WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 02.06.2022

עיקרי הדברים

  1. סוכנות הידיעות האיראנית ״פארס״: חמישה אנשי עסקים ומומחי סייבר ישראלים על כוונת ״משמרות המהפיכה״.

  2. המלחמה בין רוסיה לאוקראינה: ארה״ב אישרה ביצוע פעולות התקפיות בהמשך לפלישת רוסיה לאוקראינה.

  3. קנס בסך 150 מיליון דולר הוטל על טוויטר בגין הפרת זכויותיהם של נושאי מידע.

  4. ה-FBI חושף: בשנה שעברה סוכל ניסיון תקיפה איראני של בית חולים לילדים בבוסטון.

  5. אנו ממליצים לעדכן את המוצרים הבאים: MSDT - כלי ניתוח התקלות של מיקרוסופט (Zero-day); פלטפורמת Drupal (קריטי); מערכת ההפעלה  Tails OS (קריטי); מוצרי Zyxel (גבוה); מוצרי Google (גבוה); דפדפן ה-Firefox של Mozilla (גבוה).

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכון אבטחה שיפורסם בימים הקרובים נותן מענה לשתי חולשות קריטיות בדפדפן Tor המשפיעות על Tails OS
עדכוני אבטחה ל-Zyxel נותנים מענה לחולשות, אחת מהן ברמת חומרה גבוהה
מיקרוסופט איתרה ותיקנה חולשות ברמת חומרה גבוהה באפליקציות Android המותקנות במכשירים כברירת מחדל
עדכוני אבטחה ל-Drupal נותנים מענה לחולשה קריטית
אותרה חולשת Zero-day ב-Microsoft Support Diagnostic Tool למערכות Office, המנוצלת באופן אקטיבי; טרם פורסם עדכון אבטחה
עדכוני אבטחה לכמה ממוצרי Google
עדכון אבטחה לדפדפן Firefox של Mozilla 

התקפות ואיומים

GhostTouch: מתקפה חדשה על מסכי מגע - ללא מגע פיזי
התפתחות בחקירת קמפיין התקיפה במהלכו דלפו אסימוני גישה של מערכת 0Auth
ה-Threat Report הרבעוני של Adobe:  פישינג של משתמשי Office 365 הוא האיום הגדול ביותר על לקוחות החברה
Verizon מסכמת את מתקפות הדלפות המידע בשנה האחרונה: עלייה של 13% במספר המתקפות, 62% מהמתקפות החלו בשרשרת האספקה
EnemyBot מרחיב את סל כלי התקיפה שלו על ידי הוספה מהירה של חולשות חדשות שאותרו במרחבי הרשת
מיקרוסופט מפרסמת דרכי התגוננות מפני מתקפת KrbRelayUp LPE במערכת ההפעלה Windows
איומים על טלפונים ניידים  2022: טרויאנים בנקאיים חדשים ו-ODF
״טריק״ להעברת שיחות מאפשר להאקרים לגנוב חשבונות של קורבנות ב-WhatsApp
התגלו נוזקות חדשות הרצות על WSL של Windows

השבוע בכופרה

NCC Group: בחודש אפריל בוצעו 288 מתקפות כופרה, עלייה מינורית לעומת 283 מתקפות במרץ
ניו ג׳רזי: מתקפת סייבר משביתה שירותים של רשות מחוזית
ה-CISA, ה-FBI וארגונים נוספים מתריעים מפני קבוצת התקיפה Karakurt

המלחמה במזרח אירופה

לראשונה: ארה״ב אישרה ביצוע פעולות התקפיות בהמשך לפלישת רוסיה לאוקראינה

סייבר בעולם

סקר של חברת הביטוח Marsh ומיקרוסופט: 61% מהארגונים רכשו ביטוח סייבר
האקר אנונימי גנב מסד נתונים של מאות עובדי חברת Verizon
אנגליה: קבוצה המזוהה עם המשטר האיראני ביצעה מתקפת DDoS על נמל לונדון
ה-FBI חושף: בשנה שעברה סוכל ניסיון תקיפת סייבר איראני של בית חולים לילדים בבוסטון
אחרי Conti הגיעה Hive: מוסד הביטוח הלאומי של קוסטה ריקה תחת מתקפה

סייבר בישראל

סוכנות הידיעות הפרסית ״פארס״: חמישה אנשי עסקים ישראלים על כוונת ״משמרות המהפיכה״

סייבר ופרטיות - רגולציה ותקינה

קנס בסך 150 מיליון דולר הוטל על טוויטר בגין הפרת זכויותיהם של נושאי מידע
Meta עדכנה מדיניות הפרטיות של החברה על מנת להפוך אותו לנגיש יותר

כנסים

 
 

הציטוט השבועי

״אם טוויטר אינה דוברת אמת בסיפור הזה, מה עוד אינו אמיתי?"״ 

אילון מאסק, בהתייחסותו להרשעתה של טוויטר בהפרת זכויותיהם של נושאי מידע, 26.5.22.

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכון אבטחה שיפורסם בימים הקרובים נותן מענה לשתי חולשות קריטיות בדפדפן Tor המשפיעות על Tails OS 

Tails היא מערכת מבוססת Debian Linux מוכוונת פרטיות, אשר לשם גלישה אנונימית משתמשת בדפדפן Tor, המתבסס בתורו על הדפדפן Firefox. שתי חולשות קריטיות (CVE-2022-1802, CVE-2022-1529) חדשות שהתגלו ב-Firefox ותוקנו בגרסה 5.1 של Talis OS מבחינת השפעתן על מוצר זה, עלולות לאפשר לתוקף לבצע תקיפה מסוג Prototype pollution, ובכך להריץ קוד JavaScript זדוני על מכשיר הקורבן. למשל, לאחר גלישה לאתר זדוני המנצל את החולשות, התוקף עשוי לגשת למידע רגיש שהמשתמש שולח ומקבל, אפילו לאחר שיצא מהאתר, ולכל משך הזמן שגלש בדפדפן באותו ה״סשן״. הדבר הודגם על ידי החוקר מנפרד פול בתחרות ההאקינג Pwn2Own. עם זאת, צוות האבטחה של Tails הדגיש כי החולשה אינה פוגעת באנונימיות הדפדפן, ומשתמשים שאינם מעבירים באמצעותו מידע רגיש יכולים להמשיך להשתמש בו גם בטרם יעדכנו את המוצר לגרסה 5.1, שתתפרסם בימים הקרובים.

צוות קונפידס ממליץ למשתמשי המוצר לעקוב אחר פרסומי החברה ולעדכנו לגרסתו האחרונה עם שחרורה.

עדכוני אבטחה ל-Zyxel נותנים מענה לחולשות, אחת מהן ברמת חומרה גבוהה

העדכונים פורסמו לאחר שלאחרונה קיבלה החברה דיווחים מיועצי אבטחת מידע על מספר חולשות במערכותיה:

חולשה (​​CVE-2022-0734, CVSS 5.8) מסוג XSS במערכת ה-CGI במספר גרסאות Firewall של החברה, העלולה לאפשר לתוקף להריץ קוד זדוני שיקנה לו גישה למידע הנמצא בדפדפן הקורבן, כגון עוגיות ופרטי סשן.

חולשה (CVE-2022-26531, CVSS 6.1) בפקודות CLI במספר גרסאות Firewall ו-AP Controller של החברה, העלולה לאפשר לתוקף מקומי ומאומת לבצע Buffer overflow או להקריס את המערכת.

חולשה (CVE-2022-26532, CVSS 7.8) מסוג Argument Injection במספר גרסאות Firewall ו-AP Controller של החברה, העלולה לאפשר לתוקף מקומי ומאומת לבצע פקודות ברמת מערכת ההפעלה.

חולשה (CVE-2022-0910, CVSS 6.5) מסוג עקיפת אימות במספר גרסאות של Firewall של החברה, העלולה לאפשר לתוקף ״לדרדר״ את האימות הדו-שלבי (2FA) לאימות חד-שלבי עקב היעדר מנגנון בקרת גישה ב-CGI.

חלק מעדכוני האבטחה יהיו זמינים רק בשלב מאוחר יותר, וחלקם ניתנים להתקנה רק על ידי נציג החברה. רשימה מלאה של המערכות הפגיעות ושל הגרסאות המתוקנות ניתן למצוא כאן.

צוות קונפידס ממליץ לבעלי המערכות לעדכנן לגרסאותיהן האחרונות.

מיקרוסופט איתרה ותיקנה חולשות ברמת חומרה גבוהה באפליקציות Android המותקנות במכשירים כברירת מחדל

החולשות, להן הוענקו ציוני CVSS בין 7.0 ל-8.9, נמצאו ב-Framework השייך ל-mce Systems, בו עושות שימוש אפליקציות Android רבות. ניצול החולשות עלול לאפשר לתוקף להזריק קוד JavaScript זדוני למחלקה בקוד ה-Framework המכונה WebView, על מנת לגשת לתצורת המערכת, לצפות במידע רגיש ולהעלות הרשאות. האפליקציות האמורות הורדו פעמים רבות מחנות ה-Google Play, ורובן אף מגיעות מותקנות כחלק מ-Image ברירת המחדל במכשירים הנמכרים על ידי ספקיות תקשורת כמו AT&T ,TELUS ואחרות. אי לכך, על מנת להסירן או להשביתן יש לגשת למכשיר עם הרשאות Root. זאת ועוד, מכיוון שאפליקציות אלה נועדו לספק נתונים אודות ביצועי המכשירים על מנת לשפרם ולייעל פתרון בעיות, הן כוללות הרשאות רבות ומגוונות, לרבות גישה לאינטרנט, שינוי מצב ה-Wi-Fi, קריאה וכתיבה של קבצים למקור חיצוני, גישה למצלמה ולשמע, מידע על טביעות אצבעות, גישה לקובצי משתמש, התקנת תוכנות ושינוי הגדרות מכשיר. לאור זאת, ניצול החולשות מאפשר לתוקף להשתלט על המכשיר ולהתקין עליו דלת אחורית. החולשות, שהתגלו בספטמבר 2021, תוקנו מאז על ידי הספקים להם דיווחה מיקרוסופט על הממצאים, ונכון לשעת פרסום המחקר לא נצפה ניצול שלהן. 

עדכוני אבטחה ל-Drupal נותנים מענה לחולשה קריטית

Drupal היא מערכת לניהול תוכן המשמשת לבנייה וניהול אתרים, אשר בין היתר עושה שימוש בספריית צד ג׳ המכונה Guzzle לצורך טיפול בבקשות HTTP ותגובה לשירותים חיצוניים. לאחרונה פרסמה Guzzle עדכון אבטחה שסגר חולשה (CVE-2022-29248, CVSS 8.0) אשר השפיעה על מי שהוסיף ידנית את תוכנת העוגיות ועל הקוד המותאם אישית באתרי Drupal. החולשה, שלא היתה בליבת מערכת ה-Drupal, נובעת מהיעדר בדיקת התאמה בין ה-Cookie Domain לשרת הדומיין המגדיר את העוגייה, וניצולה עלול לאפשר לתוקף להגדיר קובצי עוגיות של דומיין מסוים מתוך שרת זדוני הנמצא בדומיין אחר, למשל כאשר דומיין התוקף הוא www.example.com והוא מגדיר את קובצי העוגיות לדומיין api.example.net. דבר זה עלול לאפשר התחברות לחשבונות של משתמשי Guzzle ואחזור בקשות API מיומני האבטחה שלהם. בעקבות פרסומה של Guzzle שחררה Drupal את עדכון האבטחה שלה מוקדם מהמתוכנן. להלן ההנחיות לעדכון המערכת:
Drupal 9.3 - יש לעדכן לגרסה 9.3.14.

Drupal 9.2 - יש לעדכן לגרסה 9.2.20.
גרסאות ישנות יותר אינן נתמכות עוד על ידי Drupal ולכן לא פורסם עבורן עדכון אבטחה. כמו כן, החולשה אינה משפיעה על Drupal 7.

צוות קונפידס ממליץ למשתמשי המערכת לעדכנה לגרסאותיה האחרונות.

אותרה חולשת Zero-day ב-Microsoft Support Diagnostic Tool למערכות Office, המנוצלת באופן אקטיבי; טרם פורסם עדכון אבטחה

החולשה (CVE-2022-30190, CVSS 7.8), שרמת חומרתה גבוהה ואשר קיבלה את הכינוי Follina, זוהתה על ידי חוקר אבטחת מידע המכונה nao_sec, בזמן שהוריד קבצים מ-VirusTotal במטרה לזהות ניצול של חולשה אחרת (CVE-2021-40444) במערכות מיקרוסופט. באחד מהקבצים שהוריד,  05-2022-0438.doc, אשר הועלה לאתר מבלארוס, הבחין החוקר שהקוד מנצל חולשה לא מוכרת בכלי ניתוח התקלות של מיקרוסופט (MSDT) המאפשרת את הרצת קוד ה-PowerShell על התחנה דרך קובצי Office גם ללא אישור המשתמש להרצת מאקרו, כל זאת בהתבסס על יכולותיהם של מסמכי Word לטעון תבניות HTML משרתים מרוחקים באמצעות כלי ה-MSDT. ברשומת בלוג טכנית מפורטת, חוקר אבטחת המידע קווין בומונט מסביר אודות החולשה ודרכי ההתמודדות עמה. בתוך כך, מערך הסייבר הלאומי הפיץ התרעה אודות החולשה, הכוללת גם היא הצעות לדרכי התמודדות עמה. נכון לשעה זו טרם פורסם עדכון של מיקרוסופט הנותן מענה לחולשה, והדרך להימנע מניצולה היא באמצעות מעקפים שונים, אשר אותם יש לבחון בסביבות בדיקות על מנת להימנע מתקלות ביצועים אחרות. במקביל, מספר חוקרים אישרו שהחולשה רלוונטית למוצרים Office 2013 ,Office 2016 ,Office Pro Plus  ו-Office 21, ואילו Threat Insight צייצה בטוויטר כי קבוצת התקיפה TA413, המקושרת לסין, נצפתה מנצלת אותה באופן אקטיבי. טענה אחרונה זו אוששה על ידי חוקרים מ-Proofpoint, שדיווחו כי TA413 מבצעת מסע Spear Phishing באמצעות קובצי ZIP המכילים קובצי Word זדוניים שדרכם מורץ הקוד האמור.

צוות קונפידס ממליץ לבעלי המוצרים לעקוב אחר הנחיות המיטיגציה של מערך הסייבר הלאומי ואחר פרסומיה של מיקרוסופט בנושא.

עדכוני אבטחה לכמה ממוצרי Google

להלן פרטי העדכונים, שיהיו זמינים בימים הקרובים:

גרסה 102.0.5005.78 של Android, הכוללת שיפורי יציבות וביצועים. לרשימת השיפורים המלאה לחצו כאן.

גרסה 102.0.5005.75 של Chrome OS, הכוללת מספר תיקונים ו-11 עדכוני אבטחה, בהם 9 ברמת חומרה גבוהה ושניים ברמת חומרה בינונית. לרשימת תיקוני האבטחה המלאה לחצו כאן.

גרסה 103.0.5060.25 של Chrome Beta iOS. לרשימה חלקית של השינויים הכלולים בעדכון לחצו כאן.

גרסה 103.0.5060.33 של Chrome beta ל-Android ול-Desktop זמינה כעת להורדה ב-Google Play.

צוות קונפידס ממליץ לבעלי המוצרים לעקוב אחר פרסומי החברה ולהטמיע את העדכונים עם צאתם.

עדכון אבטחה לדפדפן Firefox של Mozilla נותן מענה למספר חולשות, חלקן ברמת חומרה גבוהה

העדכון סוגר במוצר מספר חולשות ברמת חומרה בינונית וגבוהה, כדלקמן:

CVE-2022-31736 - חולשה ברמת חומרה גבוהה, העלולה לאפשר לתוקף לקבל מידע הנמצא מחוץ לדומיין ומיובא אליו. 

CVE-2022-31737 - חולשה ברמת חומרה גבוהה, העלולה לאפשר לעמוד אינטרנט זדוני לגרום לשגיאה מסוג Out-of-bounds write ב-WebGL, דבר שיכול להוביל להשחתת זיכרון ולקריסה הניתנת לניצול.

CVE-2022-31738 - חולשה ברמת חומרה גבוהה, שמקורה בכך שביציאה ממצב ״מסך מלא״ רכיב ה-iframe עלול לבלבל את הדפדפן בנוגע למצב המסך הנוכחי, ובכך לבלבל גם את המשתמש או לאפשר מתקפות מסוג Spoofing.

CVE-2022-31739 - חולשה ברמת חומרה גבוהה, שמקורה בכך שבעת הורדת קבצים במערכות Windows הסימן % מקבל ביטוי כסימון מיוחד ולא כתו בלבד. 

CVE-2022-31740 - חולשה ברמת חומרה גבוהה ב-ARM64 בארכיטקטורה של Apple, שמקורה בכך שקוד ה-Wasm (אסמבלר של Mac)  יכול להסתיים בשגיאות שעלולות להוביל לקריסה הניתנת לניצול.

CVE-2022-31741 - חולשה ברמת חומרה גבוהה, שמקורה בכך שהודעת CMS מנוסחת מעובדת בצורה שגויה, מה שעלול להוביל לקריאת זיכרון לא ולידי ולהשחתת זיכרון במערכת. 

CVE-2022-31742 - חולשה ברמת חומרה בינונית, העלולה לאפשר לתוקף לשלוח כמות גדולה של Allow-credentials ובכך לגרום ל-Cross-origin account linking בניגוד להגדרות ה-WebAuthn.

CVE-2022-31743 - חולשה ברמת חומרה בינונית, שמקורה בכך שהפירסור של דף HTML אינו מתרגם נכונה תגיות תגובה, דבר המוביל לחוסר התאמה עם דפדפנים אחרים ועלול להיות מנוצל ל״בריחה״ מתגובות HTML.

CVE-2022-31744 - חולשה ברמת חומרה בינונית, העלולה לאפשר לתוקף להזריק קוד CSS לתוך עמודי העיצוב (Style Sheets) ובכך לעקוף את מדיניות אבטחת התוכן בעמוד. 

CVE-2022-31745 - חולשה ברמת חומרה בינונית, העלולה לאפשר לתוקף לנצל הגדרה שגויה של פעולת Shift (פעולה שמסירה את הערך הראשון ומחזירה אותו) ולבלבל את ה-Garbage Collector בנוגע לאילו קבצים הם ולידים.

CVE-2022-31747 - חולשה ברמת חומרה גבוהה, שמקורה במספר באגים המובילים לבעיות אבטחת זיכרון, דבר העלול בתורו להוביל להרצת קוד שרירותי.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.

התקפות ואיומים

GhostTouch: מתקפה חדשה על מסכי מגע - ללא מגע פיזי

לדברי איגוד ה-USENIX, מתקפה זו היא הראשונה המבוצעת נגד מסכי מגע ללא מגע פיזי מצד המשתמש. המתקפה מתבססת על שימוש בהפרעות אלקטרומגנטיות (EMI), בכוונון פרמטרים של אותות אלקטרומגנטיים ובהתאמת האנטנה על מנת לאפשר לתוקף להחדיר למסך נקודות מסך מזויפות ולבצע מרחוק שני סוגים של אירועי מגע בסיסיים: הקשות (Tap) והחלקות (Swipe). המתקפה נבדקה בהצלחה על תשעה דגמי סמארטפונים, כאשר החוקרים הצליחו לבצע מענה לשיחת ציתות טלפונית, לחיצה על כפתורים, החלקה מעלה לביטול נעילה והזנת סיסמה. במאמר שכתבו הם מפרטים את שיטת הפעולה, את הנזק שנגרם ואת אמצעי החומרה והתוכנה בהם ניתן להשתמש להפחתת עוצמת המתקפה.

התפתחות בחקירת קמפיין התקיפה במהלכו דלפו אסימוני גישה של מערכת 0Auth 

בהמשך לאירוע שדווח בחודש אפריל (ראו ״הסייבר״ 20.4.22), במהלכו דלפו ל-GitHub אסימוני גישה (Tokens) של שתי חברות צד ג׳, Travis C ו-Hero, שאיפשרו גישה למשאבים רבים, בהם ספריית npm השייכת ל-GitHub, השבוע עדכנה האחרונה בממצאי חקירת התקרית. בדוח טכני שפרסמה, מפורט כי באירוע דלף מידע של כ-100 אלף רשומות משתמשים בפלטפורמת npm, מתוך מאגר מידע שעודכן ב-2015 והכיל שמות משתמש, גיבובי סיסמאות, קובצי CSV עם כל השמות והגרסאות של כל פרויקטי npm הפרטיים שפורסמו, וכן חבילות מלאות של שני ארגונים, ששמם לא נמסר. לדברי GitHub, שום מידע לא שונה או נוסף על ידי התוקף, והמידע הזמין במערכת בטוח לשימוש.

ה-Threat Report הרבעוני של Adobe:  פישינג של משתמשי Office 365 הוא האיום הגדול ביותר על לקוחות החברה

בדוח האיומים הראשון של החברה לשנת 2022 מוצגות מגמות חדשות בעולם הכופרה ובקרב קבוצות תקיפה, בהן נתקלה Adobe במהלך טיפול באירועי סייבר בקרב לקוחותיה. לדבריה, האיום הגדול ביותר על לקוחותיה היה פישינג שכוון נגד חברות, כאשר ב-57% מהמקרים הקורבנות השתמשו ב-Office 365. זאת ועוד, 24% מלקוחות Adobe חוו לפחות ניסיון אחד לביצוע (BEC (Business Email Compromise בסביבת Office 365, כאשר 2% מתקיפות אלה הצליחו לעקוף בהצלחה מנגנוני אימות רב-שלבי (MFA) באמצעות ניצול חולשות של אפליקציות המשתמשות ב-OAuth. לדברי Adobe, ניקוי Sessions ושינוי סיסמאות וטוקני MFA לא יסייעו במקרים אלה, והדרך היחידה להימנע מעקיפת מנגנוני האימות באופן זה היא להסיר את האפליקציות ואת הגישה אליהן, לצד הגבלת משתמשים בהורדת אפליקציות חדשות. מידע מעניין נוסף שעולה מהדוח הוא זה לפיו כ-6% מניסיונות הפישינג שכוונו נגד משתמשי Adobe דרך Okta הצליחו לעבור בהצלחה את מבחן ה-MFA על ידי שליחת בקשות אישור רבות דרך אפליקציית האימות DUO. במילים אחרות, התוקף ״נדנד״ לקורבן בהתראות, עד שקיבל גישה. לדוח המלא של Adobe לחצו כאן.

Verizon מסכמת את מתקפות הדלפות המידע בשנה האחרונה: עלייה של 13% במספר המתקפות, 62% מהמתקפות החלו בשרשרת האספקה

על פי דוח שפרסם צוות ה-(DBIR (Data Breach Investigation Report של החברה, השנה החולפת היתה ״בלתי נשכחת״ בכל הנוגע לעולם פשעי הסייבר, החל ממתקפןת נגד תשתיות סייבר קריטיות, דרך מתקפות שרשרת אספקה ועד למתקפות ממניעים פיננסיים שביצעו קבוצות במימון ממשלתי. הדוח מציג את ממצאי חקירת הצוות בנוגע למידע שדלף במתקפות שבוצעו נגד חברות גדולות, והוא סוקר את הטכניקות השונות ששימשו את קבוצות התקיפה, לצד האופן בו דרכי פעולתן השתנו במהלך השנים. הדוח מבוסס על 23,896 תקריות אבטחת מידע שניתח הצוות, 5,212 מהן אומתו כמתקפות הדלפת מידע. תקוותו של ה-DBIR היא שהדוח המקיף יביא לעלייה במודעות לחשיבות אבטחת המידע בארגונים ויסייע לעובדי חברות להגביר את ערנותם בנושא, נוכח ההבנה מה עלול להתרחש במידה ויקלו בכך ראש. מתקפות כופרה ממשיכות להדגים מגמת התעצמות מתמדת, עם עלייה של 13% במספר המתקפות ביחס לשנה הקודמת. זאת ועוד, על פי הדוח מתקפות על שרשרת האספקה היוו את פתח הכניסה ל-62% מסך המתקפות שנרשמו בשנה החולפת, בעוד שטעויות, ובפרט טעויות קונפיגורציה באחסון בענן, היוו וקטור כניסה לכ-13% מכלל המתקפות שתוצאתן דליפת מידע. 

EnemyBot מרחיב את סל כלי התקיפה שלו על ידי הוספה מהירה של חולשות חדשות שאותרו במרחבי הרשת

EnemyBot, שהתגלה לראשונה ב-Securonix במהלך חודש מרץ כשניסה להוריד קובץ משרתי החברה בשיטות שונות, הינו תוכנה זדונית המופצת על ידי קבוצת ההאקרים החדשה Keksec ומתמקדת במערכות מבוססות Linux ו-Windows ובמכשירים פועלים המחוברים לרשת. נראה כי קוד המקור של הכלי של Keksec, המעסיקה במשרה מלאה או חלקית מפתחים המעוניינים לתרום לפיתוחו ולעדכונו, נצפה גם במאגרי GitHubֿ וזמין לכל דורש. EnemyBot פועל על בסיס בוטים ומנצל חולשות המפורסמות ברחבי הרשת, לרבות חולשות One-day, לשם העצמת יכולותיו. על החולשות המצויות בשימוש הכלי נמנות, בין היתר, שתי חולשות שהתגלו באפריל האחרון, האחת מאפשרת הזרקת פקודות למוצרי Razer Sila והשנייה מאפשרת ביצוע פקודות מרחוק במוצרי VMWare Workspace ONE

הכלי המצוי ב-GitHub מכיל ארבעה חלקים עיקריים:

  1. cc7.py - מודול סקריפט בפייתון המאפשר לכלי ורסטיליות פעולה במערכות הפעלה וארכיטקטורות רשת שונות.

  2. enemy.c - הקוד העיקרי בכלי, המכיל את שאר יכולותיו ואת התמיכה הנדרשת לתקיפה מיוחסת, על ידי ערבוב קודי הבוטים השונים המצויים בו (Mirai ,QABOT ו-Zbot).

  3. hide.c - מודול המופעל ידנית על ידי התוקפים, להצפנת תוכן הקוד.

  4. servertor.c - הקוד שבאמצעותו שולטים התוקפים ומבצעים פקודות במערכות שנפרצו.

מלבד ביצוע סריקות על נכסי הקורבן וחיפוש אחר חולשות רלוונטיות, הכלי מבצע מתקפות מניעת שירות (DDoS) על מערכות ויוצר גישה לשרת C2 המאפשר ביצוע פקודות מרוחקות, ובכך את המשכיות פעולתו והוספת נוזקות נוספות.

מיקרוסופט מפרסמת דרכי התגוננות מפני מתקפת KrbRelayUp LPE במערכת ההפעלה Windows 

המדריך שפרסמה החברה נועד להגנה מפני המתקפה, המאפשרת לתוקפים לקבל הרשאות SYSTEM במערכות מבוססות Windows עם הגדרות דיפולטיביות ולתקוף באמצעות הכלי KrbRelayUp, שפותח על ידי החוקר מור דוידוביץ׳. מאז פורסם הכלי ב-GitHub בחודש אפריל, תוקפים עושים בו שימוש נרחב להעלאת הרשאותיהם בעמדות. לדברי מיקרוסופט, לא ניתן להחיל את הכלי על ארגונים עם סביבת Azure Active Directory בענן, אך ביכולתו להשפיע על סביבות היברידיות של Azure (בהן ה-Domain Controller מסונכרן עם Azure Active Directory). במידה ותוקף משתמש בכלי במכונה וירטואלית ב-Azure עם משתמש מסונכרן, הוא יקבל בה הרשאות גבוהות. המלצות ההתגוננות שפרסמה מיקרוסופט כוללות הגדרה מחדש של ה-LDAP signing וה-LDAP channel binding באמצעות המדריך המצוי כאן, והזנת הערך 0 להגדרת התכונה ms-DS-MachineAccountQuota, על מנת להקשות על התוקף לנצלה.

איומים על טלפונים ניידים  2022: טרויאנים בנקאיים חדשים ו-ODF

ברשומת בלוג שפרסמה חברת ThreatFabric היא מסכמת את האיומים הנוכחיים על מכשירים ניידים, לרבות תובנות אודות העתיד וסביבת המובייל המשתנה. מן הבלוג עולה כי בתחילת 2022 הופיעו כמה טרויאנים בנקאיים חדשים ל-Android המופצים באמצעות אפליקציות Google Play בעלות אלפי הורדות, וכי משפחות של תוכנות זדוניות המסוגלות לבצע (On-Device Fraud (ODF נצפות לעתים קרובות יותר ויותר, מה שהופך למגמה מדאיגה. כדי להמחיש את הסכנה הגלומה במשפחות אלה של תוכנות זדוניות, חוקרי ThreatFabric ביצעו הדגמה של (Automated Transfer System (ATS בו ניתן להשתמש לביצוע ODF. עוד מופיעה ברשומת הבלוג סקירה של העדכונים שפרסמה Google ל-Android 13 על מנת להגן על משתמשים מפני תוכנות זדוניות שמנצלות שירותי נגישות. לדברי חוקרי ThreatFabric, מחלקות בארגונים פיננסיים הפועלות נגד הונאות מתמודדות כעת עם בעיית ה-ODF ההולכת וגוברת, וזקוקות למנגנונים שישקפו להן את נוף הסיכונים המאיימים על לקוחות המוסדות. דבר זה יתאפשר באמצעות התקנה של מערכת לזיהוי תוכנות זדוניות מבוססת Threat Intelligence על מכשירים, אשר תחזה את השינויים בנוף האיומים ומגמות עכשוויות של סיכונים.

״טריק״ להעברת שיחות מאפשר להאקרים לגנוב חשבונות של קורבנות ב-WhatsApp

ראול סאסי, מייסד ומנכ״ל חברת CloudSEK העוסקת בהגנת סייבר באמצעות בינה מלאכותית, הבחין לאחרונה בקמפיין פישינג המתמקד בחשבונות WhatsApp תוך ניצול הפונקציה המאפשרת את העברת השיחות הנכנסות למספר טלפון אחר. בהתבסס על כך שכל חשבון באפליקציית ה-WhatsApp מקושר למספר טלפון, תוקף מתקשר ישירות למספרי הטלפון של המשתמשים ונעזר בטכניקה של הנדסה חברתית על מנת להערים עליהם למסור לו את פרטי חשבונות ה-WhatsApp שלהם, ובכך לאפשר להגדיר העברת שיחות למספר הטלפון של התוקף, ללא ידיעת הקורבן. עם הגדרת העברת השיחות, התוקף מנסה להיכנס לחשבון ה-WhatsApp של הקורבן ובוחר לקבל שיחת טלפון עם סיסמה חד-פעמית (OTP). השיחה מהאפליקציה מועברת למספר טלפון שבבעלות התוקף, אשר מקליד את הסיסמה החד-פעמית על מנת לקבל גישה אל חשבון הקורבן, בו הוא מפעיל מנגנון אימות דו-שלבי (2FA). בכך משלים התוקף את השתלטותו על החשבון.

צוות קונפידס ממליץ להגדיר 2FA בכל אפליקציה, תוכנה ומכשיר, ובמידה וניתן - להימנע ממסירת פרטים אישיים וממענה לשיחות ממספרים שאינם מוכרים או מאזורי חיוג שלא צפויה להתקבל מהם שיחה.

התגלו נוזקות חדשות הרצות על WSL של Windows

בסתיו האחרון זיהה צוות המחקר של Black Lotus Labs איום יוצא דופן: קבצי Linux בינאריים ששימשו כ-Loader במערכת ה-WSL של Windows, שהינה טכנולוגיה המאפשרת הרצת תת-מערכת הפעלה הפועלת בקורלציה עם ה-Windows. מאז התגלית נצפו מספר דגימות של נוזקות המעידות על יכולותיו המתפתחות של איום זה, החל מנוזקות שפותחו בצורה עצמאית לחלוטין ועד למקורות קוד פתוח שנערכו על מנת להתאימם למשטח התקיפה המדובר, עם יכולות פונקציונליות הנעות החל מ-Keylogging ועד להזרקת Shellcode אל תוך הזיכרון. פונקציות אלה אף הצליחו לעבור מנגנוני זיהוי בסיסיים המוטמעים ב-Microsoft Defender. עוד זוהו מספר דגימות של נוזקות המתקשרות עם שרת C&C, טכניקה שביכולתה להישאר ״מתחת לרדאר״ ולהימנע מזיהוי על ידי מערכות אנטי-וירוס.

השבוע בכופרה

NCC Group: בחודש אפריל בוצעו 288 מתקפות כופרה, עלייה מינורית לעומת 283 מתקפות במרץ 

מסקירה שביצע צוות מודיעין הסייבר האסטרטגי של הקבוצה עולה התייצבות במספר קורבנות הכופרה בחודשים האחרונים, דבר העשוי להצביע על כך שקבוצות התקיפה הגיעו לרמת הפעילות האופטימלית שלהן, או לחילופין על כך שהקבוצות הציבו לעצמן רף חודשי עליון. בתוך כך, מספר תקריות הכופרה החודשי ממשיך להיות גבוה מזה שנרשם ב-2021, כאשר בשנה הנוכחית מרביתן התמקדו בחברות תעשייתיות (35%) ובחברות צרכנות (19%), בשיעור שנותר יציב. הדבר מצביע על היותן של חברות אלה יעדים מועדפים לתקיפה, כלל הנראה בשל העבודה שהן בעלות ממשקי עבודה פרטיים וציבוריים נרחבים, דבר המהווה מנוף לחץ לתשלום דמי כופר. מנגד, נתח חברות הטכנולוגיה שנתקפו בכופרה עמד על 10%. זאת ועוד, אמריקה הצפונית ממשיכה להיות היעד המועדף לתקיפה (46%) ואחריה אירופה (33%), דבר העשוי להעיד על המטרות והאידיאולוגיה המנחות את התוקפים. הקבוצות המרכזיות שלקחו חלק בפעילות הכופרה באפריל הן LockBit 2.0 עם 103 קורבנות, Conti עם 45 קורבנות ו-Clop עם 21 קורבנות, אשר זינקה אל המקום הרביעי, לאחר שבחודש מרץ רשמה קורבן אחד בלבד. Clop, כמו LockBit 2.0 ו-Conti, מתמקדת בעיקר במגזרי התעשייה (כ-45% מסך תקיפותיה) ובחברות טכנולוגיה (כ-27% מסך מתקפותיה).

ניו ג׳רזי: מתקפת סייבר משביתה שירותים של רשות מחוזית

נראה כי המתקפה על רשתות רשויות מחוז סומרסט, שהתרחשה ב-24 במאי, השביתה שרתי נתונים ומייל. בהודעה רשמית מטעם רשות המחוז נמסר כי ״שירותים התלויים בגישה למסדי הנתונים של המחוז, כגון נתוני קרקע ושטח, סטטיסטיקות חיוניות ורישומי צוואות, אינם זמינים באופן זמני. ניתן לבצע חיפוש רק אחר נתונים מודפסים עד שנת 1977״. על מנת להבטיח שתושבים יוכלו ליצור קשר עם רשויות המחוז, נוצרו כתובות Gmail זמניות למחלקות קריטיות, בהן נציבות המחוז, בריאות, פעולות חירום, פקיד המחוז ומשרד השריף. שירותים קריטיים כגון משטרה וחירום, כליאה ומשפט נותרו זמינים כרגיל, כיוון שאינם מחוברים ישירות לרשת המחוז. "אנו עובדים במרץ על מנת להבטיח ששירותים חיוניים שהציבור תלוי בהם ימשיכו להיות מסופקים, בהם מיחזור, תחזוקת כבישים ותחבורה לקשישים," אמרה מנהלת מחוז סומרסט, קולין מאהר. "יש לנו מחלקת IT מצטיינת שעובדת מסביב לשעון להערכת המצב, למניעת נזק נוסף, ובסופו של דבר להתאוששות". נכון לשעה זו, לא ידועים מקור ואופן התקיפה, ואם מדובר במתקפת כופרה או השבתה.

ה-CISA, ה-FBI וארגונים נוספים מתריעים מפני קבוצת התקיפה Karakurt

התרעתן של הסוכנות להגנת סייבר ותשתיות, לשכת החקירות הפדרלית וגופים אחרים מכילה מידע אודות קבוצת התקיפה הידועה הסוחטת את קורבנותיה, לרבות מקורה ופרטים כלליים אודותיה, לצד פרטים טכניים המתארים את הטקטיקות והטכניקות בהם היא משתמשת להשגת גישה אל ארגונים ולביצוע מתקפותיה. עוד מפורטים בהתרעה מאפיינים של אופן התנהלותם של התוקפים מול הקורבנות. מהפרסום כי עד ל-5 בינואר השנה ניהלה הקבוצה דף הדלפות תחת הדומיין karakurt[.]group, אך כיום אתר ההדלפות שלה נמצא ברשת האפלה, ובפעם האחרונה שנצפה הכיל מידע בנפח מספר TB של קורבנות מרחבי אמריקה ואירופה, אשר הודלף אל הרשת בעקבות סירובם לשלם דמי כופר. עוד כוללת ההתרעה מזהי תקיפה (IOCs) רבים, בהם דומיינים של שרתי C&C, כתובות מייל, רצפי Hash של כלים בהם השתמשו התוקפים וארנקי ביטקוין אליהם הועברו דמי כופר.

המלחמה במזרח אירופה

 
 

לראשונה: ארה״ב אישרה ביצוע פעולות התקפיות בהמשך לפלישת רוסיה לאוקראינה

לדברי הגנרל פול נקאסוני, ראש פיקוד הסייבר של ארצות הברית, האקרים הפועלים בשורות הצבא האמריקאי ביצעו ״פעולות התקפיות״ בתמיכתה של אוקראינה. ״ביצענו סדרה של מבצעים בכל הספקטרום: פעולות התקפיות ופעולות הקשורות למידע״, מסר נקאסוני בראיון ל-Sky News. למרות שלא סיפק פרטים על הפעולות, הגנרל ציין כי הן עלו בקנה אחד עם החוק ובוצעו תוך פיקוח אזרחי של הצבא. 

סייבר בעולם

 
 

סקר של חברת הביטוח Marsh ומיקרוסופט: 61% מהארגונים רכשו ביטוח סייבר

לאחר שלוש שנות טרנספורמציה דיגיטלית ועלייה חדה במספר מתקפות הסייבר, חברת הביטוח וענקית הטכנולוגיה ביצעו מחקר בארגונים גלובליים, אשר נועד לסייע למנהלי מחלקות ליישר קו ולתעדף את אסטרטגיות הסייבר שלהם החל מ-2022. במחקר נמצא כי בהכנת תכניות סיכוני סייבר 41% מהארגונים עוסקים בתכנון משפטי, תאגידי, פיננסי או תפעולי, או בניהול שרשרת האספקה. לאחר ניתוח תשובות המשיבים לסקר, זוהו שמונה מגמות מרכזיות של סיכוני סייבר: 

  1. בהנחה שכל ארגון מצפה למתקפת סייבר, יש להגדיר יעדים ארגוניים ספציפיים המתאימים לבניית חוסן ומענה במרחב הסייבר, במקום להתמקד במניעה. בכך כלולים גם אמצעי אבטחת סייבר, ביטוח ותכניות תגובה לאירועים. 

  2. כופרה נחשבת לאיום הסייבר העליון מולו ניצבות חברות, אך לא היחיד. איומים נפוצים אחרים כוללים מתקפות הנדסה חברתית (לרבות פישינג), פגיעה בפרטיות ופגיעה בהמשכיות העסקית עקב תקיפה של ספק צד ג׳.

  3. ביטוח הוא חלק אינטגרלי מאסטרטגיית ניהול סיכוני סייבר ומשפיע על אימוץ הבקרות ושיטות העבודה הטובות ביותר. 61% מהנשאלים השיבו שהחברה אליה הם משתייכים רכשה ביטוח סייבר.

  4. יישום של יותר בקרות אבטחת סייבר מוביל לדירוג הגנת סייבר גבוה יותר. רק 3% מהנשאלים דירגו את הגנת הסייבר של החברה אליה הם משתייכים כמצוינת.

  5. ארגונים לוקים בחסר במדידת סיכוני סייבר במונחים פיננסיים, מה שמשפיע על יכולתם לתקשר ביעילות איומי סייבר ברחבי הארגון. רק 26% מהנשאלים טענו שהארגון אליהם הם משתייכים משתמש באמצעים פיננסיים למדידת סיכוני סייבר.

  6. על אף שסדרי העדיפויות בנוגע להוצאות משתנים מארגון לארגון, ההשקעה המוגברת בהפחתת סיכוני הסייבר נמשכת. 64% מהמשיבים אמרו שהמניע העיקרי לגידול בהשקעה בהתמודדות עם סיכוני סייבר היה מתקפת סייבר שחוו.

  7. יש לבצע הערכת סיכונים ולנטר טכנולוגיות חדשות באופן רציף, לא רק בשלב הבדיקה הראשוני המתבצע לפני הטמעת מוצרים. 54% מהחברות אמרו שהן אינן מבצעות הערכות סיכונים של טכנולוגיות חדשות מעבר לשלב היישום הראשוני.

  8. על אף שחברות עוסקות באבטחת סייבר, הן מתעלמות באופן נרחב מהסיכונים הטמונים בשרשרת האספקה שלהן. רק 43% מהמשיבים אמרו שביצעו הערכה לסיכוני שרשרת האספקה של החברה.

האקר אנונימי גנב מסד נתונים של מאות עובדי חברת Verizon

המסד כולל שמות מלאים, כתובות מייל, מספרי זיהוי ארגוניים ומספרי טלפון. בשבוע שעבר יצר ההאקר קשר עם Motherboard לשם שיתוף המידע, וסיפר כי השיג את הנתונים על ידי ששכנע עובד ב-Verizon להעניק לו גישה מרחוק למחשב ארגוני. הדבר איפשר לו לגשת לכלי פנימי של החברה המציג מידע אודות העובדים ולכתוב סקריפט לייצוא מסד הנתונים. "העובדים האלה הם אידיוטים ויאפשרו לך להתחבר למחשב האישי שלהם תחת מסווה של עובד תמיכה פנימי", אמר ההאקר ל-Motherboard בצ'אט מקוון, ואף שיתף מייל שבאמצעותו פנה ל-Verizon בדרישה לתשלום של 250,000 דולר תמורת אי-פרסום המידע. דובר החברה אישר שההאקר עמד עמם בקשר, אך ציין כי הם אינם מאמינים לטענותיו לפיהן יש בידיו מידע רגיש, ולכן אין בכוונתם לדון עמו בנושא. "כמו תמיד, אנו מתייחסים ברצינות רבה לאבטחת המידע ב-Verizon, ויש בידינו אמצעים חזקים להגנה על האנשים והמערכות שלנו", כך נמסר מטעם החברה. למרות שמסד הנתונים לא כלל מידע כגון מספרי תעודת זהות, סיסמאות או מספרי כרטיסי אשראי, המידע שנגנב עלול לשמש לפריצה לחברה באמצעות הנדסה חברתית ומתקפות החלפת סים (SIM swapping).

אנגליה: קבוצה המזוהה עם המשטר האיראני ביצעה מתקפת DDoS על נמל לונדון

ב-24 במאי דווחה חברת ״נמל לונדון״ (PLA) על כך שנפלה קורבן למתקפת מניעת שירות על אתריה. חברת Check Point, שחקרה את האירוע, מצאה כי קבוצת ההאקרים ALtahrea Team, המזוהה עם המשטר האיראני, היא העומדת מאחורי המתקפה. בעבר תקפה הקבוצה נמלים וערוצי טלוויזיה ישראליים, את פלטפורמת המסחר של הנאסד״ק ואתרים טורקיים. מחברת ״נמל לונדון״ נמסר כי מערכותיה התפעוליות לא נפגעו. להלן הודעות החברה וקבוצת התקיפה.

                     (@Port of London Authority, 24.5.22 :מקור)                                (@ALtahrea Team, 23.5.22 :מקור)

ה-FBI חושף: בשנה שעברה סוכל ניסיון תקיפת סייבר איראני של בית חולים לילדים בבוסטון

ראש לשכת החקירות הפדרלית (FBI) כריסטופר ריי מסר ב-1 ביוני כי האקרים העובדים עבור ממשלת איראן ביצעו ניסיון פריצה למערכות המחשוב של בית החולים, המהווה את אחד ממרכזי רפואת הילדים הגדולים בארצות הברית. ניסיון הפריצה, שהתרחש ביוני 2021, התבסס על ניצול של תוכנה מתוצרת Fortinet להשגת שליטה על רשת המחשוב של הארגון. ואולם המתקפה, שמטרתה הסופית אינה ידועה, נבלמה בעקבות מידע שהתקבל משותפים בקהילת המודיעין של ה-FBI. לדברי ג׳וזף בונאוולונטה, הסוכן המיוחד האחראי על משרד ה-FBI בבוסטון, לא נפרסו כופרות בשטח בית החולים. עוד אמר בונאוולונטה כי ״הצלחנו לעבוד עם בית החולים מבעוד מועד על מנת לצמצם את האיומים הפוטנציאליים הנוספים הקשורים לרשת״. קריסטן דאטולי, דוברת בית החולים, ציינה כי ״הודות לעבודה משותפת ל-FBI ולצוות בית החולים לילדים, סיכלנו באופן יזום את האיום על הרשת שלנו״. בתוך כך, שהרוך נזמי, דובר נציגות איראן באו״ם, כינה את טענות ה-FBI ״האשמה חסרת בסיס״ ו״דוגמה ללוחמה פסיכולוגית נגד איראן״.

אחרי Conti הגיעה Hive: מוסד הביטוח הלאומי של קוסטה ריקה תחת מתקפה

בהמשך להכרזה על מצב חירום לאומי בקוסטה ריקה בעקבות מתקפתה של קבוצת התקיפה Conti על מספר גופי ממשל במדינה (ראו ״הסייבר״, 12.5.22 ו״הסייבר״, 19.5.22), ארגון הביטוח הלאומי של קוסטה ריקה (CCSS) הודיע ב-31 במאי בפרסום רשמי בטוויטר כי הוא חוקר מתקפת סייבר על המוסד, וכי ייתכן ולא דלף מרשתותיו מידע אודות מיסים ורישומים בריאותיים של אזרחי המדינה. בתוך כך, עובדי הארגון דיווחו כי הונחו לכבות את עמדות העבודה שלהם ולנתקן מהרשת, אחרים אף העלו לרשתות החברתיות סרטונים המראים את המדפסות במקום עבודתם מדפיסות מספר רב של דפים המכילים תווי ASCII. בשעה זו ידוע כי צוותים טכניים עובדים על השבת המערכות לפעולה תקינה, אך לא ברור אם מתקפה זו תסתיים בקרוב. על פי מגזין אבטחת המידע BleepingComputer, שעורכיו צפו במכתב כופר שיועד לארגון, קבוצת התקיפה Hive היא העומדת מאחורי הפריצה.

סייבר בישראל

 

סוכנות הידיעות הפרסית ״פארס״: חמישה אנשי עסקים ישראלים על כוונת ״משמרות המהפיכה״

הפרסום של סוכנות הידיעות מגיע על רקע חיסולו של חסן סייד חודאי, בכיר ב״משמרות המהפכה״ האיראניות, פעולה המיוחסת לישראל. על פי הדיווח, חמשת היעדים, שכונו ״שכירי החרב של המשטר הציוני הזמני״, הם אנשי ביטחון ומודיעין שצברו את ניסיונם באגף המודיעין ועברו לשוק האזרחי. בכתבה הופיעו תמונותיהם של אנשי העסקים עם פרטים מדויקים על בני משפחותיהם וכתובות מגוריהם ומקומות עבודתם, כל זאת לצד מסר מאיים, לפיו עליהם "לחיות בסתר". החמישה המוזכרים בפרסום הם עמוס מלכא, ראש אגף המודיעין לשעבר, עמיר לוינטל, מייסד ומנכ"ל חברת הסייבר Cylus, גל גנוט, בוגר יחידת 8200 ומנהל חברת ההכשרות ״אנליזה״, ענבל אריאלי, מייסדת חברת ההייטק Synthesis, ועמית מלצר, עליו נכתב כי הוא מומחה בתחום טכנולוגיות הסייבר ההגנתי. לטענת האיראנים, מצוי בידיהם מידע רב ומפורט על אנשים אלה ובני משפחותיהם, לרבות תמונות וסרטונים, צירי תנועה, מספרי טלפונים נייחים וניידים, תיבות דואר ומידע נוסף הקשור למקורביהם.

סייבר ופרטיות - רגולציה ותקינה

 

קנס בסך 150 מיליון דולר הוטל על טוויטר בגין הפרת זכויותיהם של נושאי מידע

ב-25 במאי הגיעה חברת טוויטר להסדר פשרה עם משרד המשפטים האמריקאי ונציבות הסחר הפדרלית, לפיו תשלם קנס אזרחי בסך 150 מיליון דולר, בעקבות טענותיהם של גורמי ממשל לפיהן היא ביצעה שימוש לרעה במידע פרטי של משתמשים בין השנים 2013-2019. שימוש זה כלל איסוף מספרי טלפון וכתובות מייל של יותר מ-140 מיליון משתמשים, לכאורה למטרות של אבטחת חשבונותיהם. בפועל, טוויטר השתמשה במידע גם לשם התאמה אישית של פרסומות למשתמשים, דבר שבגינו הגיש נגדה הממשל האמריקאי תלונה, בטענה שהפרה את חוקי ועדת הסחר הפדרלית על ידי הצגת מצג שווא של האופן בו החברה שומרת ומגנה על פרטי הקשר הפרטיים של משתמשיה. עוד נטען שטוויטר מפרה את הסכמי הגנת הפרטיות שנחתמו בין ארצות הברית לאיחוד האירופי, וכן את ההסכם שנחתם בין ארצות הברית לשוויץ, האוסרים על עיבוד מידע אישי באופן שאינו תואם את המטרות שלשמן נאסף. אילון מאסק התייחס לפרשה בציוץ בטוויטר, בו אמר ש"אם טוויטר אינה דוברת אמת בסיפור הזה, מה עוד אינו אמיתי?", והוסיף כי מדובר ב"חדשות מטרידות מאוד". מלבד תשלום הקנס, ההסדר יחייב את טוויטר ליישם תכנית מקיפה בנושא פרטיות ואבטחת מידע לשם שמירה על מידע של המשתמשים, ולהודיע על ההפרה למשתמשים שייתכן והושפעו מהמעשים. 

Meta עדכנה מדיניות הפרטיות של החברה על מנת להפוך אותו לנגיש יותר

לדברי החברה העדכון, שפורסם בסוף חודש מאי, נועד "להפוך את האופן בו החברה משתמשת במידע אודות המשתמשים לברור יותר". המדיניות החדשה תחול על פייסבוק, על אינסטגרם, על המסנג'ר ועל מוצריה האחרים של Meta, למעט אפליקציית ה-WhatsApp, והיא תיכנס לתוקף החל מה-26 ביולי 2022. בתוך כך, Meta מדגישה כי למדיניות האמורה לא נוספו שימושים חדשים במידע האישי של משתמשי הפלטפורמות, אך מצהירה מפורשות כי היא אוספת מידע אישי גם מאנשים שאין להם חשבון בפייסבוק. עוד מציינת Meta כי היא מחויבת להודיע על כל שינוי נוסף שיתבצע במדיניותה. אין זו הפעם הראשונה בה פייסבוק מנסה להפוך את מדיניות הפרטיו שלה לברורה ונגישה יותר, כפי שעשתה בעבר ב-2014 וב-2018, למשל. בנוגע לעדכון האחרון אמר ג'ון דוידסון, היועץ הבכיר של מרכז המידע לפרטיות אלקטרונית, שלמרות שעל פניו הודעתה של Meta נשמעת חיובית, בפועל פייסבוק כבר מעבירה מידע על משתמשים לאקוסיסטם פרסומי בקנה מידה עצום, ולכן הסטטוס קוו כשלעצמו ״איננו טוב״. יצוין כי Meta אכן מצהירה על שימושה במידע אישי של משתמשים לביצוע התאמה אישית של פרסומות. עוד הסביר דוידסון כי "אין זה מציאותי" לחשוב שמשתמשי פייסבוק יוכלו להבין למה הם נותנים את הסכמתם בנוסח הסכם מורכב הכולל 9,000 מילים. במקביל, Meta עדכנה גם את תנאי השימוש והשירות שלה, שעל בסיסם היא מוחקת חשבונות משתמשים המפירים את מדיניות הקהילה וחוקים אחרים או פוגעים בקניין רוחני. לדברי החברה, חלק מהשינויים בתנאי השימוש והשירות תואמים את העדכון שבוצע במדיניות הפרטיות וכוללים מידע נוסף בנוגע למחיקת תוכן. 

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלמה תורגמן, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנה, עמרי סרויה, עדי טרבלסי וגיא פינקלשטיין.