מתקפת סייבר על ספקית חיצונית של ענקית התוכן למבוגרים הובילה לדליפת ענק של יותר מ-200 מיליון רשומות, הכוללות כתובות מייל, מילות חיפוש וסרטונים שנצפו. קבוצת התקיפה ShinyHunters כבר החלה בניסיונות סחיטה, בעוד החברה מבהירה כי פרטי האשראי של המנויים לא נפגעו
בעולם אבטחת המידע, התרחיש שממנו חוששים המשתמשים בדרך כלל הוא גניבת כרטיסי אשראי או סיסמאות. אך עבור משתמשי שירות הפרימיום של ענקית התוכן למבוגרים, פורנהאב (Pornhub), הסיוט הנוכחי הוא אישי הרבה יותר, מביך ובעל פוטנציאל נזק תדמיתי אדיר. דיווח מהימים האחרונים חושף כי האתר נפגע ממתקפת סייבר עקיפה, שהובילה לדליפת מידע רגיש במיוחד הנוגע להרגלי הצפייה האינטימיים של המנויים.
כשהשרשרת נשברת מבחוץ
הפריצה הנוכחית מדגימה שוב את עקב האכילס של האינטרנט המודרני: שרשרת האספקה. על פי ההצהרות הרשמיות, הפריצה לא התרחשה בשרתים של פורנהאב עצמה, אלא במערכות של Mixpanel – חברת ניתוח נתונים (Analytics) צד שלישי שסיפקה שירותים לפלטפורמה. שיטה זו, בה תוקפים חודרים לארגון גדול דרך ספק משנה, הופכת נפוצה יותר ויותר, כפי שראינו במתקפות ענק קודמות בשנה החולפת.
פורנהאב אישרה את דבר האירוע וציינה כי הוא משפיע על "קבוצה נבחרת של משתמשי פרימיום". החברה מיהרה להרגיע את הרוחות בהצהרה כי פרטי התשלום, הסיסמאות והמידע הפיננסי נותרו מאובטחים לחלוטין. עם זאת, בעוד Mixpanel מכחישה קשר ישיר בין האירוע הזה לבין דליפת נתונים אחרת שחוותה בנובמבר האחרון (אשר השפיעה על חברות כמו OpenAI), התוצאה הסופית עבור המשתמש נותרת זהה: המידע הפרטי ביותר שלו נמצא כעת בידיים זרות.
המטבע החדש: בושה וסחיטה
מה שהופך את האירוע הזה למטריד במיוחד הוא טיב המידע שנגנב. קבוצת ההאקרים הידועה לשמצה ShinyHunters, שכבר קושרה בעבר לפריצות ענק לחברות כמו Ticketmaster ו-Santander, לקחה אחריות על האירוע. לטענת התוקפים, בידיהם למעלה מ-200 מיליון רשומות (Logs) המתעדות את הפעילות ההיסטורית של המנויים בפלטפורמה.
המידע שדלף אינו כולל רק כתובות אימייל, אלא יורד לרזולוציות מפחידות של "מטא-דאטה": שמות הסרטונים שנצפו, כתובות ה-URL המדויקות, מילות החיפוש שהוזנו, חותמות זמן מדויקות (מתי האירוע התרחש) ואף נתוני מיקום. המשמעות היא שהתוקפים לא צריכים את כרטיס האשראי של המשתמש כדי לפגוע בו; יש בידיהם את היכולת להצליב בין כתובת המייל לבין העדפות צפייה ספציפיות, ולייצר פרופיל התנהגותי מלא שרבים היו מעדיפים שיישאר חסוי. הקבוצה כבר החלה לשלוח הודעות סחיטה לחברה, עם איום מרומז וברור: שלמו, או שההיסטוריה הזו תהפוך לנחלת הכלל.
מלחמת הגרסאות והשורה התחתונה
בעוד החברות המעורבות מנהלות ביניהן סוג של "פינג-פונג" תקשורתי – כאשר Mixpanel טוענת כי המידע עשוי לנבוע מפריצה ישנה יותר לחשבון עובד ולא מהאירוע האחרון – עבור המשתמשים מדובר בפרטים טכניים שוליים. המציאות היא שהאנונימיות, שהיא אבן היסוד של שירותים מסוג זה, נסדקה.
המקרה של פורנהאב הוא תזכורת כואבת לכך שבעידן הדיגיטלי, המידע שלנו מפוזר בין עשרות ספקים ושירותים שאנחנו כלל לא מודעים לקיומם. גם אם בחרתם סיסמה חזקה והפעלתם אימות דו-שלבי, המידע שלכם עדיין עשוי להיות חשוף דרך מערכות ניתוח נתונים חיצוניות. עבור קהילת הסייבר, זהו עוד סימן לכך שקבוצות כמו ShinyHunters עוברות ממודל של גניבה פיננסית ישירה למודל של סחיטה מבוססת מוניטין, ופוגעות במקום שבו זה הכי כואב לארגונים וללקוחותיהם.
