דליפת המידע בפייבוקס: תמרור אזהרה לעתיד התשלומים החכמים

המשבר הראשון של מנכ"ל בנק דיסקונט הטרי אורי לוין התרחש אתמול (ד') כשבאפליקציית התשלומים של הבנק פייבוקס התגלתה תקלה שבעקבותיה דלף מידע חלקי של משתמשי האפליקציה לרשת. מה שגרם לתקלה היתה התקנה שגויה של שרת חדש לאפליקציה לפי שבוע וחצי.

האירוע התגלה שעות ספורות לאחר שהתרחש, פרצת האבטחה נסגרה והוא דווח מיידית לבנק ישראל ולרשות הגנת הפרטיות. אך ההודעה ללקוחות ובה דרישת אימות זהות וכניסה מחדש לאפליקציה נשלחה רק אתמול. לפי הבנק, הסיבה לכך נעוצה בצורך לבחון בדיוק את מימדי האירוע ולוודא שפרצה נסגרה הרמטית.

הבנק עדכן את הלקוחות בפרטי האירוע במייל שהופץ למשתמשים, בדיווח בורסאי ובעדכונים בקבוצת הפייסבוק. הבנק הבהיר כי "אין חשש לנזק כספי ישיר למשתמשים" וכי הכספים שנאספו באפליקציה לא נחשפו.

בבנק ציינו כי המידע שדלף כלל נתונים כמו כינויי משתמש, תאריכי לידה, מספרי טלפון, שמות של קבוצות, סכומים שהועברו וזהות הנמענים ובחלק מהמקרים אף ארבע הספרות האחרונות של כרטיס האשראי, אך לא בהכרח בצמוד לשם המשתמש.

פייבוקס מתחרה בשתי אפליקציות התשלום של הבנקים הגדולים האחרים — ביט של הפועלים ופיי של לאומי. כמיליון לקוחות משתמשים בה כיום. האפליקציה משמשת בעיקר להעברת כספים בין אנשים פרטיים או עוסקים זעירים. בנוסף, היא האפליקציה המובילה לאיסוף כספים קבוצתי כמו ועד בית או ועד כיתה וכדומה. פייבוקס היא האפליקציה היחידה שמאפשרת לצבור כסף בתוך האפליקציה במקום להעביר אותו לחשבון הבנק.

גם המתחרים נפגעו

המתחרים של פייבוקס אולי שמחו לאיד לנוכח הפרשה. אך הם מבינים גם שהפגיעה האפשרית באמון הלקוחות עלולה להשפיע גם על השימוש באפליקציות התשלום שלהם.

אורי לוין, מנכ"ל בנק דיסקונט

האירוע חושף את פוטנציאל הסיכון במעבר לשימוש בטכנולוגיה מתקדמת בעולם הפיננסים. לפני שנה הזהירה המפקחת על הבנקים חדוה בר כי האתגר המרכזי עמו תתמודד הרגולציה בשנים הבאות הוא אירועי סייבר. המערכת הבנקאית עוברת תהליך של התייעלות אגרסיבית, הכוללת תוכניות פרישה מרצון לעובדים וסגירת סניפים, וכן העברה של יותר ויותר פעולות לאמצעים דיגיטליים וטכנולוגיים.

הציבור, שבעבר נרתע מהזנת פרטי אשראי במחשב או במכשיר הסלולר, מרגיש יותר בנוח להזין אמצעי תשלום באפליקציות השונות, במיוחד על רקע התרחבות תופעת הרכישות אונליין מאתרים בחו"ל. אמון הציבור באפליקציות אלה מבוסס בעיקר על אמון גדול בבנקים וחברות כרטיסי האשראי ‑ כיסים עמוקים שאמורים לבטח את הכספים במקרה של תקלות.

הרגולציה עצמה מעודדת אף היא שכלול של אמצעי התשלום, כשבסוף השנה כל בתי העסק הגדולים בישראל יצטרכו לכבד תשלומים מבוססי טכנולוגיית תשלום מאובטחת מסוג EMV. הטכנולוגיה היא תשתית לכניסה של תשלומים מתקדמים לישראל באמצעות ארנקים סלולריים שמאפשרים תשלום ללא כרטיס פלסטיק.

אך ככל שהשימוש באמצעי תשלום חכמים יתרחב, כך גם סיכוני אבטחת הסייבר יתעצמו. ופרט לסיכון הכספי האפשרי, ניצב עניין הפרטיות. בשלב זה אפליקציות התשלום פועלות אמנם על אש קטנה, אך בעתיד הן אמורות להחליף את כרטיס האשראי כאמצעי תשלום מרכזי.

חברות כרטיסי האשראי מחזיקות במידע בהיקף עצום על הרגלי השימוש של הלקוחות שלהם. מדובר במידע יקר ערך להאקרים שיכולים לסחור בו, ולכן יש חשיבות מכרעת לאבטחת המידע.

בבנק ישראל שוקדים בימים אלה על חקיקה בנושא הבנקאות הפתוחה, שתאפשר לראשונה לשחקני פינטק להתממשק עם מאגרי המידע של הבנקים וחברות האשראי, כדי לייצר מנועי השוואה חכמים להגביר את התחרות במערכת הבנקאית. רגישות המידע שיאגור הממשק הזה מתחדדת לנוכח התקלה בפייבוקס.

רשלנות והגנה חלשה

אירוע כשל אבטחת המידע החמור האחרון בעולם התשלומים בישראל היה בשלהי 2014 כשעובד לשעבר של חברת לאומי קארד (היום מקס), אז בבעלות בנק לאומי, גנב מאגר נתונים מהחברה ובו פרטים על שני מיליון מספרי כרטיסי אשראי. יו"ר הבנק דאז דוד ברודט חשף בספרו כי הפריצה היתה אחד האירועים הקשים שעבר כמנהל.

במקרה של פייבוקס לא מדובר בכוונת מכוון, אלא ככל הנראה ברשלנות של עובד, ובהיעדר מנגנוני בקרה מספקים. עוד לא ברור בשלב זה כיצד יטופל האירוע ברמת הסנקציות שיטיל בנק ישראל. כרגולטור הוא יידרש למנוע הישנות של מקרים כאלה בעתיד מחד, ולא להרתיע גופים פיננסים מאימוץ טכנולוגיות מתקדמות מאידך.