שתף קטע נבחר

מחדל: כך ניתן לחטוף כתובות אינטרנט בישראל

מתברר שלא צריך סוס טרויאני כדי ליירט מידע עיסקי באמצעות פקס וחתימה מזויפת. אפשר לגנוב את כל הדומיין ולהעביר אותו לחברה אחרת ללא ידיעתכם

רכשתם דומיין (שם מתחם) באינטרנט? לא צריך סוס טרויאני או חברה לריגול תעשייתי כדי להציץ במידע שאתם שומרים במחשב, גם אם השקעתם בסידורי אבטחה ותוכנות אנטי וירוס. אפשר פשוט לגנוב את כל הדומיין שלכם ולהעביר אותו לחברה אחרת בלי ידיעתכם - והגישה שלכם לדומיין שלכם תיחסם לחלוטין. קשה להאמין עד כמה זה פשוט ועד כמה כל המעורבים יתנערו מאחריות.

 

אם, למשל, תתקשרו לספק האינטרנט שלכם ותבקשו לשנות סיסמה או לשנות תוכנית, ידרשו מכם סימני זיהוי מובהקים ולעתים קרובות אפילו לא יסתפקו בתעודת הזהות שלכם. אבל כשמדובר בדומיין של חברות, עתיר סודות מסחריים, הסיפור יכול להיות הרבה יותר פשוט. מסתבר שאיגוד האינטרנט הישראלי, שמהווה מונופול ברישום דומיינים בישראל, עשוי בהחלט להעביר את הדומיין שלך על סמך בקשה בכתב, עם שרבוט שמכם. איש לא יבדוק שמדובר בחתימתכם המקורית. איש לא ידרוש סימני זיהוי נוספים.

 

לא צריך סיסמה

 

"הייתי המום כשזה קרה לי", אומר שוקי בטיסט מפתח תקווה, בעליו של משרד הפרסום "תובנות" המתמחה במגזר החרדי. "אחרי שהשקעתי כספים רבים במערכות אבטחת מידע ושמירה על סודיות של לקוחות, פתאום מתברר ששום דבר לא שווה. לקחו לי את הדומיין בלי לשאול אותי, סתם על סמך פתק שנשא חתימה שהתיימרה להיות חתימתי ללא סימני זיהוי נוספים".

 

לפני 10 ימים כשהפסיקה תיבת הדואר האלקטרוני במשרדו לקבל אימיילים, פנה בטיסט למוקד השירות של אינטרנט זהב ושם נאמר לו שהתיבה תקינה ושהדומיין שהועבר לחברה אחרת, לפי בקשתו. "מאחר שלא ביקשתי דבר זה מעולם בדקו באתר של איגוד האינטרנט הישראלי ושם אכן נרשם שהדומיין עבר 'לפי בקשתי' לחברת נטוויז'ן".

 

בטיסט הזדרז לפנות לחברת נטוויז'ן, ושם נאמר לו שיש להם פקס חתום על ידו ובעקבותיו משכו את הדומיין שלו: "שאלתי, איך אתם יודעים שהפקס שלי? יש לכם פרטים מזהים? סיסמה? קוד? לאן אתם מנתבים את הדואר שמתקבל בדומיין? יש לכם את הדואר האלקטרוני שלי? מי משלם לכם על השירותים החדשים? בנטוויז'ן לא ידעו להסביר מה קרה ואמרו שעל פי הנהלים די בהודעת פקס".

 

למרבה האבסורד, סירבו לספק לבטיסט פרטים על איש הקשר החדש, ועל תיבת הדואר האלקטרוני שאליה עובר החומר שלו וזאת בטענה של אבטחת הפרטיות. רק מאוחר יותר, לאחר שנשלחה בפקס בקשה אמיתית על נייר המכתבים עם הלוגו של "תובנות" החזיר הכונן בנטוויז'ן את הדומיין לחברה.

 

"אנחנו רק מתווכים"

 

מנהל הדומיינים של החברה אף שלח לבטיסט את הטופס המזויף וגם את פרטי מבקש ההעברה שזייף את חתימתו. הסתבר שבטיסט נקלע כנראה, שלא באשמתו לסכסוך בין שתי חברות והבקשה להעברת הדומיין שלו נשלחה מחברה הנקראת בנפיט. יובהר כי אין מדובר בחברת ISD, יצרנית התוכנה "בנפיט".

 

"קיבלנו הזמנה מבנפיט להעביר שלושה דומיינים", מאשר אלדד נחתוני, מנהל דומיינים בנטוויז'ן ומגלגל את האחריות על איגוד האינטרנט. "בדיעבד התברר ששניים מהדומיינים היו של החברה, אבל השלישי של שוקי בטיסט. אנחנו בעיקרון משמשים כמתווכים בין הלקוח ובין איגוד האינטרנט הישראלי.

 

"כשבנפיט פנתה אלינו בבקשה אמרו לה אי אפשר להעביר את הדומיין בלי חתימה של איש הקשר. שלחו לנו פקס עם שמו וחתימה ידנית שלו. ברגע שאנחנו רואים פקס מן הסוג הזה אנחנו מעבירים אותו לאיגוד האינטרנט הישראלי, שיוצר את הקשר מול הלקוח, ושולחים לו מייל לאישור אחרי ביצוע השינוי".

 

איגוד האינטרנט מתנער מאחריות

 

גם מנהל שמות המרשם באיגוד האינטרנט הישראלי, בני ליפסיקס, מתנער מכל אחריות וגם לא מבין על מה המהומה. "מבחינתנו מדובר בשתי העברות תקינות", הוא אומר על הדומיין שהוצא ללא ידיעת בעליו מאינטרנט זהב, הועבר לנטוויז'ן והוחזר לאינטרנט זהב אחרי שבעל הדומיין עלה על החטיפה.

 

לדבריו, "לדומיין יש בדרך כלל מספר אנשי קשר: מחזיק השם, איש קשר אדמיניסטרטיבי ואיש קשר טכני. כל אחד מהם מאושר להעביר דומיין. כאשר מגיעה אלינו בקשה אנחנו עורכים בדיקות לוודא שהיא על דעת המחזיק ומיידעים את כל אנשי הקשר על כך שהוגשה בקשה. גם במקרה זה נשלחו אימיילים לכל הכתובות שהיו רשומות אצלנו. נפילת המייל, שהתרחשה כשלושה שבועות לאחר העברת הדומיין, כלל איננה קשורה אליו אלא נובעת כנראה מבעיה בשרת".

 

שאלנו: מדוע אינכם דורשים צילום תעודת זהות של בעל הדומיין, סימן זיהוי כלשהו, חותמת של חברה? ליפסיקס: "הדומיין נרשם על שם שוקי בטיסט כאיש פרטי ולא על שם חברה. גם לוגו של חברה מזייפים. הבקשה הגיעה מחברה מכובדת, חברת נטוויז'ן, ואין לי כל כוונה לפרט בתקשורת את אמצעי האבטחה שאנחנו נוקטים בהם".

 

לא ידענו כלום

 

האיגוד הישראלי לאינטרנט הוא הגוף היחיד שרושם דומיינים ישראליים (כל הדומיינים המסתיימים בצירוף האותיות co.il), להבדיל מדומיינים בינלאומיים, ורשומים בו כיום כ-68 אלף דומיינים. בעלי הדומיינים משלמים 260 שקל לשנתיים בהרשמה הראשונה ו-90 שקל עם חידוש הרישום אחת לשנתיים.

 

האם בעלי הדומיינים יכולים לישון בשקט? אלדד נחתוני מנטוויז'ן משוכנע שמדובר במקרה יוצא דופן. באינטרנט זהב טוענים שלא היו מודעים כלל להעברת הדומיין. "נודע לחברה על השינוי רק לאחר ביצוע העברת הדומיין על ידי איגוד האינטרנט הישראלי ולאחר פניית הלקוח אל אינטרנט זהב לעזרה. עם קבלת המידע טופל הנושא במהירות, וכתובת הדומיין הופנתה מחדש לחברה אינטרנט זהב", נמסר מאינטרנט זהב.

 

לדברי החברה, לקוח המבקש להעביר דומיין לאינטרנט זהב, ממלא טופס הצהרה ובו פרטים מלאים שלו ושל הדומיין. אם הדומיין נמצא בבעלות חברה חייבת להיות על הטופס חותמת עם פרטי החברה המלאים. אם הדומיין נמצא בבעלות פרטית יש חובה לצרף צילום של תעודת זהות לבקשת ההעברה.

 

לאחר קבלת הטופס המלא ואימות פרטי בעל הדומיין, שולח מרכז השירות לעסקים של החברה לאיגוד האינטרנט הישראלי את בקשת שינוי הכתובת, כולל הטופס החתום או תעודת הזהות של המבקש. רק לאחר אימות הפרטים מבצע איגוד האינרטנט הישראלי את השינוי המבוקש.

 

תחום פרוץ לחלוטין

 

ניסינו להשיג את תגובת חברת בנפיט, אך מהחברה לא חזרו אלינו. אבל שוקי בטיסט לא רגוע. הוא הגיש תלונה למשטרה על זיוף, השגת גבול וגניבת מידע ובכוונתו להגיש תביעה משפטית נגד מעביר הדומיין שלו, חברת האינטרנט ורשם הדומיינים על הנזק שנגרם לו. "לא ברור לי איך הדומיין של 'תובנות' השתרבב לסכסוך בין שתי חברות. השאלה הגדולה שצריכה להטריד את כולנו היא איך הם הצליחו? מה שברור הוא שפרט לנזק ולעוגמת הנפש שנגרמו לנו, מתברר שתחום הדומיינים פרוץ לחלוטין, וכל אחד יכול לעשות בו כרצונו באמצעות פקס של 16 מילים", זועם בטיסט. 

 

לפנייה לכתב/ת
 תגובה חדשה
הצג:
אזהרה:
פעולה זו תמחק את התגובה שהתחלת להקליד
צילום: צביקה טישלר
בטיסט: "לקחו לי את הדומיין"
צילום: צביקה טישלר
מומלצים