טלפון לאמזון ולאפל, וכל החיים הדיגיטליים שלכם נעלמים

ביום שישי שעבר חווה הונאן סיוט דיגיטלי: האקרים הצליחו להשתלט על חשבונות האמזון, הגוגל, האפל והטוויטר שלו, וניצלו את הגישה כדי למחוק לחלוטין את חשבון הג'ימייל (תכתובות של שמונה שנים אבדו לבלי שוב), ולנצל את שירות איתור המכשירים של אפל כדי למחוק את כל המידע האישי והמקצועי שאוחסן באייפון, באייפד ובמקבוק שלו. "כל התמונות מהשנה הראשונה לחייו של בני עברו מהעולם", הוא סיפר בכתבה שפרסם ב־Wired. המטרה, אגב, היתה בכלל להשתלט על חשבון הטוויטר הפופולרי שלו, ומחיקת המידע נועדה רק כדי למנוע ממנו להשיב מלחמה.

מאט הונאן. ההאקרים יצרו עמו קשר

הפורצים גם זכו לבונוס נאה: חשבון הטוויטר של הונאן עדיין היה מקושר לחשבון של מעסיקו הקודם, האתר הפופולרי גיזמודו, והם יכלו לנצל את הפריצה כדי לשלוח ממנו הודעות מזויפות ופוגעניות.

ההאקרים רצו להשיג גישה לחשבון טוויטר

ההאקרים לא פיצחו את הסיסמאות של הונאן, וגם לא פיתחו תוכנות מתוחכמות שהצליחו לעקוף את מנגנוני האבטחה של השירותים השונים. מחשב פשוט, מכשיר טלפון וקצת הנדסת אנוש היו כל שנדרש כדי להשתלט על חייו הדיגיטליים של הכתב. הונאן הודה שגם לו יש חלק בעניין: "כל החשבונות שלי היו קשורים זה לזה", הוא הסביר.

כשהבין הונאן שהאקרים הצליחו לפרוץ לכל החשבונות המרכזיים שלו, הוא הניח שמדובר בתוכנה שביצעה מיליוני ניסיונות לחדור לחשבון משתמש באמצעות שימוש בסיסמה אחרת בכל פעם. הסיסמה שלו היתה בת שבעה תווים בלבד, אבל אחרי שכתב על המקרה בבלוג שלו יצר איתו קשר אחד ההאקרים, וחשף כי גם סיסמה של 100 תווים לא היתה מונעת את הפריצה.

הסיוט הדיגיטלי שיכול לקרות לכל אחד מאיתנו

לדברי ההאקר, הונאן עלה על הכוונת שלו ושל שותפיו בגלל חשבון הטוויטר שלו, שהיה בעל שם משתמש נחשק בן שלושה תווים בלבד. "באמת שלא היה לי שום דבר נגדך. רק אהבתי את שם המשתמש שלך", הוא כתב לו. חשבון הטוויטר של הונאן הכיל קישור לאתרו האישי, שם מצאו האקרים את כתובת הג'ימייל שלו.

על בסיס ההנחה כי חשבון זה הוא החשבון שמשויך לטוויטר, ניגשו הפורצים לעמוד שחזור הסיסמה של גוגל כדי לאסוף עוד מידע מודיעיני. בעמוד זה מוצגות הדרכים שבהן יכול המשתמש לשחזר את המידע, ובהן שליחת קישור למייל חלופי שהוזן מראש. כתובת מייל זו מוסתרת חלקית, וזה מה שהפורצים ראו: m••••n@me.com.

המידע שקיים עלינו ברשת מפוזר במאגרים שונים, אך נגיש למביני עניין. בשילוב מדיניות האבטחה השונה של כל חברה, האקרים כולים לזכות בגישה מהירה למידע הרגיש שלנו | איור: ערן מנדל

כתובת מייל הגיבוי של הונאן גילתה לפורצים כי יש לו חשבון AppleID המשמש לגישה ולרכישה ב־iTunes, לשירות הענן iCloud ולשאר השירותים המקוונים של אפל. שם המשתמש אמנם הוסתר, אבל ההאקרים ניחשו נכונה שהוא זהה לשם המשתמש של הונאן בג'ימייל. מבחינתם היה מדובר במזל לא רגיל. "אפשר לחדור בקלות לכל מייל שמקושר לאפל", טען הפורץ.

כל מה שהיה דרוש לפורצים הוא כתובת חיוב כרטיס האשראי של הונאן וארבע הספרות האחרונות של הכרטיס. את כתובת החיוב לא התקשה הפורץ להשיג: חיפוש Whois קצר על כתובת האתר שבבעלותו (המציג את השם, הכתובת והטלפון של בעל הדומיין) סיפק את הכתובת. בשביל ארבע ספרות האשראי נאלצו הפורצים להרים טלפון לשירות הלקוחות של החנות המקוונת אמזון, אחרי שניחשו בהצלחה שלהונאן יש חשבון משתמש פעיל גם שם.

עובדים על שירות הלקוחות של אמזון

בשיחה ביקשו הפורצים להוסיף מספר כרטיס אשראי לחשבון של הונאן. כל שנדרשו כדי לבצע את התהליך היה שם בעל החשבון, כתובת המייל שבאמצעותה הוא נכנס לשירות וכתובת החיוב שלו. אחרי הוספת מספר כרטיס אשראי חדש ניתקו הפורצים את השיחה ומיד שבו והתקשרו לאמזון, סיפרו כי שכחו את סיסמתם וביקשו סיוע בשחזורה. כדי לבצע תהליך זה הם היו צריכים לספק שם, כתובת חיוב וארבע ספרות אחרונות של כרטיס אשראי — אותו מספר שהם עצמם הוסיפו דקות ספורות קודם לכן.

הסיוט הדיגיטלי שיכול לקרות לכל אחד מאיתנו

עכשיו היתה לפורצים גישה מלאה לחשבון, ובעזרת המידע שברשותם פנו לשירות הלקוחות של אפל וקיבלו גישה גם לחשבון המשתמש של הונאן שם. הכדור המשיך להתגלגל: הפורצים כבר יכלו למחוק את המידע שנשמר על המכשירים השונים של הונאן, שכן כולם צורפו לשירות Find my iPhone/Mac של אפל המאפשר למשתמש למחוק מרחוק מכשירים שאבדו או לאתר את המיקום שלהם, וגם לשחזר את סיסמת חשבון הג'ימייל שלו ודרכה לגשת לחשבון הטוויטר שלו. הפורצים עצרו כאן, אבל אם היו רוצים הם היו יכולים לקבל גישה לאתר חשבון הבנק של הונאן, לחשבון הפייסבוק שלו, לבצע הונאות מתוחכמות על מכריו ועוד.

החברות מיהרו לשפר את האבטחה

הפריצה הזו חושפת עד כמה החיים המקוונים של כולנו פגיעים, ואיך הידע של האקרים מנוסים יכול להפיל בפח גם את המשתמשים הטכנולוגיים המנוסים ביותר. גם נקיטת כל אמצעי האבטחה המקובלים לא היתה מונעת מהאקרים לחדור לחשבון האפל של הונאן ולמחוק את מכשיריו, או לו היו רוצים בכך — לנצל את הגישה לחשבון האמזון שלו כדי לצאת למסע קניות על חשבונו.

המידע הרב שקיים עלינו ברשת מפוזר בשירותים ובמאגרים שונים אך נגיש למביני עניין. בשילוב עם מדיניות אבטחה לא אחידה בחברות השונות שמולן אנו פועלים, האקרים מתוחכמים יכולים לזכות בגישה מהירה לחשבונות החשובים ביותר שלנו.

מערכת האימות הדו-שלבי של גוגל. שכבת הגנה נוספת

במבט לאחור, אפשר למנות את המהלכים שהונאן היה יכול לבצע כדי למנוע את הפריצה לחשבונותיו: לא לקשר חשבונות חשובים אלה לאלה (כמו השימוש בכתובת מייל של אפל לשחזור חשבון הג'ימייל, או שימוש בכתובת הג'ימייל כשם משתמש באמזון); להימנע מבחירת שם משתמש זהה בחשבונותיו השונים; לבחור רישום חסוי של כתובת האתר שלו; ולהימנע מפרסום כתובת הג'ימייל הראשית שלו באתרו האישי.

אבל האחריות מוטלת גם על החברות השונות, ובמקרה זה במיוחד אמזון ואפל. מדיניות אבטחה לא אחידה, בלתי מספקת ומוטעית אפשרה לפורצים לנצל נקודות תורפה כמעט מובנות מאליהן במערך האבטחה והשירות של החברות השונות. אפל מציבה דרישות נוקשות לבחירת סיסמה מאובטחת, אבל לא מקשה כלל לשחזרה באמצעות מידע שאין קושי רב להשיגו.

בעקבות הפרסום שתי החברות שעמדו במוקד הפריצה — אפל ואמזון — כבר הזדרזו לפעול: אמזון לא מאפשרת יותר הוספת מספר כרטיס אשראי דרך הטלפון, ואפל הורתה לנציגיה שלא לאפשר לעת עתה הליך שחזור סיסמה עם מסירת כתובת וארבע ספרות כרטיס אשראי. אבל מדובר רק בפלסטר קטן, ויש לקוות שבחברות פועלים לגבש מדיניות אבטחה מקיפה הרבה יותר.

המשתמשים, מצדם, צריכים לבחון בצורה מעמיקה יותר את הפעילות המקוונת שלהם. כבר לא מספיק לדאוג רק לסיסמאות מאובטחות וייחודיות, אלא גם לבחון את הקשרים בין החשבונות השונים, אמצעי האבטחה הנוספים שאותם אנו נוקטים, ואפילו שמות המשתמש שנבחרו. מרבית המשתמשים, אפשר לשער, לא יטרחו לעשות זאת ויישארו טרף קל להאקרים.