עמותה שנלחמת בהונאות שלחה בטעות מייל שחשף עשרות אנשי ביטחון

תמונה: Dreamstime

רוב האנשים שומעים "דליפת מידע" וחושבים על סיסמאות, כרטיסי אשראי או מסמכים סודיים. אבל לפעמים, דווקא הדברים הקטנים הם אלו שיכולים לגרום לנזק האמיתי. תסתכלו למשל על כתובת המייל הארגונית, בסך הכל נתון בודד ויחסית קטן, אבל בואו תראו כמה היא דברים היא חושפת.

קודם כל היא חושפת את השם של המשתמש, מכיוון שרוב מוחלט של הארגונים בונה את תיבת המייל על שם העובד. במקרים בהם יש יותר מעובד אחד עם אותו שם פרטי, הכתובת יכולה להכיל גם את שם המשפחה. כמובן ששם החברה מופיע בכתובת, אז כבר כעת תוקף יודע את שמכם ואת מקום עבודתכם. עכשיו תחשבו על סיטואציה שבה תוקף מקבל רשימת כתובות מייל ארגונית עם עשרות מיילים של עובדים באותה החברה. עם מספיק מידע אפשר לבנות קמפיינים מתוחכמים של הנדסה חברתית, התחזות או פישינג ממוקד.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

דווקא בארגון שהתחייב לשמור על פרטיות

ועכשיו בואו תשמעו מה קרה ל-Cifas, עמותה בריטית שמציגה את עצמה כמי שעומדת בחזית המאבק בהונאות פיננסיות ברשת, אך שלחה בטעות מייל שחשף עשרות כתובות של גורמים רגישים ובהם מומחי אבטחה, יועצים, עובדים בגופים ממשלתיים וארגונים פיננסיים.

בעמותה רצו להזמין את השותפים שלהם לאירוע שהתקיים בשבוע שעבר ועסק באפליקציית החברה JustMe, שמאפשרת למשתמשים לבדוק אם מישהו מנסה להתחזות אליהם ברשת ולאמת בקשות שהוגשו בשמם. על פי דיווח של The Register, ההזמנה נשלחה באוגוסט, אבל מי שהפיץ את המייל מטעם Cifas שכח לבצע פעולה פשוטה במיוחד: להעביר את ההעתקים להזמנה ב-BCC (עותק נסתר).

זה לא משהו חסר תקדים, כל אדם שנאלץ לשלוח מייל בתפוצה רחבה מכיר את הטריק וכנראה שאם עשיתם את זה פעם או פעמיים בחייכם, גם לכם יצא להתבלבל ולשלוח את ההודעה בתפוצה גלויה ולא נסתרת. אבל בבריטניה, רשות הגנת הפרטיות (ICO) מתייחסת לכל כתובת מייל כנתון אישי ולכן אוסרת על הפצת הודעות תפוצה בהעתקים גלויים. במקרה של טעות, הארגון צריך לדווח תוך 72 שעות, אלא אם הוא משוכנע שהסיכון לפרטיות נמוך. לטענת ה-ICO אגב, "שימוש לא נכון בשדה BCC הוא אחד מסוגי ההדלפות הנפוצים ביותר שמדווחים לנו מדי שנה".

חצי מיליארד הודעות בשעה

זו כמובן לא הפעם הראשונה שהודעת תפוצה שמועברת במייל גורמת לבעיות. בשנת 2016 תקלה בשירות המייל של ה-NHS גרמה לשליחה של 500 מיליון הודעות דוא"ל ברחבי הרשת של שירותי הבריאות הבריטי וכל זה תוך 75 דקות בלבד.

בתקלה ההיא, שלא באמת שעשעה אף אחד, עובדת חשבה שהיא שולחת מייל בתפוצה מקומית שהיא יצרה, אך בטעות שלחה את ההודעה ל-850 אלף משתמשים עם כתובת מייל של NHS. ההודעה עצמה הייתה ריקה, עם שורת נושא פשוטה: “test”. הבעיה הגדולה התחילה כש-80 אנשים השיבו בדרישה שיסירו אותם מרשימת התפוצה, רק שהם ענו ב-Replay all.

על פי דו"ח רשמי שנכתב בעקבות האירוע, התקלה הייתה בהגדרות התוכנה, המערכת יישמה בטעות את החוק "All England" – כלומר, שלחה את ההודעה לכל משתמשי NHS באנגליה במקום רק לרשימת התפוצה של הסניף המקומי. המנהלת שבסך הכל רצתה לשלוח מייל לעובדים שלה לא הייתה יכולה לדעת שהדבר קרה.

באותו הזמן, על פי חלק מהדיווחים נרשם עיכוב של עד לשלוש שעות בשליחת הודעות מייל זאת מאחר וחצי מיליארד הודעות זרמו דרך רשת NHS באותו הבוקר, לעומת חמישה מיליון מיילים בתעבורה היומית הרגילה.

המקרים האלה אולי נשמעים מצחיקים אבל עבור ארגונים, הם בעיקר תזכורת. תזכורת לכך שדליפת מידע לא תמיד נובעת מפריצה, אלא לפעמים פשוט מטעות אנוש. תזכורת לכך שכלי כמו דוא"ל, שהוא כביכול יומיומי ובסיסי, עדיין דורש הכשרה, מדיניות ברורה ובקרות. ובסוף, זו גם תזכורת לעובדה הפשוטה: אף ארגון לא חסין מתקלות מביכות ובינתיים אם קיבלתם מייל שנראה לכם חשוד – אנחנו מזכירים לכם שהכי חשוב לא למחוק אותו אלא לסמן כספאם.