מדריך ה-WIRED לפרצות נתונים

ההיסטוריה של הפרות נתונים

פרצות נתונים נפוצות ומזיקות יותר ויותר במשך עשרות שנים. עם זאת, כמה בולטות כדוגמאות מאלפות לאופן שבו הפרות התפתחו, כיצד התוקפים מסוגלים לתזמן את ההתקפות הללו, מה ניתן לגנוב ומה קורה לנתונים לאחר שהתרחשה הפרה.

הפרות מידע דיגיטליות החלו הרבה לפני השימוש הנרחב באינטרנט, אך הן היו דומות במובנים רבים להדלפות שאנו רואים כיום. תקרית נקודת ציון מוקדמת אחת התרחשה ב-1984, כאשר סוכנות דיווח האשראי TRW Information Systems (כיום Experian) הבינה שאחד מקבצי מסד הנתונים שלה נפרץ. הטרוב היה מוגן על ידי קוד סיסמה מספרי שמישהו הסיר מהערה מנהלתית בחנות של סירס ופרסם על "לוח מודעות אלקטרוני" – מעין מסמך גוגל ראשוני שאנשים יכלו לגשת אליו ולשנות באמצעות חיבור הטלפון הקווי שלהם. משם, כל מי שידע לצפות בלוח המודעות יכול היה להשתמש בסיסמה כדי לגשת לנתונים המאוחסנים בקובץ TRW: נתונים אישיים והיסטוריית אשראי של 90 מיליון אמריקאים. הסיסמה נחשפה במשך חודש. בזמנו, TRW אמרה שהיא שינתה את סיסמת מסד הנתונים ברגע שנודע לה על המצב. אף על פי שהתקרית מתגמדת לעומת ההפרה בשנה שעברה של סוכנות דיווח האשראי Equifax (הנדון להלן), ביטול ה-TRW היה אזהרה לחברות נתונים בכל מקום – כזו שרבים לא שמו לב אליה.

הפרות בקנה מידה גדול כמו תקרית ה-TRW התרחשו באופן ספורדי ככל שחלפו השנים והאינטרנט התבגר. בתחילת שנות ה-2010, כשהמכשירים הניידים והאינטרנט של הדברים הרחיבו מאוד את הקישוריות ההדדית, הבעיה של פרצות מידע הפכה לדחופה במיוחד. גניבת צמדי שמות משתמש/סיסמאות או מספרי כרטיסי אשראי – אפילו פריצה של שלל נתונים שנצברו ממקורות ציבוריים כבר – עלולה לתת לתוקפים את המפתחות לכל החיים המקוונים של מישהו. והפרות מסוימות בפרט עזרו לתדלק כלכלת אינטרנט אפלה הולכת וגדלה של נתוני משתמשים גנובים.

אחת התקריות הללו הייתה הפרה של לינקדאין ב-2012 בתחילה נראה לחשוף 6.5 מיליון סיסמאות. הנתונים עברו גיבוב, או ערבלו בצורה קריפטוגרפית, כהגנה כדי להפוך אותם לבלתי מובנים ולכן קשים לשימוש חוזר, אך האקרים החלו במהירות "לפצח" את ה-hash כדי לחשוף את הסיסמאות האמיתיות של משתמשי לינקדאין. למרות שלינקדאין עצמה נקטה באמצעי זהירות כדי לאפס סיסמאות חשבונות מושפעות, התוקפים עדיין הצליחו להוציא מהן הרבה קילומטראז' על ידי מציאת חשבונות אחרים ברחבי האינטרנט שבהם משתמשים עשו שימוש חוזר באותה סיסמה. זה נפוץ מדי היגיינת סיסמאות רופפת כלומר, הפרה בודדת יכולה לרדוף משתמשים במשך שנים.

גם הפריצה בלינקדאין התבררה כחמורה אף יותר ממה שנראה לראשונה. בשנת 2016 האקר המכונה "שלום" התחיל למכור פרטי חשבון, במיוחד כתובות דוא"ל וסיסמאות, מ-117 מיליון משתמשי LinkedIn. נתונים שנגנבו מהפרת לינקדאין זכו למטרה מחדש ונמכרו מחדש על ידי פושעים מאז, ועד היום יש לתוקפים הצלחה מסוימת בניצול הנתונים, מכיוון שכל כך הרבה אנשים עושים שימוש חוזר באותן סיסמאות במספר חשבונות במשך שנים.

עם זאת, פרצות נתונים לא הפכו באמת למזון לשולחן האוכל, עד סוף 2013 ו-2014, כאשר הקמעונאים הגדולים Target, Neiman Marcus וה-Home Depot סבלו מפריצות מסיביות בזו אחר זו. ה פריצה למטרהשנחשף לראשונה בדצמבר 2013, השפיע על המידע האישי (כגון שמות, כתובות, מספרי טלפון וכתובות אימייל) של 70 מיליון אמריקאים ופגע ב-40 מיליון מספרי כרטיסי אשראי. רק כמה שבועות לאחר מכן, בינואר 2014, ניימן מרקוס הודה שמערכות נקודות המכירה שלה נפגעו מאותה תוכנה זדונית שהדביקה את Target, וחשפה את המידע של כ-110 מיליון לקוחות ניימן מרקוס, יחד עם 1.1 מיליון מספרי כרטיסי אשראי וכרטיסי חיוב. לאחר מכן, לאחר חודשים של נפילה משתי ההפרות הללו, הודיעה הום דיפו בספטמבר 2014 שהאקרים גנבו 56 מיליון מספרי כרטיסי אשראי וכרטיסי חיוב מהמערכות שלה על ידי התקנת תוכנה זדונית על מסופי התשלום של החברה.

עם זאת, התקפה הרסנית ומרושעת עוד יותר התרחשה באותו זמן. המשרד לניהול כוח אדם הוא המחלקה האדמיניסטרטיבית ומחלקת משאבי אנוש עבור עובדי ממשלת ארה"ב. המחלקה מנהלת אישורי אבטחה, עורכת בדיקות רקע ושומרת תיעוד על כל עובד פדרלי בעבר ובהווה. אם אתה רוצה לדעת מה קורה בתוך ממשלת ארה"ב, זו המחלקה לפרוץ. כך עשתה סין.

האקרים מקושרים לממשלת סין חדר לרשת של OPM פעמייםתחילה גנבו את השרטוטים הטכניים עבור הרשת ב-2013, ולאחר מכן יזמו מתקפה שנייה זמן קצר לאחר מכן, שבה הם השיגו שליטה על השרת האדמיניסטרטיבי שניהל את האימות עבור כל שאר כניסות השרת. במילים אחרות, עד ש-OPM הבינה במלואה מה קרה ופעלה להרחקת הפולשים ב-2015, ההאקרים הצליחו לגנוב עשרות מיליוני רשומות מפורטות על כל היבט בחייהם של העובדים הפדרליים, כולל 21.5 מיליון מספרי ביטוח לאומי ו 5.6 מיליון רשומות טביעות אצבע. במקרים מסוימים, הקורבנות אפילו לא היו עובדים פדרליים, אלא פשוט היו קשורים בדרך כלשהי לעובדי ממשלה שעברו בדיקות רקע. (הבדיקות האלה כוללות כל מיני מידע ספציפי מאוד, כמו מפות של משפחה, חברים, מקורבים וילדים של הנבדק.)