פריצת הסייבר ל-Voicenter מכעיסה בגלל מה שמתגלה כעת בלי מחקר עומק

פריצת הסייבר ל-Voicenter מכעיסה בגלל מה שמתגלה כעת בלי מחקר עומק
מאת: מערכת Telecom News, 21.9.21, 21:22

צילום וידאו, שמראה את פנים החברה, את העובדים במהלך יום עבודה, מעיד על יכולת ההאקר לשוטט בין המערכות ותחנות העבודה השונות, שככל הנראה, לא הוגדרו בהן, לכל הפחות, סיסמאות שונות והרשאות גישה נפרדות.
עדכונים בתחתית הכתבה. עדכון אחרון: 18.10.21
 
קבוצת ההאקרים Deus הכריזה אתמול על פריצת מאגר המידע של חברת וויסנטר ביום שישי 17.9.21, חברה המספקת שירותי טלפוניה לחברות כמו פרטנר, אקספון, סימילר ווב, מייהריטאג', צ'ק-פוינט, אול-ג'ובס, גט טקסי, מובילאיי ועוד, והציעה למכירה מידע בנפח 15 טרה-בייט, לאחר שסכום הכופר הנדרש בביטקוין  סביב 5 מיליון ש"ח לא שולם.

בערוץ טלגרם של ההאקרים, הם כבר הדליפו שיחות מוקלטות עם לקוחות, לצד מידע אישי בהיקף עצום. הקבוצה פרסמה שם מסמכים של לקוחות, שיחות טלפון מוקלטות, התכתבויות במיילים ובוואטסאפ עם מידע פנימי רב, צילומים אישיים ומשפחתיים של עובדים והקלטות ממצלמות ווידאו המותקנות בתוך משרדי  החברה. נראה, שמדובר בפריצה גדולה ותר מזו שפגעה בחברת הביטוח שירביט בסוף 2020.
 
עינת מירון, (בתמונה למעלה), מומחית Cyber Resilience להערכות והתמודדות עם סיכוני סייבר עסקיים:

"לצערי, לא לומדים פה כלום. עד שלא נראה עוד חברה שתקרוס בגלל מתקפת סייבר ומי יודע כמה עוד, כנראה ששום דבר לא באמת ישתנה כאן.

האירוע ב-Voicenter מכעיס בגלל הדברים, שמתגלים כבר עכשיו, גם בלי לתחקר אותו לעומק. בעיקר מעלה האירוע הזה שאלות לגבי מידת המעורבות של הנהלת הלקוח בהבנת סוג המידע ועצם הגישה, שהיא מאפשרת לספקי צד ג'.

מדוע מלכתחילה מתאפשר לספק לשמור אצלו מידע של לקוחותיו? מה עושה הלקוח כדי להבטיח, שהמידע שהוא מספק לספק לטובת עבודתו, אכן מוגן בצורה המיטבית?

העובדה, שצילומי המסך (אנו מכירים רק את אלה שנחשפו, מבלי לדעת מה עוד יש בידי התוקף) הם מחודש יוני (חודשיים לפני חשיפת מימוש המתקפה), לכשעצמה, מעלה שאלות קשות לגבי היכולת של החברה לזהות חריגות ברשת שלה עצמה.

בנוסף, צילום וידאו, שמראה את פנים החברה, את העובדים במהלך יום עבודה, מעיד על היכולת של התוקף לשוטט בין המערכות ותחנות העבודה השונות, שככל הנראה לא הוגדרו בהן, לכל הפחות, סיסמאות שונות והרשאות גישה נפרדות.

משך הזמן, שבו שהה התוקף, איפשר לו להוציא מידע רב מאוד בתהליך שלא נוטר ולא זוהה, דבר המעלה שאלה לגבי נוכחות מערכת למניעת דלף מידע ובכלל לכל הנוגע לניהול הרשאות, תהליכים והנחיצות האמיתית שלהם.

ניואנס ששמו לב אליו בקבוצות הדיון מתייחס לתאריך של שניים מהקבצים (26.6 ו-3.7), שמעידים על ביצוע צילום המסך בימי שבת, דבר שלכשעצמו מעיד על העדר ניהול של תפקוד תחנת עבודה, שלכאורה, אמורה הייתה להיות כבויה ונעולה בסיסמה.

רק מהליקויים שצוינו כאן ניתן להסיק לבד, גם בלי מומחה להערכות והתמודדות עם סיכוני סייבר עסקיים' מה ניתן וצריך היה לעשות אחרת.

מצער מאוד, שמנהלים בוחרים ביודעין להמשיך ולהתעלם מהסיכון ולא לוקחים אחריות על טיוב התהליכים הפנים ארגוניים שלהם רק בשל המחשבה שאצלם זה לא יקרה או בגלל שהם מאמינים שתקן ISO או כל יישום רגולציה אחרת נותן להם מענה".
 
עדכון 22.9.21: לאור הניתוח שיש כאן מעל, שלחתי ביום 21.9.21 את השאלות הדחופות הבאות לצמרת משרד התקשורת (שר, מנכ"לית):
"הנדון: בהמשך לאירוע הסייבר ב-Voicenter.
שלום רב,
1. על פי הניתוח שיש כאן [למעלה] (לאור הפרסומים על הפריצה הענקית לשרתי חברה ישראלית), ממומחית סייבר מובילה בישראל – עינת מירון, חברת Voicenter (שהיא בעלת רישיון תקשורת ממשרד התקשורת) זלזלה בצורה מחפירה בכל הקשור בתחום הסייבר והגנה על לקוחותיה.

2. מה בדעת משרד התקשורת לעשות בעניין חברה זו?

3. מה בדעת המשרד לעשות כדי שזה לא יקרה בעתיד בשום חברת תקשורת אחרת?

4. אודה להתייחסותכם."

תגובה טרם קיבלתי. ככל שאקבל תגובה, אעדכן בהתאם. קוראינו כבר יודעים, שתגובה לא אקבל, די ברור למה. 

משרד התקשורת פרסם הודעה לציבור כאן בזו הלשון: "על רקע האיומים ממדינות עוינות, משרד התקשורת מתכוון לחייב את חברות התקשורת לספק הגנה ממתקפות סייבר". נראה, שבינתיים זה רק ספין. 

לא רק שמתעלמים משאלותיי, כאילו הבעיה תיעלם אם לא משיבים לי (בניגוד לחוק), יחידת הדוברות של משרד התקשורת גם מקבלת תוספות שכר נאות - 20% תוספת שכר למשכורת החודשית, רק בגלל שלא עונים לי.

את העובדה המדהימה, הבלתי תיאמן והמזעזעת הזו, חשפתי בכתבה: "איך מקבלים תוספת שכר באי מענה לשאלות של אבי וייס? סודות מש' התקשורת".

לסיכום:
רק החלפת כל צמרת משרד התקשורת באנשים מקצועיים וישרי דרך, שרק האינטרס הציבורי עומד מול עיניהם, תציל (אולי) את שוק התקשורת של ישראל, מהתחתית העמוקה שהשוק נפל אליה, בגלל מנהלים כושלים ומכשילים ורגולציה מוטעית מיסודה, שבה "איש הישר בעיניו ייעשה".

כמובן שיש צורך בהקמת "רשות לתקשורת", אבל זה לא יקרה בקרוב (או בכלל).
 

עדכון 7.10.21: עמי רוחקס דומבה מ-Israel Defence פרסם כאן (כותרת בלבד): "דיווח: כשל אבטחה נוסף בחברת טלפוניה ישראלית - הפעם בחברת Callbiz.
שני המקרים המדווחים בישראל (Voicenter ו-Callbiz) מצטרפים למקרים דומים בבריטניה. ניתן להעריך כי חברות אלו, מטבען, מכילות מידע עסקי ופרטי רגיש."

עדכון 10.10.21: 
עדכון 18.10.21: בניגוד לפוסט האופטימי הנ"ל מ-10.10.21, ההאקרים פרסמו היום קבצים הכוללים מאות הקלטות של שיחות טלפון ממוקדי שירות/מכירות של חברות ומוסדות שונים, כמו Etoro, מובילאיי, Gett, אול ג'ובס, Golf&Co, ליאנטק, טבעלייף, 10bis, מכללת Hackeru, לב טוב בנייה והשקעות, ועוד. השיחות חושפות את לקוחות החברות בשמותיהם ומספרי הטלפון שלהם. ייתכן, שפרסום ההקלטות מצביע על אי הסכמה במידה והיה מו"מ.