בלעדי: מכללת ספיר נפרצה – מאגרי נתונים נגנבו

אבטחת מידע וסייבר

שתפו את הכתבה:

בלעדי: מכללת ספיר נפרצה ומאגרי המידע המלאים אודות הסטודנטים נמצאים בידי ההאקרים, המציעים אותם למכירה למרבה במחיר.

על אף התעניינות חלשה מצד התקשורת הישראלית, מדובר באחד מאירועי הסייבר החמורים ביותר שידעה המדינה. בימים האחרונים קיבלו סטודנטים במכללת ספיר הודעת SMS באנגלית המודיעה על כך שמכללת ספיר נפרצה, ובעקבות התעניינות דלה בנושא פורסמו מספר כתבות שטחיות על כך. במכללה טענו בתגובה כי "אגף המחשוב במכללה בקשר ישיר מול מערך הסייבר הישראלי, נכון לרגע זה לא נפגעו המערכות והנושא בשליטה". כמו כן באתר המכללה פורסמה הודעה בזו הלשון: "אנחנו מבקשים לחדד ולהרגיע: הפריצה לרשת המכללה בטיפול אגף המחשוב במכללה ומומחה מקצועי שהפעלנו להתמודדות עם האירוע, תוך שמירה על קשר רציף וליווי של מערך הסייבר הישראלי. עד כה, לא נמצאו עקבות לפריצה במערכות מידע רגישות או לחשבונות אישיים" (ההדגשה במקור).

למרות ההודעות המרגיעות מטעם מכללת ספיר, יש בידינו עדויות לכך שלא רק שנפרצו מערכות מידע רגישות וחשבונות אישיים, הפורצים – קבוצה המזדהה בשם SANGKANCIL, הצליחו לחדור אל תוך ליבת מערכות המידע של מכללת ספיר ומחזיקים בנתוניהם האישיים של כל הסטודנטים במכללה (לא ידוע כרגע האם סטודנטים נוכחיים או גם בעבר), אלא גם בשמות משתמש וסיסמאות לכל החשבונות של הסטודנטים בתוך המכללה (לכל סטודנט שם משתמש וסיסמה איתם הוא יכול להעלות את הנתונים שלו מכל מחשב במכללה, וגם לגשת לחשבון Gmail סטודנטיאלי). למעשה, לפורצים הייתה או שעדיין יש גישה מלאה לאותם חשבונות דואר אלקטרוני, בהם הסטודנטים פועלים במסגרת המכללה וגם מחוצה לה.

לפורצים הייתה גישה מלאה כאמור ללוח הבקרה האישי של כל סטודנט, ובו מידע אישי, טפסים, ציונים וכל מאגר המסמכים של אותו סטודנט כולל עבודות וייתכן שאף קבצים אישיים רגישים שאוחסנו על גבי השרתים של מכללת ספיר.

לא רק זו ועוד – לפחות באחד המחשבים להם לפורצים יש גישה מותקנת תוכנת הנהלת חשבונות "רווחית", שבה עלולים להיות מאגרי מידע יותר אישיים אודות הסטודנטים, "משכורת טריו" ו-"מכפל" לניהול תלושי שכר לעובדים. הבהרה חשובה בעניין זה היא כי לא ברור האם אותו מחשב אשר הוצג על ידי הפורצים משמש את המכללה או את אחד הסטודנטים לניהול עסק פרטי ואינו קשור למכללה, אך יש לציין כי בעדות שפרסמו הפורצים נראה שבאותו מחשב מאגרי נתונים (SQL) אודות הסטודנטים. כמו כן פרסמו הפורצים תמונות של תעודות זהות ומסמכים אישיים שלכאורה שייכים לסטודנטים במכללת ספיר, ובשלב זה לא ברור האם לפורצים הייתה גישה למספרי כרטיסי אשראי של הסטודנטים כחלק מבסיס הנתונים או בצילום.

הפורצים השיגו גישה להנהלת החשבונות של מכללת ספיר?

על פי הסרטונים והעדויות שפורסמו על ידי הפורצים, הם הצליחו להשיג גישה לניהול מרחוק של כל מחשבי המכללה, וכך למעשה יכלו להשיג קבצי בסיסי נתונים, מידע אודות הסטודנטים והמרצים, וככל הנראה מידע נוסף שעדיין לא פורסם. יש לציין כי הכתבה הראשונה בנושא פורסמה ביום שישי 29/07 על ידי תמיר סטיינמן ב-N12 ובמכללת ספיר הוציאו הודעה ראשונה אודות אירוע הסייבר באתר המכללה ביום שבת 30/07, אך על פי עדויות שפורסמו על ידי הפורצים, חלק מהמחשבים שנפרצו הודבקו בזדון בתוכנת כופרה וכמו כן פורסמה בהם ההודעה הבאה: "השגתי יותר מידע ממכללת ספיר, אין לי יותר צורך בגישה. גם אם תמנעו את הגישה שלי, זה לא יהיה לטובתכם. מעכשיו, תיזהרו לגבי החומרה שלכם גם". באם אכן הודבקו המחשבים בכופרה וכמו כן פורסמה הודעה זו במחשבים, ככל הנראה במכללת ספיר ידעו על כך לפני כן ולא דווחו על כך עד שהסטודנטים קיבלו הודעת SMS מהפורצים עצמם.

בשלב זה הפורצים, הידועים בכינוי SANGKANCIL, פתחו במכרז למכירת כל המידע אשר ברשותם בעלות התחלתית של 5000$, ומבקשים תשלום באמצעות ביטקויין. בעבר פרסמה הקבוצה כי חדרה אל תוך מספר "רשתות מקומיות ישראליות" וגם במקרה הזה פרסמה צילומי תעודות זהות, רשיונות רכב ומסמכים נוספים. על פי הדיווח ב"טיימס אוף ישראל", מדובר בפריצה לאתר התשלומים CITY4U. השם "SANG KANCIL" לקוח מאגדת עם מסורתית פופולרית באינדונזיה ומלזיה, מה שעלול להצביע על המקור של הפורצים.

מהמכללה האקדמית ספיר נמסר בתגובה: "הידיעה מציגה תמלול של מצג שפורסם על ידי הפורצים. על פי מיטב בדיקתנו המידע כולל מידע רב שאינו קשור למכללה או לסטודנטים שלה. מיד עם גילוי הפרסום, המכללה פעלה עם מומחים מטעמה, בשיתוף עם מערך הסייבר, לתחקור האירוע והקשחת מערכות המידע. האירוע עדיין בתחקיר".