כשמלחמת ההאקרים מגיעה לגן הילדים

מיליוני תמונות וסרטונים ופרטיהם של הורים דלפו מאפליקציית גנים פופולרית. מה הסכנות? מי אחראי? איך מתמודדים?

שמעון כהן , כ"ד באדר תשע"ח

ילדים
ילדים
צילום: istock



טוען....

מיליוני תמונות של ילדים ופרטים של 100 אלף הורים דלפו מאפליקציית הגנים הפופולרית "רמיני", כך פורסם היום ב'דה-מרקר'.

בראיון ליומן ערוץ 7 מסביר אופיר ענבר, ראש תחום אפליקציות בחברת אבטחת המידע קומסק, את הסכנות שבאפליקציות קהילתיות ודרכי ההתמודדות איתן.

"מדובר בחשיפה שבאמצעותה היה ניתן לקבל גישה לכשמונה וחצי מיליון תמונות וסרטונים ומידעים שעברו בין גננות והורים", אומר ענבר המדגיש כי על פי הפרסומים הפרצה תוקנה ולכאורה הסכנה שהייתה עד לא מכבר לחשיפת המידע כבר אינה קיימת.

עוד הוא מציין כי מדובר ב"פרצה בסיסית יחסית" ולכן "גם האקר ברמה מאוד נמוכה יכול לבצע מתקפה שכזו. יש כאן פגיעה משמעותית בפרטיות, יש כאן מידע רגיש לילדים לגננת ולהורים. זה יכול להגיע גם למדינות אחרות ולא ניתן לדעת מה יעשו בדליפה שכזו".

ענבר מעיר כי אמנם המקרה הספציפי המדובר אינו מוכר לו לפרטיו אבל "ברוב המקרים יודעים אם בוצעה פרצה כזו או אחרת, יודעים למצוא עקבות של תוקף גם אם הוא רק מנסה לפרוץ. כך זה ברוב המקרים וניתן לתחקר פעולות של האקר".

כאשר מדובר במציאות בה ניתן להתחקות אחר צעדיו של האקר המנסה לפרוץ למאגר נתונים שכזה "האחריות צריכה להיות אצל כולם, גם במשרד החינוך, גם אצל מפתח האפליקציה וגם אצל ההורים. כשמשרד החינוך ממליץ על אפליקציה הוא מבצע בדיקות או שוכר האקר שיבצע בדיקה כזו או אחרת, אבל לא תמיד הבדיקות הללו מספיקות". ענבר מסביר כי בעוד הבדיקות שאותן מבצע גוף כדוגמת משרד החינוך מתבצעות בפרק זמן מוגבל ההאקר שמבקש לפרוץ למאגר המידע ממשיך לעשות זאת ללא הרף וללא הגבלה של זמן. מכיוון שכך על מפתח המערכות לשלב תהליך פיתוח מאובטח ביצירת המוצר, וכך יתבצעו שוב ושוב בדיקות שימנעו פריצות מסוג זה.

"גם בצד של ההורים והמשתמשים יש אחריות לבדוק את הדברים. אנחנו אמורים לדאוג. חשוב לדעת שבנושא אבטחת מידע אין דבר כזה אבטחה של מאה אחוז. תמיד צריך לקחת בחשבון שאפליקציה תיפרץ ולכן צריך לשקול אם אנחנו לוקחים את הסיכון הזה ומשתפים באפליקציה הזו מידע. בכלל יש לדעת שסלולארי אינו משהו מאובטח ומידע שיש בו עלול להיחשף".

"מה אנחנו יכולים לעשות זה לא לסמוך על כל אפליקציה שאנחנו מורידים. ארגונים כמו פייסבוק וגוגל משקיעים הרבה כסף ומשאבים באבטחת מידע. מנגד לא כל אפליקציה ברשת עוברת רמת בדיקות ואבטחת מידע ברמות שכאלה, ואנחנו צריכים לשקול אם רוצים להסתכן ולשתף מידע באפליקציות שכאלה".

על הפעילות של החברה שלו, כמו גם חברות לאבטחת מידע מקבילות, הוא מספר כי מדובר למעשה בעבודה של האקרים שפסע ביניהם לבין היותם חלק מה"צד הרע" של הרשת, הצד של הפורצים ושודדי המידע, לבין החלטתם לפעול ב"צד הטוב" של הרשת, הצד שמאתר פרצות כדי לסתום אותן.

"בעולם הזה יש האקרים רעים ומנגד האקרים טובים שהם אנשים עם יכולות אבל אין להם כוונות קרימינאליות ומבקשים להגן על ארגונים ואפליקציות ומשתמשים ביכולות שלהם כדי למצוא פרצות עוד לפני שההאקרים יגיעו אליהם".

על עבודתם של ההאקרים הטובים מסביר ענבר כי זו אמנם נחזית דומה לזו של מחפשי הפרצות מהצד הרע של הרשת, אך היא נעשית באישור ובפיקוח המחויב על פי החוק. "יש חוק בנושא. אף אחד לא יכול לבדוק אפליקציה סתם כך. אם מישהו מנסה לבדוק אם אפליקציה חשופה למתקפה ללא אישור של בעל האפליקציה זו עבירה פלילית. אסור לאף אחד לעשות את זה בלי אישור של בעל המערכת".






הצעות והערות ניתן לשלוח לדואר אלקטרוני: computers@inn.co.il