האקרים פרצו לשרת הדואר של דלויט. החברה בתגובה:"מספר לקוחות קטן נפגע"

 IsraelDefense

האקרים הצליחו לפרוץ לשרת דואר אלקטרוני של חברת דלויט, כך לפי פרסום של krebsonsecurity. לפי הפרסום של קרבס, החקירה סביב הפריצה עדיין נמשכת, וככל הנראה, מדובר בפריצה גדולה יותר מאשר החברה מוכנה להודות.על פי ההודעה הרשמית של דלויט: "רק מעט מאוד לקוחות הושפעו ולא אירעה הפרעה לעסקי הלקוחות, או ליכולתה של דלויט להמשיך לשרת לקוחות או לצרכנים".

אולם, קרבס, על בסיס מקור אנונימי המקורב לחקירה, מפרסם כי "הפריצה מתוארכת חזרה לפחות לסתיו של 2016, והיא כרוכה בפריצה של כל חשבונות האדמין בחברה, כמו גם כל מערכת הדוא"ל הפנימי של Deloitte", כותב קרבס.

ה-theguardian.com שפרסם ראשון את דבר הפרשה, טוען כי ההאקרים הצליחו לגנוב פרטי לקוחות. "הגארדיאן מבין כי ללקוחות Deloitte על פני כל המגזרים האלה היה חומר במערכת הדוא"ל של החברה שנפרצה. החברות כוללות שמות פרטיים וכן מחלקות ממשלתיות בארה"ב.

"[...] בנוסף להודעות דוא"ל, הגארדיאן מבין כי להאקרים היה פוטנציאל גישה לשמות משתמש, סיסמאות, כתובות IP, דיאגרמות מבנה של עסקים ומידע בריאותי. בכמה הודעות דוא"ל היו קבצים מצורפים עם מידע אבטחה ועיצובי רגיש".

קרבס מוסיף כי על פי המקור שלו, אדם עם ידע ישיר על האירוע, החברה למעשה לא יודעת בדיוק מתי התרחשה הפריצה, או כמה זמן האקרים היו בתוך המערכות שלה.

נזכיר כי דלויט היא אחרת מארבעת החברות הגדולות בעולם לראיית חשבון. החברה מגלגלת 37 מיליארדי דולרים בשנה ומעסיקה מעל ל-240000 עובדים ברחבי העולם. המידע שהחברה מחזיקה יכול לשמש את ההאקרים, אם אכן דלף, לביצוע מספר רב של פעולות המשך. ביניהן, מכירת המידע (לשירותי ביון / משפחות פשע), לביצוע התקפות כופר על עובדי או לקוחות החברה.

כמו כן, מידע לגבי החברה אם דלף, יכול לשמש את ההאקרים לביצוע התקפות חשאיות בעתיד כנגד החברה. אם התוקף יודע את תהליכי העבודה, הוא יכול לבנות תשתית תקיפה חשאית שיהיה מאד קשה לגלות אותה. מכיוון שדלויט חברה ענקית, ופועלת בעשרות מדינות, יהיה קשה מאד לחברה לשנות את מערך ה-IT והאבטחה ביום אחד. זה תהליך שייקח הרבה מאד זמן, היות והחברה לא רוצה לפגוע בשירות השוטף המוענק ללקוחותיה. ראינו זאת בעבר בארגונים כמו OPM ששנים אחרי הפריצה עדיין לא יישמו את כלל ההמלצות לתיקון.

פרסום עדכני של theregister.co.uk מגלה כי עובד של דלויט העלה לחשבון הגוגל פלוס שלו נתוני כניסה לשרת הפרוקסי של החברה. הנתונים היו שם מספר חודשים. נתונים אחרים עם פרטי כניסה באמצעות VPN לשרתי החברה פורסמו ב-GitHub. חוקר אבטחה אחר בשם Dan Tentler מצא RDP פתוח לשרת החברה בדרום אפריקה. כך לפי הפרסום.

על פי חלק מהפרסומים, הפריצה לדלויט החלה עם גניבה של הרשאות אדמין למערכות החברה. אחת החברות שעובדת עם דלויט היא סייברארק שמספקת מערכות לשמירה על חשבונות אדמין. בתגובה לשאלה שלנו אמרו בסייברארק כי: "יש לנו שותפויות חזקות עם רבים של ממשרדי הייעוץ המובילים, כולל Deloitte. מערכת היחסים שלנו עם חברת Deloitte Cybersecurity מייעצת לצוותי IT ואבטחה פנימיים, המקבלים החלטות טכנולוגיות עצמאיות. אנו לא חושפים מידע ספציפי על השאלה אם ארגונים הם לקוחות".

אין ספק כי הפריצה לדלויט, אחד ממשרדי ראיית החשבון הגדולים בעולם שמרכז מידע אודות לקוחות פרטיים וממשלתיים מרכזיים במגוון מדינות, היא יריית השכמה נוספת לצד הפריצות הקודמות הגדולות שארעו החודש. ביניהן הפריצה לרשות ההון האמריקאית (SEC) וכן לחברת דירוג האשראי אקוויפקס.

פריצות אלו מוכיחות פעם נוספת כי עולם הגנת המידע עדיין מתמודד עם שתי שאלות שורשיות -  האם פרצו לי? וכמה זמן הפורצים ברשת שלי?