בחברה טוענים: 4 ספרות אחרונות של כרטיס אשראי זה לא מידע רגיש.
אני טוען: לא רק שאתם טועים לכאורה, אלה הטעות הזאת מוכיחה לכאורה שאולי ואתם לא מבינים כל כך באבטחת מידע כפי שאתם טוענים.
חשיפה ראשונה: עפ ההודעה לבורסה של בנק דיסקונט – נודע להם על הנושא כבר ב19.1.2020 אך הם הודיעו לבורסה רק ב29.1.2020 בטענה ש"נדרש זמן לנקיטת צעדי הכנה ומניעה נדרשים"
כמו כן, הם טוענים בהודעתם שהמניעה לדווח הוסרה בתאריך 28/01/2020בשעה17:30.
ואני שואל, אם התקלה סודרה תוך מספר שעות מדוע נדרש זמן לנקיטת צעדי הגנה ומניעה עד לתאריך 28/01/2020בשעה17:30?
אפלקציות התשלומים הפכו לפופולאריות מאוד בקרב משתמשים בישראל, והכיוון הכללי הוא שבעתיד יחליפו לחלוטין את כרטיסי האשראי שלנו. בנקים – חברות אשראי – חברות פרטיות, כולן רוצים נתח מהעוגה מהעתיד של אמצעי התשלום. ונשאלת השאלה, מי שומר עלינו?
PayBox, אפלקצית תשלומים פופולארית, עדכנה את לקוחותיה על כך שאיתרה תקלה באחד מהשרתים. לא ברור לי האם מדובר על דליפת מידע כתוצאה מטעות אנוש, או כתוצאה מפריצת אבטחה.
בהודעה בפייסבוק החברה פירסמה:
לקוחות יקרים,
לפני הכל אנחנו רוצים לשוב ולהתנצל על אירוע דליפת המידע עליו דיווחנו לכם הבוקר.
מטבע הדברים, יש כרגע המון כניסות לאפליקציה כך שייתכן שתחוו איטיות או קשיי כניסה בשעות הקרובות.
כפי שסיפרנו לכם במייל ששלחנו הבוקר, המידע שנחשף אינו יכול לגרום לכם נזק כספי ולא כלל פרטים כגון סיסמה, מספר כרטיס אשראי (למעט 4 ספרות אחרונות) ומספר תעודת זהות.
אחרי בדיקה שערכנו, ובהמשך לשאלות שלכם, אנו מבקשים להבהיר כי המידע שנחשף הוא מידע חלקי המצוי באפליקציה כמו כינוי המשתמש שהזנתם, תאריך לידה, שמות קבוצות, העברות באפליקציה, מספרי טלפון ופרטים טכניים נוספים.
אנחנו יכולים לומר בוודאות שהאפליקציה מאובטחת לחלוטין לשימוש וכי כספכם מוגן.
אנחנו עושים הכל כדי לתת לכם את השירות הטוב ביותר.
נמשיך לפעול בשקיפות מלאה ונעדכן אתכם בכל מידע רלוונטי.
אנו זמינים לכל שאלה, במספר: 072-2799366
במייל: [email protected]
על פניו, הכיתוב "למעט 4 ספרות אחרונות" מרמז על כך ש4 הספרות האחרונות של מספרי האשראי נחשפו – דבר שהתברר למיטב הבנתי כנכון לכאורה עפ תגובתם לשאלתי בנושא בפייסבוק – הדבר מהווה סכנה אמיתית לדעתי, מתכון בטוח לניסיונות פישינג ועוד.
בחברה טוענים שלא מדובר במידע רגיש – וואו, כמה הם טועים לדעתי וכמה זה מראה לכאורה על חוסר הבנה באבטחת מידע לדעתי האישית
כפי שעידכנו לא נחשף מידע שיכול לגרום נזק כספי. 4 ספרות של כרטיס זה לא מידע רגיש. אי אפשר לעשות עם מידע זה כלום. הוא גם מופיע בכל קבלה, חשבונית שיוצא מקופה ואפילו משאירים במסעדה. חשוב לנו לציין שמספר כרטיס האשראי המלא כלל לא נשמר באפלקיציה ולכן אין אפילו חשש שנחשף
בנק דיסקונט (שפייבוקס בבעלותו), השיבו לפנייתי וכתבו
אביב שלום, בנק דיסקונט פרסם דוח לבורסה לני"ע והודעה לעיתונות. פייבוקס מסרה מידע מלא ושקוף ללקוחותיה, לא נוכל להוסיף מעבר לכך. מוקד פייבוקס זמין לכל שאלה בטלפון מספר 072-2799366 או בכתובת הדוא"ל: [email protected]. יום נעים
בנוסף, הבנק דיווח לבורסה על הנושא, אבל כאחד ששם לב לפרטים, לא יכלתי שלא לשים לב שהדיווח היה ב29.1, כאשר לבנק נודע על הנושא כבר בתאריך 19.1.2020.
טענתם:"דיווח שעוכב בהתאם לתקנה 36(ב): 3. אם הדיווח עוכב – הסיבה שבגינה עוכבה הגשתו: נדרש זמן לנקיטת צעדי הגנה ומניעה נדרשים."
ואני שואל, הרי אמרתם שהתקלה תוקנה תוך מספר שעות, אז מדוע נדרשו כל כך הרבה ימים לנקיטת צעדי הגנה ומניעה נדרשים? הרי בדיווח שלכם טענתם שהמניעה לדיווח הוסרה בתאריך28/01/2020בשעה17:30. בין ה19.1 ל28.1 ממש לא מדובר בתקלה של מספר שעות.
פניתי לבנק דיסקונט לקבל תגובה בנוגע לדיווח לבורסה, ואפרסם את התשובה שלהם כשאקבל אותה – אם אקבל.
שוחחתי עם מערך הסייבר הלאומי, הם מודעים לנושא וענו במהרה
שלום אביב ותודה שפנית אלינו, ככל הידוע לנו וכפי שדווח לנו מהבדיקות שערך בנק דיסקונט ואשר דיווח למפקחת על הבנקים, אין חשש לפגיעה כספית ישירה בלקוחות האפליקציה כתוצאה מהמידע שנחשף. יש להיות ערים יותר לנסיונות דיוג בתקופה הקרובה. לפרטים נוספים ולבדיקה שקשורה לחשבון שלך, ניתן לפנות לשירות לקוחות של בנק דיסקונט
שאלתי את PayBox את השאלות הבאות:
1. אילו פרטים אישיים של לקוחות נחשפו
2. אילו אמצעי אבטחה אתם נוקטים
3. האם אתם נעזרים בחברת אבטחת מידע חיצונית?
4. האם נחשפו הטרנזקציות אותם הלקוחות ביצעו?
5. האם יש לכם בחברה ממונה אבטחת מידע?
6. את אילו גורמים עדכנתם לגבי הפריצה?
7. האם אתם יודעים בדיוק או יש לכם השערה לגבי מתי התקיימה הפריצה? כמה זמן עבר ממועד הפריצה עצמה למועד שזיהיתם אותה?
8. האם הפריצה הייתה חד פעמית ככל הידוע לכם או שמדובר בפירצת אבטחה שהתוקפים ניצלו אותה במשך זמן ממושך?
9. לפני כמה זמן נודע לכם על הפריצה ולאחר כמה זמן עדכנתם את הלקוחות?
אני כן מצפה בPayBox לפרסם בדיוק אילו פרטים דלפו או ייתכן ודלפו וזאת על מנת שאנשים יידעו להיזהר מהודעות פישינג שעלולות לצוץ תוך שימוש במידע שדלף על מנת ליצור אמינות מול הקורבנות.
מענה לשאלות הנל לא קיבלתי מפייבוקס לצערי עד רגע זה, אך קיבלתי את התגובה הבאה:
לצערנו אנחנו לא יכולים לומר בוודאות בשלב זה מה דלף ביחס לכל לקוח באופן ספציפי. מה שאנחנו כן יכולים לומר, זה שהפרטים שהיו חשופים לא כללו מספר תעודת זהות, סיסמה, ומספר כרטיס אשראי (למעט 4 ספרות אחרונות). לצערנו, מידע שהוזן באפליקציה כגון כינוי המשתמש, תאריך לידה, שמות קבוצות, העברות, מס' טלפון ופרטים טכניים כן היו חשופים. אנחנו עושים הכל כדי למנוע מאירוע כזה להישנות ומחוייבים לתת לך את השירות הטוב ביותר שניתן.
בהודעת בנק ישראל פורסם:
בנק ישראל עודכן לגבי אירוע דלף המידע באפליקציית התשלומים פייבוקס ועוקב מקרוב אחר ההתפתחויות. לצד הפעולות שנקט בנק דיסקונט, בנק ישראל, בהתייעצות עם מערך הסייבר הלאומי, הנחה את הבנק בדבר צעדים נוספים שעליו לנקוט. הרשות להגנת הפרטיות במשרד המשפטים עודכנה אף היא לגבי פרטי האירוע. מהניתוח שבידינו עולה כי אין חשש לפגיעה כספית ישירה בלקוחות האפליקציה כתוצאה מהמידע שנחשף. בנק ישראל ממשיך לבדוק את פרטי האירוע. לאור התגברות הפעילות הפיננסית באמצעים הדיגיטליים, וכפי שאמרנו בעבר, מומלץ שהציבור יהיה ערני כלפי ניסיונות הונאה (דוגמת פישינג- "דיוג") ויפעל על פי המלצות התגוננות שבנק ישראל פרסם זה מכבר בקישור המצורף: https://www.boi.org.il/he/BankingSupervision/Pages/digitalscams.aspx הפיקוח על הבנקים יבצע תחקיר מעמיק של האירוע, יסיק מסקנות, וינחה את הבנק ואת המערכת הבנקאית בהתאם.
איגוד האינטרנט גם הוא מזהיר (BLOCK):
הודעה זו היא אמיתית, ואכן הגיעה מ-Paybox. לצערנו, מניסיון העבר עולה כי נוכלים "רוכבים על הגל", ומנצלים הודעות אלו על מנת לגנוב כסף ופרטים אישיים ממשתמשים. כיצד ניתן להיזהר? שימו לב – אם מבקשים מכם פרטי כרטיס אשראי, פרטים אישיים או סיסמא, ומתחזים לנציגי Paybox – ב-SMS, במייל או בטלפון – חשדו! זו כמעט בוודאות הונאה. אם אתם מתלבטים, התקשרו לשירות הלקוחות של Paybox ובדקו זאת. גם עמוד באינטרנט שמתחזה ל-Paybox עלול לצוץ. אם אתם נכנסים לאתר Paybox ודאו שמדובר באתר הרשמי (payboxapp.com).
עפ מידע שמפורסם ברשות להגנת הפרטיות:
תקנה 11(ד)(1) לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 (להלן: "התקנות") קובעת כי בעל מאגר מידע* שחלה עליו רמת אבטחה בינונית או גבוהה (כהגדרתן בתקנות) מחויב להודיע לרשות להגנת הפרטיות באופן מיידי על אירוע אבטחה חמור (כהגדרתו בתקנות), וכן ידווח לרשות על הצעדים שנקט בעקבות האירוע. ככלל, על הדיווח להיעשות תוך 24 שעות ממועד גילויו של אירוע האבטחה החמור, ובכל מקרה לא יאוחר מ – 72 שעות מאותו מועד.
העברתי פנייה בנושא לרשות להגנת הפרטיות, כל ניסיונותי להשיג אותם טלפונית הלו בתוהו. במידה ותתקבל תגובה מהם אעדכן. אני חוזר ומדגיש, ישנה חשיבות גבוה לפירסום המידע שייתכן וזלג כיון שידוע שמידע שכזה משמש פעמים רבות בהודעות פישינג למניהן על מנת ליצור מצג שוא של אמינות ההודעה.
אני מנחש , לפי סוג הפרטים שדלפו לפי הודעת החברה, שלא מדובר בפריצה, אלה ברשלנות לכאורה – בין אם בקונפיגורציה לא נכונה של השרת או בבאג, ושמדובר בעמוד פנימי של מערכת שירות לקוחות או דוחות. השאלה שנשאלת מדוע 4 ספרות אחרונות של אשראי מופיעות בצורה לא מוצפנת/מאובטחת בדף שירות – אם ואכן דלפו.
בנוסף, מקריאה של הדיווח לבורסה, באופן אישי, אני לא בטוח שהתקלה אכן תוקנה תוך מספר שעות כפי שכתבו.