פרסום פרטיהם האישיים של מיליון משתמשי אתר ההיכרויות "אטרף", לצד פרטיהם של מטופלים ב"מכון מור" וממאגרי מידע נוספים מעורר הבוקר (רביעי) דאגה רבה בקרב הישראלים. מדובר כאמור בקבצים הכוללים מידע אישי ורגיש מאוד - מתוצאות של בדיקות שונות, עד איזכור של היותם נשאי HIV וחשיפתם של אנשים הנמצאים עדיין בארון.

"ההאקרים טוענים כי הם מחזיקים ברשומות של כמיליון משתמשי 'אטרף', אך גם אם כמות הרשומות בפועל קטנה יותר - זוהי אחת הפריצות המשמעותיות ביותר עד כה בהן נחשף מידע אישי", הסביר ד"ר אריאל שיפטן, מייסד ומנהל הטכנולוגיות הראשי בחברת Piiano, "מדובר באירוע פרטיות קשה ומורכב, על אחת כמה וכמה כאשר מדובר על אנשי הקהילה הגאה, שחלקם אף לא יצאו מהארון".

הוא הוסיף: "לצערנו הרב, אנו רק בתחילת הדרך בכל הקשור להגנה אפקטיבית על פרטי משתמשים ברשת שנמצאים כיום כמעט בכל אתר קניות, גבייה, היכרויות ועוד". לדבריו, הדרך הנכונה להגן על פרטי מידע אישיים, היא ע"י פיצול המידע אשר מאוחסן במסד נתונים (database) למידע אישי אשר מכיל מזהים אישיים כגון: שם, כתובת וטלפון ולמידע נוסף, שגם אם הינו רגיש ביותר, כמו במקרה של אטרף, ללא החיבור אל המזהים האישיים, אינו מהווה כל סיכון עבור בעלי האתר ומשתמשיו.

"את הפרטים האישיים צריך לאחסן במסד נתונים ייעודי, אשר מכיל מספר שכבות של הגנה, כגון: גישה ע"י הרשאות מתאימות, ניתור ההגישה אל הנתונים וזיהוי אנומליות בצורה אטוטמטית", הדגיש.

אתר ''אטרף'' (צילום: צילום מסך)
אתר ''אטרף'' (צילום: צילום מסך)

עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט ציין כי "ההדלפה המלאה מאתר אטרף צריכה להדליק נורה אדומה ברמה הלאומית, וברמת החברות שמאחסנות מידע אישי באינטרנט. פרטים אישיים של אזרחי ישראל זולגים פעם אחר פעם בעקבות תקיפות סייבר שיכולות להימנע בקלות". הוא הוסיף כי "יש להניח שהמידע ישמש להתקפות דיוג מאוד מדויקות של עוד קבוצות האקרים בעולם".

אלעד כץ מנהל תחום המידע ואיומי סייבר בחברת Labyrinth הסביר כי "במציאות של ימינו, כל חברה חייבת להגן על המידע הרגיש שברשותה בכלים המקצועיים ביותר. המשוואה פשוטה: מידע רגיש מסכן חיים. המתקפות בעת האחרונה מוכיחות כי ההאקרים 'עלו שלב', הם מודעים לסוג ‏האתרים הרגישים שמהם הם מבקשים למשוך את המידע ואת סוג המידע שהם גונבים, כמו כן ‏היכולת להגיע לתשתיות שונות בארגון החדור ולמשוך סוגים שונים של מידע שאותו לבסוף הם ‏מפרסמים".

"אתרים, חברות ושירותים אשר שומרים פרטים אודות המשתמשים שלהם חייבים לייצר מספר מנגנוני ‏הגנה על הנתונים האישיים שלנו ויפה שעה אחת קודם – בין היתר להגן על כלל הנתונים בהצפנה ושמירת ‏המפתח במקום המוגן ביותר אבטחתית בארגון, בחירת ‏host‏ (אחסון אתרים) אמין ומוכר, לעקוב אחר ‏פריצות או חולשות ואמצעי הגנה נוספים שניתן לנקוט למניעת חדירות אלו ‏לארגון", הדגיש.

האקר, אילוסטרציה (צילום: אינגאימג')
האקר, אילוסטרציה (צילום: אינגאימג')

רונן מואס, מנכ"ל חברת אבטחת המידע ESET ישראל ציין כי "בסוף השנה אנחנו תמיד רואים עליה ניכרת בכמות המתקפות, זה נכון בעולם וכך גם ממש כאן אצלנו בישראל. היום חברה שנופלת קורבן למתקפה, היא לחלוטין לא הקורבן הראשי". הוא הדגיש: "אנחנו מתחילים לראות אלמנטים של פעילות טרור מול אנשים פרטיים. המתקפות הן כבר לא נגד חברה מסוימת שלא היתה אחראית מספיק להגן על המידע שלה, אלא גם ובעיקר על המשתמשים שלה שאת המידע הפרטי שלהם התוקפים הצליחו להשיג".

"המשתמשים יכולים להיות אנשים פרטיים לחלוטין ואפילו אוכלוסיות שמתאפיינות ברגישות מסוימת כמו קהילת הלהט"ב שהאתר בו הם משתמשים כדי להכיר, נפרץ גם הוא. בתקשורת יש שטענו כי מדובר בסכנה ממשית לפגיעה בנפש", הסביר, "האם בתקופה בה מידע של אנשים פרטיים נחשף בתדירות גבוהה במסגרת מתקפות סייבר, המדיניות של מערך הסייבר להתריע לארגונים על פגיעות וסכנה היא מספיקה? או שאין ברירה וצריך להתחיל לשלב גם פעולות של אכיפה ווידוא שאכן הנושאים מטופלים? מי בעצם המבוגר האחראי להגן על הציבור?".

הוא הוסיף: "האם ההגנה על המידע שלנו צריכה להיות בידי החברות עצמן או בידי המדינה? כך או כך, היום בשוק פתרונות האבטחה זמינים וניתנים להטמעה בקלות שמאפשרת הגנה מקסימלית. בשורה התחתונה, כשאנחנו מדברים על מידע אישי וריגש מאוד כמו משתמשים באפליקציית היכרויות שחיוביים ל-HIV, חייב להיעשות הצעד הבא, צריך לקחת על כך אחריות ממשית ומישהו חייב להיות המבוגר האחראי".