פריצה דרך ספק אירוח אתרים - עשרות ארגונים נפגעו

בשנת 2023 ביצעה קבוצת תקיפה איראנית אחת מהתקיפות השלמות ביותר על שרשרת אספקה דיגיטלית שנרשמו בישראל. במקום לתקוף ארגונים ישירות - דבר שדורש מאמץ פרטני לכל יעד - הם חדרו לחברת אירוח אתרים ישראלית יחידה ומשם הגיעו לעשרות לקוחות שלה.

המקרה הזה ממחיש את הפגיעות המרכזית של ספקי שירות משותפים (Shared Service Providers): רמת האבטחה של הארגון שלכם מוגבלת ברמת האבטחה של הספק שלכם.

עשרות

ארגונים שנפגעו בתקיפה אחת

מיליונים

רשומות של לקוחות שהודלפו

ספק שנפרץ - הנזק לכולם

מה קרה - שחזור האירוע

הקבוצה, המזוהה עם גורמי ביון איראניים, זיהתה שחברת האירוח הישראלית משרתת מגוון רחב של לקוחות עסקיים - קמעונאים, יבואנים, גופים ציבוריים וחברות בינלאומיות הפועלות בישראל. הפריצה לתשתית האירוח העניקה גישה לבסיסי הנתונים, לקוד האתרים ולממשקי הניהול של כל הלקוחות.

🔴 שלב 1 - פריצה לתשתית האירוח

הקבוצה חדרה לסביבת האירוח דרך פגיעות בממשק ניהול חשוף לאינטרנט. לאחר השגת גישה ראשונית, בוצעה תנועה רוחבית (lateral movement) בין שרתים לרכישת הרשאות גבוהות יותר.

🟠 שלב 2 - שהייה ואיסוף מידע

במשך תקופה מוגדרת, הקבוצה צררה מידע ממאגרי הנתונים של לקוחות האירוח: פרטי לקוחות, נתוני תשלומים, פרטי תקשורת ומידע עסקי. הנוכחות לא זוהתה בשלב זה.

🔴 שלב 3 - השמדה והדלפה

בשלב האחרון בוצעה השמדת שרתים (wiper attack) ופרסום ציבורי של המידע הגנוב. מידע אישי של מיליוני לקוחות הופיע בפורומים של גורמי פשע מקוון. ארגונים רבים לא ידעו שנפגעו עד שפנו אליהם לקוחות שראו את פרטיהם ברשת.

למה עשרות ארגונים נפגעו מפריצה אחת

הסיבה המרכזית היא ריכוזיות שרשרת האספקה הדיגיטלית. כאשר ארגונים רבים מסתמכים על אותו ספק שירות, הספק הופך למטרה בעלת ערך גבוה במיוחד לתוקף. הפגיעות אינה בקוד של הארגון שנפגע - אלא בהחלטה העסקית להסתמך על ספק ללא בדיקת רמת האבטחה שלו.

⚡

גישה לסביבה משותפת

בסביבת אירוח משותפת (shared hosting), פריצה לשרת אחד עלולה לאפשר גישה לנתוני לקוחות מרובים - גם ללא פגיעה ישירה בכל לקוח.

🔑

הרשאות יתר של הספק

ספקי אירוח מחזיקים בהרשאות גישה לכל הנתונים של לקוחותיהם. אם הם נפרצים, כל ההרשאות האלה עוברות לתוקף.

👁

חוסר ניראות (Visibility)

רוב הארגונים אין להם visibility לאירועי אבטחה בצד הספק. הם גילו את הפריצה רק כשהמידע שלהם כבר פורסם ברשת.

לקחים ופתרונות

הגנה על שרשרת אספקה דיגיטלית

בדיקת ספקי שירות לפני ובמהלך ההתקשרות

כל ספק שמחזיק בגישה לנתוני הארגון צריך לעבור הערכת אבטחה. שאלות מינימליות: האם יש להם SOC 2 Type II? ISO 27001? מדיניות incident response? SLA לדיווח על אירועי אבטחה?

ביצוע בדיקת Due Diligence אבטחתי לכל ספק שמחזיק בנתוני ארגון
דרישת הפרדה מלאה בין סביבות לקוחות שונות (Tenant Isolation)
הגדרת זכויות גישה מינימליות לספק (Least Privilege)
הצפנת נתונים במנוחה (Encryption at Rest) - גם אצל הספק
ניטור אנומליות בגישה לנתונים - לאיתור גישה לא רגילה של הספק
גיבויים עצמאיים שאינם תלויים בתשתית הספק
תוכנית IR (Incident Response) שמתייחסת לתרחיש של פריצה לספק
קריאת חוזה השירות - האם הספק מחויב לדווח על אירועי אבטחה ובאיזה פרק זמן?

השורה התחתונה

תקיפת שרשרת אספקה דרך ספק אירוח היא דוגמה קלאסית ל-"אפקט הדומינו" - ניצול נקודת כשל יחידה להשגת נזק רחב. הגנה אפקטיבית דורשת להתייחס לכל ספק שירות כהרחבה של מערך האיומים שלכם - לא רק כגורם חיצוני.

מקורות

דיווחים בתקשורת הישראלית על תקיפות תשתית אירוח, 2023
CERT-IL, Security Advisories - Israeli Hosting Infrastructure Attacks (2023)
NIST SP 800-161 Rev. 1, Supply Chain Risk Management Practices (2022)
CIS Controls v8 - Control 15: Service Provider Management