שתי מתקפת סייבר ענקיות בפחות מחודש הביאו את אוסטרליה להסלים את המאבק בסייברפשע המאורגן. בין הצעדים: הקמת כוח סייברשיטור פדרלי, אימות דו-שלבי (שאינו באמת דו-שלבי) ונסיון לייבש את תשלומי הכופרה
הקם לסייברך
אם אתם מתכננים סייברמתקפה על אוסטרליה, עצרו רגע: שרת הסייבר והפנים האוסטרלית קלייר או'ניל הודיעה על הקמת צוות משימה בן 100 שוטרים למאבק בסייברפשיעה המאורגנת, בשותפות בין המשטרה הפדרלית האוסטרלית (AFP) ומינהל האותות האוסטרלי (סוכנות הריגול הסיגינטי). במקביל, הממשלה בוחנת חקיקה לאיסור תשלום כופר לתוקפי סייבר ורפורמה בחוקי ההגנה על פרטיות דיגיטלית, כולל החמרת ענישה על שמירת מידע על אזרחים מעבר לנחוץ והתרשלות בהגנה עליו.
הצעדים מגיעים זמן קצר אחרי שתי פריצות ענק שהתרחשו במדינה. בספטמבר נחשף כי האקרים תקפו את ספקית הטלקום השנייה בגודלה באוסטרליה, אופטוס שבבעלות סינגטל הסינגפורית, וגנבו מידע על כ-10 מיליון מלקוחותיה. מומחים הכתירו את הפריצה לאופטוס כדליפת המידע הגדולה בתולדות אוסטרליה. ראש ממשלת אוסטרליה אנת'וני אלבניז אמר אז בפרלמנט כי "ברור שצריך חוקים לאומיים טובים יותר, אחרי עשור של חוסר מעש, לניהול כמויות המידע העצומות שחברות אוספות על אוסטרלים – והשלכות ברורות כאשר הן אינן מנהלות אותו כראוי".
פחות מחודש לאחר מכן, באמצע אוקטובר, נחשפה פריצת ענק למדיבנק, אחת מהגדולות שבספקיות שירותי הרפואה במדינה. ההאקרים תקפו את החברה באמצעות כופרה ופרסמו דגימה של 100 רשומות גנובות, ובהן מידע אישי ורפואי. בסך הכל הם ניגשו למידע על כ-9.7 מיליון לקוחות ולקוחות-לשעבר של מדיבנק.
I have a message for all cybercriminals: Australia is fighting back.#Insiders pic.twitter.com/jEyk6rzgGj
— Clare O'Neil MP (@ClareONeilMP) November 13, 2022
אוסטרליה הרשמית מייחסת את תקיפת מדיבנק ל"כנופיית פשע מאורגן מאוד" ש"ממוקמת ברוסיה", כך לדברי התובע הכללי מארק דרייפוס. מפכ"ל המשטרה הפדרלית, ריס קירשאו, אמר שהמשטרה "תקיים שיחות עם רשויות האכיפה הרוסיות על האנשים שאנו מאמינים שמעורבים בכך". צוות המשימה הפדרלי החדש, התחייבה השרה או'ניל, "ישקיע יום אחרי יום בציד החלאות שאחראים לפשעים המרושעים הללו".
השכם לסייברו
ההאקרים של מדיבנק הודיעו שגנבו 200 גיגה של נתונים והצליחו לכווצם ל-5 גיגה. הם החלו לפרסם את המידע שגנבו ולהפיצו בדארקווב אחרי שהחברה סירבה לשלם כופר בשווי 9.7 מיליון דולר אמריקאי – דולר אחד על כל לקוח שפרטיו נחשפו. או'ניל שיבחה את ההחלטה של מדיבנק לא לשלם לפושעים.
ההאקרים פרסמו מספר דגימות מידע באתר דארקווב, שנעלם ביום רביעי שעבר. היום, שבוע ויום מאוחר יותר, חזר האתר לאוויר עם דאמפ של מספר קבצים מכווצים בגודל מצרפי של יותר מ-5 גיגה. הדאמפ בוצע בפוסט שבו כתבו ההאקרים: "יום סייבראבטחה שמח!!! הוספנו פולדר מלא. התיק נסגר". ההאקרים רומזים שמדובר במאגר הנתונים הגנוב במלואו, ובמדיבנק החלו לבדוק את הקבצים אבל כבר מודים ש"נראה שזה המידע שאנחנו מאמינים שהעבריין גנב".
ההאקרים של אופטוס דרשו תשלום כופר צנוע יותר, של מיליון דולר אמריקאי (כ-1.54 מ' דולר אוסטרלי), וביקשו לקבל את הכסף במונרו, קריפטומטבע שקשה לעקוב אחרי המשתמשים בו. כמנוף לחץ הם פרסמו דגימת מידע עם רשיונות נהיגה, דרכונים ומידע על ביטוח הבריאות הממלכתי של עשרת אלפים לקוחות אופטוס, ואיימו לפרסם עשרת אלפים נוספים בכל יום עד לקבלת הכופר. אבל בהמשך חזרו בהם מדרישת הכופר, אמרו שלא ימכרו את המידע והצהירו שמחקו אותו.
אולם הוויתור על הכופר לא פטר את אופטוס מהעול הכלכלי. מבין 10 מיליון לקוחות החברה שההאקרים השיגו את פרטיהם, לכמעט 3 מיליון היו שם מסמכים מזהים חיוניים. כשהאופוזיציה ביקשה מרה"מ שיזרז את תהליך החלפת התעודות ויפטור את האזרחים הנפגעים מדמי החידוש, אלביז השיב: "אנחנו סבורים שאופטוס צריכה לשלם, לא משלמי המיסים". שרת החוץ פני וונג כתבה מכתב בנושא למנכ"לית אופטוס, קלי באייר רוזמרין, וזו נענתה לבקשה. מחיר החלפת דרכון הוא 308$ אוסטרלי, והסכום הכולל צפוי לעמוד על כמה מיליוני דולרים. מספר מדינות באוסטרליה דרשו גם הן שאופטוס תממן החלפת מסמכי זיהוי שדלפו.
Foreign min Penny Wong asks Optus CEO to “cover the passport application fees of any customer affected by this breach”
— Josh Butler (@JoshButler) September 28, 2022
Warns data breach means customers “subject to exploitation by criminals” pic.twitter.com/KtZdFCJgSR
גם בכירי מדיבנק עשויים לשלם מחיר. ARPA, המאסדר של שירותי הפיננסים האוסטרליים, הודיע שיגביר את הפיקוח על החברה, ובמקביל ממליץ לה לנכות משכרם של בכירי החברה בגלל תקלות הסייבראבטחה החמורות שאיפשרו את הפריצה וגניבת המידע.
וזה לפצחנו בא
ראשת ממשלת מדינת קווינסלנד שבאוסטרליה, אנסטשה פלשיי, הגיבה על דליפת המסמכים המזהים בהודעה על הקשחת אמצעי ההזדהות של אזרחים מול בנקים, חברות תקשורת וספקי שירותים ציבוריים. בכרזה שפרסמה בטוויטר נכתב כי "בעקבות דליפת המידע של אופטוס, רשיונות הנהיגה של קווינסלנד יחזיקו מעתה מערכת זיהוי דו-שלבית (two factor verification)" – מספר רשיון הנהיגה הוא שם המשתמש, והסיסמה היא פריט המידע החדש שנוסף: מספר הכרטיס עצמו.
שיודפס על אותו רשיון נהיגה.
באותו צד שעליו מודפס מספר הרשיון.
וגם בצד השני!
זאת אומרת שזו לא מערכת אימות דו-שלבית, אלא חד-שלבית. ואפילו לא מוצלחת במיוחד: ארגונים שדורשים הזדהות נוטים לפעמים לשמור אצלם את הפרטים, כך שאלו נגישים לעובדי הארגון ולהאקרים שיפרצו אליו. בנוסף, אם יש לכם ביד רשיון נהיגה של מישהו, או אפילו צילום מספיק חד שלו – אתם יכולים לגנוב את זהותו. ואם מישהו השיג את מספר הרשיון ומספר הכרטיס שלכם, תצטרכו להנפיק כרטיס חדש כדי להחליף את המספר.
אנדרו מאהון, סגן המנהל הכללי של מחלקת התחבורה של קווינסלנד, הסביר שאמנם המזהים נמצאים על אותו כרטיס, אבל מדובר בשני מספרים שונים! וש"אם אי פעם תהיה דליפת מידע בעתיד, הרבה יותר קל לנו להחליף רשיונות של אנשים על ידי החלפת הכרטיס כשאנחנו לא נצטרך להחליף את מספר הרשיון עצמו".
אתה לא עוזר, אנדרו.
לא שאצלנו המצב יותר טוב. מערכת ההזדהות הישראלית סובלת מאותה בעיה בדיוק: מספר תעודת הזהות שלנו הוא שם המשתמש, והסיסמה היא מועד ההנפקה. זה מודפס גם הוא על גבי הת"ז, באותו צד שבו מודפס המסת"ז. אם מישהו השיג את המסת"ז ומועד ההנפקה – הדרך היחידה להחליף את הסיסמה היא ללכת להנפיק ת"ז חדשה – ולנו אפילו אין את אופטוס שתממן לנו את זה.
מצד שני, גם אין לנו את ר"מ אוסטרליה לשעבר מלקולם טרנבול, שהציג ב-2017 חקיקה שתחייב חברות אינטרנט לסייע לרשויות האכיפה לקרוא הודעות מוצפנות. כשכתבי טכנולוגיה הסבירו לו שבלתי אפשרי מתמטית לפצח הצפנה מקצה-לקצה, טרנבול השיב: "באוסטרליה חלים חוקי אוסטרליה, אני יכול להבטיח לכם. חוקי המתמטיקה ראויים לשבח, אבל החוק היחיד שקובע באוסטרליה הוא החוק האוסטרלי".
עידו קינן הוא מגיש-שותף של הפודקאסט הפופולרי סייברסייבר ומנהל התוכן של פודקאסטיקו. הכתבה התפרסמה לראשונה ב"גיקטיים" 🖼️ תמונת שער: רשיון נהיגה של קווינסלנד 🖼️ Queensland Transport and Main Roads
