - עיתון העסקים של ישראלאתר נגיש

עמוד הבית  טכנולוגיה

פירצת אבטחה חמורה בזאפ: "אין ספק שיש מי שניצל אותה"

פרטיהם האישיים של כמיליון ישראלים היו חשופים עד השבוע בגלל פירצת אבטחה ■ "לא נדרש תחכום טכני כדי לעלות על הפירצה הזאת", אומר רן בר זיק, שחשף אותה ■ זאפ: "הנושא בבדיקה מקיפה. לא זיהינו כל שימוש לרעה בפירצה"

פורסם בתאריך: 01.03.2018, 12:00 מאת: נתי יפת

רן בר זיק, מתכנת במרכז הפיתוח הישראלי של Oath (חברת הדיגיטל של ורייזון), ניצל את הפסקת משחק הכדורשת שבו השתתפה אישתו בשבוע שעבר כדי להיכנס לאתר זאפ ולחפש מקרר. החיפוש הציף בתוך דקות ספורות פירצת אבטחה חמורה, שאפשרה תיאורטית לשלוף מידע אישי על כמיליון הישראלים הרשומים באתר: שמות מלאים, מספרי טלפון, כתובות מייל, כתובות מגורים, חשבונות פייסבוק, תמונות משתמשים וביקורות שהם כתבו. למרבה המזל, מאגר הנתונים של זאפ אינו כולל פרטי כרטיסי אשראי. הפירצה, שנסגרה השבוע בעקבות הגילוי, איפשרה גם למחוק או לשנות פרטי מידע מהמאגר.

"חשוב לי להבהיר שאני לא כזה מתוחכם טכנית, לקח כמה דקות לעלות על זה באופן הכי פשוט שיש", אומר בר זיק, אושיית רשת ותיקה ומנהל אתר "אינטרנט ישראל". אף שחשף בעבר פירצות אבטחה נוספות, בין השאר באתר רמי לוי תקשורת, ברשות האוכלוסין ובזכיינית הטלוויזיה קשת, בר זיק מדגיש כמה פעמים שלכנות אותו חוקר אבטחה תהיה הגזמה. במקרה הנוכחי הוא אף שלח את המידע על הפירצה לחוקר האבטחה עידו פרידלנדר, שביצע בדיקת עומק ואישר את הערכת בר זיק שמדובר בפירצה משמעותית.

"כשחושבים על האקרים חושבים על אנשים שיושבים עם קפוצ'ונים, אבל זה לא המקרה", אומר בר זיק. "לא נדרש תחכום טכני כדי לעלות על הפירצה הזאת, לכן אני בטוח שיש אנשים שניצלו את מאגר המידע הזה. כשאני אומר 'אנשים', אלה יכולות להיות גם חברות שכורות מידע ואוספות מיילים, אבל גם ארגוני טרור. החמאס ששולח סמסים לישראלים בכל מבצע צבאי, 'היזהרו היזהרו, הנה אנחנו באים' - זה קצת מצחיק לפעמים, אבל מלחיץ במקרים אחרים. הוא מקבל את מספרי הטלפון האלה מאיזשהו מקום, ממקומות כאלה. זה כל-כך פשוט, קשה אפילו לקרוא לזה פירצות".

פירצת האבטחה, לדבריו, נבעה מפיתוח רשלני של שרתי החברה. "החולשה באפליקציה ובאתר של זאפ היא בשידור לא מוגן לשרתים. יש נטייה בקרב אלה שכותבים את האפליקציות לחשוב שכל תשדורת בין אפליקציה לשרת היא מוצפנת ומוגנת היטב, אבל זה לא המצב. כשאני משתמש בג'ימייל אני נדרש להכניס שם משתמש וסיסמה כדי לגשת לשרתים של גוגל ולבדוק את המיילים שלי. בזאפ, במקום להכניס שם משתמש וסיסמה ייחודיים לכל משתמש, שם המשתמש והסיסמה בכניסה לשרת הם אחידים לכולם. כל עוד אני משתמש באפליקציה ומושך את המיילים שלי זה בסדר, אבל אם אם אני מאזין לתשדורת, ואני יודע דרך איזו קריאה לגשת לשרת, אני יכול לגשת גם למיילים שלך או של כל אחד אחר.

"בנוסף, בדרך-כלל יש מגבלה של כמות קריאות שאפשר לקרוא לשרת. אם אנסה להשתמש בג'ימייל כמה פעמים ברציפות, אפילו אם אכנס לחשבונות אחרים, הוא ינסה לעצור אותי, יעשה איזו בדיקת זהות נוספת או יחסום אותי לגמרי. במקרה הזה אין שום דבר כזה. אלה חולשות מאוד בסיסיות ומפתיעות כשמדובר באפליקציה בסדר גודל כזה. זה כל-כך עצוב. יש המון חוקרי אבטחה מוכשרים בישראל, שעושים מחקרים ומגיעים לתוצאות יפות, ולעומת זאת יש מתכנתים שבונים כל מיני ממשקים קקמייקה, באופן הכי רשלני שאפשר, וחושפים מידע בצורה מטורפת".

ויש עוד היבט, ציבורי, שכרוך במחדל אבטחת המידע של זאפ. בעוד שבעולם מקובל לתגמל האקרים או אנשי אבטחה המדווחים לחברות על פירצות שהתגלו אצלן, משום שהאינטרס של החברות הוא לגלות את הפירצות מוקדם ככל האפשר, המציאות בישראל שונה. "ברגע שמתכנת כמוני או חוקר אבטחה פונה לחברות ישראליות, הדבר הראשון שהן עושות זה להכחיש, והדבר השני שהן עושות זה לשלוח כתב תביעה או מכתב אזהרה לפני תביעה", אומר בר זיק. לכן למד עם השנים לחשוף את הפירצות בתקשורת.

בהקשר זה ראוי להזכיר את כללי ה-GDPR של האיחוד האירופי (General Data Protection Regulation), שייכנסו לתוקף בסוף חודש מאי השנה. הרגולציה החדשה מחמירה מאוד את נהלי ההגנה על מאגרי מידע שבהם מידע אישי על אזרחים, ומחייבת בין השאר לדווח על כל פירצת אבטחה משמעותית, לשמור תיעוד מפורט של כל תהליכי עיבוד המידע, ולאפשר לאזרחים את "הזכות להישכח" באמצעות מחיקת המידע עליהם. הכללים יחולו גם על חברות לא אירופיות המחזיקות מידע על אזרחי האיחוד, והפרתם עלולה לגרור קנסות בגובה 4% מהכנסותיהן, עד רף של 20 מיליון יורו, ללא צורך באישור בתי המשפט. בישראל ממונה על הנושא הרשות להגנה על הפרטיות במשרד המשפטים, שניסחה תקנות חדשות לחוק הגנת הפרטיות, שייכנסו לתוקף במקביל ל-GDPR, ופועלת להגביר משמעותית את האכיפה בנושא.

מזאפ נמסר בתגובה: "זאפ מקפידה על שמירת מאגרי המידע שלה ופועלת על פי הכללים הקיימים בחוק לרבות כללי אבטחת המידע. אנו מודים לכם על הבדיקה והפניית תשומת הלב. מדובר במערכת ניהול חוות הדעת, והגישה אליה נחסמה מידית עם קבלת הפנייה. הנושא נמצא כעת בבדיקה מקיפה ונעשה את כל הפעולות הנדרשות על מנת שהדבר לא יחזור על עצמו. לאחר בדיקה מקיפה שביצעה קבוצת זאפ, גם לאחר פניית גלובס לפני 4 ימים, לא זיהינו כל שימוש לרעה בפירצה".

עוד כתבות

רונן דר (מימין) ועמרי גלר, מייסדי Run:AI / צילום: Run:AI

עכשיו זה רשמי: אנבידיה קונה את החברה הישראלית הזו בסכום עתק

אנבידיה הודיעה על רכישת חברת הסטארט-אפ ראן איי.איי (Run:AI), בסכום המוערך בכ-720 מיליון דולר, מתוכם 100 מיליון דולר יוקצו לשימור יזמים ועובדים ● החברה פיתחה מערכת הפעלה למעבדים גרפיים, המשפרת את יעילות פעילותם

נתב''ג. השהייה נוספת של הקווים לתל אביב / צילום: טלי בוגדנובסקי

חברות התעופה שמאריכות את ביטולי הטיסות לישראל

רוב חברות התעופה חזרו לפעול בישראל לאחר שהפסיקו את הטיסות בעקבות המתקפה מאיראן, אך עדיין יש כאלה שמהססות ● שתי חברות תעופה האריכו היום את תוקף השהיית הטיסות לארץ

מנכ''ל מקורות עמית לנג ומנכ''ל איגודן דודו מחלב / צילום: מקורות

מקורות ואיגודן יקימו מרכז מחקר וחדשנות לאומי לתחומי המים

המרכז יוקם בחממה הטכנולוגית של איגודן שתוקם באזור ראשון לציון על פני שטח של כ-2 דונם ותכלול מעבדות, חדרי הדרכה וחממת מחקר לחוקרים מהאקדמיה ומהשוק הפרטי

עו''ד דוד ליבאי / צילום: תמר מצפי

הלך לעולמו שר המשפטים לשעבר דוד ליבאי

ליבאי כיהן כשר המשפטים בכנסת ה-13 בממשלת רבין מטעם מפלגת העבודה ● בתפקידו כשר המשפטים דאג, בין השאר, לחקיקת רפורמה בדיני המעצרים והחיפושים ולחקיקתו של חוק הסנגוריה הציבורית ● היה שותף לחקיקת חוק יסוד: כבוד האדם וחירותו וחוק יסוד: חופש העיסוק

פרופ' אוריאל אבולוף / צילום: יוסי זמיר

די לפוליטיקה של פחדים: המומחה שמסביר איך ניתן להתמודד עם השסעים בחברה הישראלית

פרופ' אוריאל אבולוף, מומחה לפוליטיקה של הפחד, משוכנע שהחברה הישראלית מונעת מחשש תמידי לגורלה - מה שתורם לשסע הפנימי בה גם היום ● "ברגע שמתעורר הפחד, אנו מתקשים לחשוב ולהושיט יד לאנשים אחרים מחוץ למעגל" ● בראיון לגלובס הוא מסביר איך ניתן לשנות זאת ומה המפתח להשבת האמון בינינו

אסדת הקידוח איתקה. בעיגול: יצחק תשובה / צילום: אתר החברה, שלומי יוסף

האם העסקה הזו תשנה את מומנטום המניה של יצחק תשובה?

החברה הבת של קבוצת דלק סיכמה על רכישת פעילות נפט וגז בים הצפוני, לפי שווי של קרוב למיליארד דולר, בדרך של מיזוג ● איתקה צופה כי בעקבות הרכישה תחלק דיבידנדים שמנים לבעלי המניות שלה בשנתיים הקרובות ● אז למה מניית החברה נופלת בבורסת לונדון?

רה''מ בנימין נתניהו / צילום: מארק ישראל סלם - הג'רוזלם פוסט

ההצעה החדשה: 20 חטופים תמורת חזרה לצפון

גורם בכיר בממשל ביידן: יש עסקה על השולחן, בקרוב נדע יותר ● בכיר בזרוע המדינית של חמאס ל-AP: נניח את נשקנו אם תקום מדינה פלסטינית בגבולות 67' • צה"ל תקף הלילה מטרות חיזבאללה במרחב מרון א-ראס • דובר צה"ל: סרטון החטוף מהשבי - קריאה דחופה לפעולה • עדכונים שוטפים

ריי דליו / צילום: Reuters, Thomas Mukoya

המשקיעים בקרן הגידור המפורסמת לא מרוצים ודורשים את הכסף

משקיעים בקרן של ריי דליו טוענים שהם מתוסכלים מהתשואות בשנים האחרונות ● רבים מהמשקיעים המוסדיים שהשקיעו סכומי כסף גדולים מושכים את כספם ● "יש לנו אכזבה לאורך תקופה ארוכה", מספרת אחת מהמשקיעות בקרן

צילומים: שלומי יוסף, עמית שאבי (ידיעות אחרונות), עיבוד: גלובס

2,800 שקל לשעה, תיקים מתוקשרים ותיבת פנדורה: החיים החדשים של השופט שבמחלוקת

הדיל שהוביל למינויו לנשיא בית המשפט המחוזי בתל אביב שב לאחרונה לרדוף את השופט בדימוס איתן אורנשטיין ● גלובס צולל לנבכי הקריירה החדשה שאימץ לעצמו כבורר–על, לחמ"ל שהקים כדי להתמודד עם ההקלטות המביכות ולשאלה המרחפת מעל לכל - איך תשפיע הפרשה על עתידו המקצועי?

עלי רזא אסגארי, שהיה גנרל במשמרות המהפכה ועקבותיו נעלמו ב-2007 / צילום: ויקיפדיה

האיראנים טוענים: בכיר במשמרות המהפכה ערק לארה"ב. ומה הקשר הישראלי?

סוכנות הידיעות איראן אינטרנשיונל מדווחת כי עלי רזא אסגארי, בכיר לשעבר במשמרות המהפכה שעקבותיו נעלמו ב-2007, מתגורר בארה"ב תחת זהות בדויה ● אסגארי נחשב לדמות קרובה מאוד לראש הזרוע הצבאית של חיזבאללה, עימאד מורנייה, שחוסל ב-2008 בסוריה

מטבע דני עתיק. האוסף של ברון מוערך בכ-72 מיליון דולר / צילום: Shutterstock, ABARONS

בעשרות מיליוני דולרים: אוסף המטבעות העתיק שעומד למכירה

מתוך חשש לעתיד התרבות הדנית, יצרן החמאה לארס אמיל ברון, שאסף מטבעות, מדליות ושטרות חוב, אסר על מכירתם במשך 100 שנים ● כעת האוסף מותר למכירה, והוא שווה סכום עתק

מטוס B-52 שנושא עליו את טילי המיקרו־גל / צילום: Reuters, Michael Clevenger / Courier Journal / USA TODAY NETWORK

חודר בונקרים ומשבית כורים גרעיניים, ללא פגיעות בנפש: הנשק האמריקאי שיכול לשנות את מאזן הכוחות מול איראן

הכתבה הזו הייתה הנצפית ביותר השבוע בגלובס, ועל כן, אנחנו מפרסמים אותה מחדש כשירות לקוראינו ● לפי חשיפת "דיילי מייל" הבריטי, ארה"ב פרסה בחשאי מערכת טילי מיקרו-גל, שהפעימות האלטקרו-מגנטיות שהם פולטים יכולים להשבית כל מכשיר אלקטרוני – כולל מתקני גרעין תת קרקעיים ● איך היא עובדת?

מדפי סופר. פתיחת שוק המזון ליבוא התקדמה חלקית / צילום: טלי בוגדנובסקי

פתיחת שוק המזון ליבוא: ההחלטה קודמה, אך הצלחתה חלקית בלבד

מדור "המוניטור", של גלובס והמרכז להעצמת האזרח, עוקב אחר ביצוע החלטות ממשלה משמעותיות, תוך בחינה מפורטת של יישום או היעדר יישום של סעיפי ההחלטה ● הפעם, בשיתוף המכון הישראלי לתכנון כלכלי: הגברת התחרות והסרת חסמי יבוא מזון

מייסדי Deci / צילום: יח''צ

דיווח: אנבידיה בדרך לרכוש חברה ישראלית נוספת

חברת הסטארט-אפ דסי (Deci AI), אחת משלוש החברות הישראליות המפתחות מודלים של שפה, הוקמה לפני ארבע שנים בלבד וגייסה עד כה 55 מיליון דולר ● אמש רכשה אנבידיה את ראן איי.איי (Run:AI) הישראלית, בכ-680 מיליון דולר

מה צפוי בדוחות מטא? / צילום: Shutterstock

מניית מטא התרסקה ב-15% למרות נתונים חזקים, ואלו הסיבות

מטא, שמנייתה עלתה בכ-45% מתחילת השנה, הכתה את התחזיות בתוצאותיה הכספיות, הן בשורת הרווח והן בשורת ההכנסות ● האנליסטים היו אופטימיים לגבי הדוחות הערב, אך התחזית שפרסמה החברה להמשך השנה אכזבה את המשקיעים

בורסת טוקיו, יפן / צילום: Shutterstock

עליות בבורסות אסיה; גוגל טסה במסחר המאוחר

ניקיי מטפס ב-1.1%, מדד שנחאי מוסיף לערכו 0.8%, מדד שנזן מתחזק ב-1.5%, הנג סנג קופץ ב-2.1% ומדד קוספי מתקדם ב-1.2% ● גם החוזים העתידיים על מדדי ארה"ב נסחרים בעליות ● בהמשך היום יתפרסם בארה"ב מדד מחירי ההוצאה הפרטית (PCE), מדד האינפלציה המועדף על ידי הפד

מארק צוקרברג / אילוסטרציה: גלובס

הסיבות לצניחה של מניית מטא למרות תוצאות חזקות, והחשש מאפקט דומינו שיגיע עד לגוגל

מטא אכזבה בגדול את המשקיעים עם תחזית פושרת לרבעון הבא, למרות שהכתה את התחזיות בשורת הרווח וההכנסות ● אוראל לוי, מור קרנות נאמנות: "השוק חושש שטרנד ה-AI לא מצליח לייצר הכנסות" ● וגם: למה אחרי פרסום הדוח של מטא צנחה מניית אלפאבית במסחר המאוחר ומי עוד צפוי להיפגע מאפקט הדומינו?

גבול לבנון / צילום: Shutterstock

חיזבאללה ירה לעבר חיילים במרחב הר דב, צה"ל השיב אש

החות'ים טוענים: "תקפנו ספינה ישראלית כאות סולידריות עם הפלסטינים" ● בשל ההפגנות הפרו-פלסטיניות: אוניברסיטת דרום קליפורניה הודיעה על ביטול טקס הפתיחה ● דיווח בבלומברג: פסגה מדינית בנושא עתידה של רצועת עזה יתקיים ביום שני הקרוב בסעודיה ● בכיר בזרוע המדינית של חמאס ל-AP: נניח את נשקנו אם תקום מדינה פלסטינית בגבולות 67' ● כל העדכונים

יונדאי i20 מודל 2024 / צילום: יח''צ

החל מ-120 אלף שקל: מכונית קטנה עם תמורה טובה

ה–i20 החדשה היא מכונית זריזה, מרווחת יחסית לקטגוריה וחסכונית. יש נוחות ממנה, אבל בעידן שבו אפילו משפחתיות "עממיות" כבר נושקות ל-170 אלף שקל, ה-i20 היא בחירה הגיונית לבעלי תקציב מוגבל

חשיפת הבעלים האמיתיים של חברה בע''מ בזמן גירושים / צילום: Shutterstock

העביר מניות לאחיו ללא תמורה, הגרושה תבעה מחצית. מה קבע ביהמ"ש?

האם מניות החברה שבבעלותו, שהעביר הבעל לאחיו במהלך הנישואים, נעשתה בתום-לב - או שמא מדובר בהעברה פיקטיבית לצורך הברחת החברה מאיזון המשאבים שנערך בין הבעל לאישה בעת הגירושים? בשאלה זאת דן בית המשפט לענייני משפחה בקריות במשך 12 שנה ● מה נפסק בסופו של דבר?