צילום: Freepik
הפריצה לשירביט: ההאקרים פרסמו מידע אישי - והתכתבויות עם החברה
בשירביט הודיעו שלא ייענו לדרישות של קבוצת ההאקרים מאחורי מתקפת הסייבר: "המניע - פגיעה אסטרטגית. לא ניכנע לטרור". הפורצים עמדו בהבטחתם ופרסמו בשעה 09:00 מסמכים נוספים, בהם רישיונות נהיגה ותעודות זהות של ישראלים
לאורך כל שעות הבוקר (שישי) המשיכו ההאקרים שפרצו למחשבי חברת הביטוח שירביט להדליף מידע ופרטים של לקוחות החברה ועובדיה, ואף פרסמו את המשא ומתן עם נציגי החברה שהתנהל בהתכתבות באפליקציית "טלגרם". זאת לאחר שב-9:00 הגיע המועד האחרון שהציבו לתשלום דמי כופר. ההאקרים גם החריפו את פעולתם ועברו לפרסם מידע יותר ויותר אישי.
קראו עוד בכלכליסט
המסמכים שהודלפו הבוקר מוצגים במלואם ללא כל ניסיון לטשטש פרטים אישיים. בין השאר התפרסמו קורות חיים של עובדים, פרטי תאונות עבודה של מבוטחים, מידע מחקירות משטרה, פרטי חשבונות בנק על גבי צ'קים, תלושי שכר מלאים, רישיונות נהיגה, סיכום אישפוז של מבוטחת בבית חולים, תצלומים של עובדים באירועי החברה ועוד. כמו כן הם פרסמו טבלאות של סוכני נסיעות שמכילות מידע מפורט על תאריכי נסיעות לחו"ל של הלקוחות, בצירוף פרטיהם המלאים.
קבוצת ההאקרים Black Shadow פרסמה הודעה שבה נכתב: "עשינו את מה שאמרנו. חברת שירביט לא רצתה לשלם לנו. שירביט הראתה לכל הלקוחות שלה שהמסמכים שלהם לא חשובים לה. אנחנו עומדים במילתנו".
אחת הלקוחות שפרטיה נחשפו היא השופטת בדימוס דרורה פלפל, לשעבר סגנית נשיא בית המשפט המחוזי בתל אביב. בשיחה עם ynet היא אמרה: "אני מוטרדת ממבוטחים, אנשי צבא שהיו שם או מבוטחים בתפקידים בכירים אחרים שעבורם זה יכול להיות יותר דרמטי".
עם זאת היא ציינה: "אני באופן אישי אני לא נושאת בשום תפקיד מערכתי אז מה ידלוף? מספר הרכב שלי? תעודת הזהות שלי? זה פרטים שמופיעים בכל מקרה ברשת. אני בודקת את חשבונות הבנק שלי ולכן לא מוטרדת ממש. אני לא מרגישה שהפרטיות שלי נפגעה".
חבר הכנסת לשעבר יהודה גליק הופתע לגלות שבין הלקוחות שפרטיהם נחשפו נמצא גם בנו, שעובד במשרד הביטחון. "אני לא יודע מה המשמעות ולא יודע איך להגיב", הוא הודה והוסיף בבדיחות הדעת: "לי אישית אין קשר לחיסול באיראן, וגם הבן שלי לא היה שותף לזה".
ההאקרים פרסמו התכתבויות עם החברה
במקביל פרסמו היום ההאקרים התכתבות שהתבצעה כביכול ביניהם לבין הממונה על המו''מ מטעם שירביט, המכונה בשיחה איליה. במסגרת הניסיון לנהל שיח מול התוקפים, ביקשו שירביט ונציגה לקבל ארכה לתשלום וכן לפצל את הכופר לשני חלקים. ההאקרים נראים בלתי מתפשרים לפחות לפי צילומי המסך של השיחה שהעלו לחשבון הטלגרם שלהם. מנגד, נציגה של שירביט ניסה לדובב אותם ולבקש ריכוך של תנאי התשלום. עם זאת נראה שלא היתה נכונות מצד ההאקרים להתחשב בבקשות של שירביט.
לא ברור למה החליטו ההאקרים לפרסם את ההתכתבות. אך ממה שניתן ללמוד, בשירביט מתייחסים אליהם כאל רוסים או לפחות דוברי רוסית. בשלב מסוים בשיחה, פונה איליה, נציג החברה, להאקר ומשתמש במלה הרוסית "אותנושניה" שפירושה "יחסים" בעברית. אך ההאקר לא תהה על השימוש במילה בשיחה. מה שעשוי לרמוז שאכן מדובר בהאקרים רוסים כפי שרמזו לכך מומחי סייבר רבים ביומיים האחרונים.
מתוך כך גם ניתן לתהות על סיבת התעקשותה של שירביט לדווח בפומבי בהודעותיה לציבור שמדובר ככל הנראה באירוע אסטרטגי כדבריהם תוך שהיא רומזת על פעילות עוינת של מדינה או גוף שאינו פלילי.
שירביט: "פועלים כדי להגן על המידע של הלקוחות"
מהחברה נמסר מוקדם יותר: "שירביט מודיעה כי החליטה שלא להיענות לדרישות הכופר, ולהמשיך לפעול בכל המישורים כדי להגן על המידע של לקוחות החברה. במהלך המו"מ שנוהל לאורך כל הלילה הגיעו כל הגורמים המקצועיים למסקנה גורפת כי לטרור הסייבר יש עניין בפגיעה אסטרטגית, ולא עומד מאחוריו מניע כספי כלשהו. הנהלת 'שירביט' החליטה לנהוג בהם כפי שיש לנהוג בתוקפים ולא להיכנע לאיומים מצד גורמים בעלי מניעים אסטרטגיים". החברה ציינה כי היא "מלווה מקרוב" על ידי שורת גורמים ממלכתיים המעורבים בניהול האירוע.
עוד ציינה שירביט כי "אנשי החברה ממשיכים לעקוב אחר כל התפתחות ומעדכנים את קהל הלקוחות באופן שוטף ככל שנדרש. שירביט פועלת בתיאום ובליווי צמוד של מערך הסייבר הלאומי, רשות שוק ההון, ביטוח וחיסכון, משטרת ישראל, הרשות להגנת הפרטיות וגורמים ממלכתיים נוספים". לדברי החברה, נשכרו מומחים מהשורה הראשונה בניהול אירועי סייבר, משא ומתן וניהול משברים.
"שירביט מתמודדת עם מתקפת סייבר עוינת שמאחוריה עומד גורם המבקש לבצע פגיעה אסטרטגית", אמר מנכ"ל החברה, צביקה ליבושור. "החברה לא תיכנע לטרור מסוג זה ותפעל בדרכים העומדות לרשותה להגן על לקוחות החברה ועל המידע המצוי בחברה, בתיאום עם כלל הרשויות הממלכתיות המלוות מקרוב מאוד את ניהול האירוע".
קבוצת ההאקרים BlackShadow, שעומדת מאחורי הפריצה, פרסמה אתמול הודעה שלפיה היא דורשת מהחברה 50 ביטקוין (השווים כמיליון דולר) בתוך 24 שעות, בתמורה לאי הפצת המידע או מכירתו. "אם לא תעבירו את הכסף בתוך 24 שעות, המחיר ישתנה ל-100 ביטקוין. אם לא תעבירו אותו ביום השלישי, המחיר ישתנה ל-200 ביטקוין. אחרי זה אנחנו נמכור את הנתונים לאחרים".
כרבע שעה לפני האיום ובקשת הכופר פרסמו ההאקרים קובץ ענק המכיל 300 מסמכים שנגנבו משירביט. ערב לפני כן פרסמו ההאקרים 326 מסמכים אחרים. במערך הסייבר העריכו ביום שלישי - אז התפרסם דבר הפריצה - כי לא מדובר במתקפת כופרה שבמסגרתה מוצפן המידע על השרתים עד לתשלום הכסף. בשונה ממתקפה מסוג זה, הדגישו כי הדרישה הנוכחית של ההאקרים מוגדרת כמעין סחיטה, ומתייחסת לאיום במכירת המידע ולא בהצפנתו על השרתים.
כיממה לאחר הפריצה למערכות שירביט שהתרחשה ביום שלישי פורסם כי בישראל חוששים שפרטים רגישים של אנשי מערכת הביטחון הגיעו לקבוצת ההאקרים. בכיר ביטחוני במשרד ממשלתי, שנמנה עם לקוחות החברה שפרטיהם הגיעו לקבוצת ההאקרים, אמר בשיחה עם ynet: "לא ידעתי שהפרטים שלי הודלפו, זו בעיה קשה. יש לי רק ביטוח רכב אבל זה מלחיץ מאוד. מכעיס שקיבלתי מכם את המידע הזה ולא קיבלתי שום שיחה מחברת הביטוח. הם היו צריכים להתקשר אליי".