• White Facebook Icon
  • White LinkedIn Icon

כל הזכויות שמורות לאורנטק מערכות ניהוליות © 2019

'אורנסק אבטחת מידע והגנה בסייבר' מתמחה בכל קשת שירותי הייעוץ בתחומי אבטחת המידע. שירותי אורנסק מבוססים על שנות ניסיון רבות של גיבוש, הקמה וניהול תשתיות אבטחת מידע בקרב ארגונים מובילים בארץ ובחו"ל, ביניהם ממשלות וארגונים מענפי הרפואה, התקשורת, ההייטק, הבנקאות, הבטחון, התעשייה והמסחר. אורנסק הינה חלק מחברת 'אורנטק מערכות ניהוליות', ועושה שימוש בידע והניסיון שצברה אורנטק בתחום ניהול הפרויקטים ופיתוח תוכנה וכלים ממוחשבים ייחודיים.

הפריצות החמורות במאה ה-21

מאת: לירז ששונקר, יועצת אבטחת מידע

כמעט מדי יום מפורסמים באמצעי התקשורת וברחבי הרשת, פרטים על מאגרי מידע ומערכות מידע ברחבי העולם שנפרצו ומהם דלף מידע ארגוני חסוי או פרטים אישיים רגישים של עובדים ולקוחות חברות ארגונים ואף גופי ממשל. הפריצות למאגרים מתקיימות בכל סוגי המגזרים החל ממערכות הביטחון ומשרדי ממשלה, דרך ארגוניים פיננסים וכלכליים (בנקים, חברות אשראי) וכלה בארגוני רפואה וארגונים עסקיים. 

מתחילת המאה ה- 21 התרחשו אירועים רבים שחשפו מידע על מיליארדי אנשים ברחבי הגלובוס ואשר סיכנו את פרטיותם וביטחונם הכלכלי והאישי ובנוסף הובילו לפגיעה כלכלית ותדמיתית קשה בחברות וארגונים האחראים על המידע.

בעידן הטכנולוגי בו אנו חיים פריצות למאגרי נתונים ומערכות ושימוש זדוני בנתונים מהווים את אחד מאיומי הסייבר המרכזיים.

להלן פירוט אירועי פריצה למערכות ומאגרי מידע המרכזיים שהתרחשו בשנים האחרונות. האירועים אינם  מבוססים בהכרח על מספר הרשומות שנחשפו, אלא על היקף הסיכון או הנזק שנגרם לחברות, למבוטחים, למשתמשים או בעלי חשבונות:

  1. Equifax, יולי 2017, 143 מיליון צרכנים. בפריצה לחברה דירוג האשראי (אחת משלושת הגדולות בארה"ב) דלפו פרטים האישיים אשר כוללים בין היתר:  שמות, תאריכי לידה, כתובות ובמקרים מסוימים גם מספרי רישיון נהיגה. בנוסף דלפו פרטי כרטיסי אשראי ופרטים מזהים נוספים. החברה אוספת מידע על צרכנים מספקי אשראי שונים, ומספקת מידע זה לגופים פיננסיים. על פי הצהרת החברה, התקיפה אירעה באמצעות ניצול חולשה באפליקציית WEB.

  2. ממשלת שבדיה, יולי 2017, מיליוני אזרחים שבדים. מאגר נתונים של מיליוני אזרחים, עובדי מדינה וצבא שבדים ומידע ביטחוני הכולל פרטים אישיים, סודות מדינה וחומרי חקירה משטרתיים נותרו חשוף לאחר שהועלה לענן בלתי מאובטח אשר היה פרוץ החל משנת 2015

  3. Adult Friend Finder, אוקטובר 2016, מעל 400 מיליון חשבונות. הפורצים לאתר ההיכרויות, הבגידות והתכנים למבוגרים השיגו נתונים בעלי אופי אינטימי ומביך שנאספו במשך עשרים שנה.

  4. Anthem, פברואר 2015, מידע אישי על קרוב ל-80 מיליון מבוטחי בריאות בהווה ובעבר.

  5. Home Depot, ספטמבר 2014, נתוני אשראי של 56 מיליון קונים.

  6. JP Morgan Chase, יולי 2014, 76 מיליון בתי אב ו-7 מיליון עסקים קטנים. בנובמבר 2015, הוגשו בארה"ב כתבי אישום בפרשה זו ואחרות נגד גרי שאלון, ג'ושוע סמואל אהרן וזיו אורנשטיין, בחשד ששלשלו לכיסם כמאה מיליון דולר מהפריצה. האקר רביעי שסייע להם לא זוהה. ביוני 2016, כפרו הישראלים גרי שאלון וזיו אורנשטיין באשמה. אהרן נעצר בדצמבר אשתקד.

  7. eBay, מאי 2014, 145 מיליון משתמשים. הפריצה התבצעה לאחר שהאקרים חדרו לרשת החברה בעזרת פרטי המשתמש של שלושה מעובדיה ונהנו מגישה חופשית במשך 229 יום, במהלכם הצליחו להגיע למאגר נתוני המשתמשים.

  8.  Yahoo, בשנים 2013-2014, מיליארד חשבונות. בספטמבר 2016, דיווחה ענקית הדוא"ל שהיתה בעיצומו של מו"מ על מכירתה ל-Verizon כי ב-2014 נפלה קורבן לפריצה הגדולה בהסטוריה, ככל הנראה ע"י "גורם מדינתי". בדצמבר דיווחה על פריצה נוספת, קודמת, ב-2013. הידיעות קיזזו כ-350 מיליון דולר ממחיר המכירה ל-Verizon, ששילמה לבסוף כ-4.5 מיליארד דולר תמורת Yahoo.

  9. Target, דצמבר 2013, פרטי אשראי ו/או פרטי קשר של כ-110 מיליון קונים. באמצעות קבלן תחזוקה, השיגו האקרים גישה למסופי האשראי בחנויות של רשת השיווק, באמצעותה ליקטו את המידע מכרטיסי הקונים. מנכ"ל החברה התפטר במרץ 2014 והנזק הכולל של הפריצה נאמד לאחרונה ב-162 מיליון דולר.

  10. Adobe, אוקטובר 2013, 38 מיליון משתמשים.

  11. OPM,בשנים 2012-2014, 22 מיליון עובדים פדרליים בהווה ובעבר. ההאקרים שפרצו ללשכה הפדרלית לניהול כוח אדם, ככל הנראה סינים, שהו במערכות הלשכה מאז 2012 אך זוהו רק במרץ 2014. גורמים אחרים הצליחו לחדור ללשכה דרך קבלן חיצוני במאי באותה שנה וזוהו רק כשנה לאחר מכן. בכמה מקרים כללו הנתונים שנחשפו מידע על סיווג בטחוני ואף טביעות אצבעות.

  12. Sony PlayStation, אפריל 2011, 77 מיליון שחקנים. בעקבות הפריצה האתר הושבת למשך כחודש ונגרם הפסד הנאמד ב-171 מיליון דולר.

  13. RSA Security, מרץ 2011, כ-40 מיליון רשומות עובדים.

  14. VeriSign, לאורך 2010. החברה לתשתיות רשת לא הודיעה על הפריצה ותוצאותיה אינן ידועות.

  15. Stuxnet, בשנת 2010. רושעה זו נועדה לתקוף את תכנית הגרעין של איראן, אך שימשה בהמשך כמקור השראה לתקיפות של תשתיות קריטיות באשר הן. הרושעה, שפיתוחה יוחס לארה"ב וישראל, השמידה 984 צנטריפוגות להעשרת אורניום באיראן.

  16. Heartland Payment Systems, מרץ 2008, 134 מיליון כרטיסי אשראי נחשפו בעקבות הזרקת SQL להתקנת רוגלה במערכות חברת הסליקה. הפריצה התגלתה רק בינואר 2009, כש-Visa ו-MasterCard הודיעו לחברה על עסקאות חשודות בחשבונות אותם עיבדה החברה.

  17. TJX, דצמבר 2006, 94 מיליון כרטיסי אשראי.