הבוקר (שבת) פקע האולטימטום שהציבו ההאקרים שפרצו למאגרי המידע של חברת הביטוח שירביט. הם פרסמו בקבוצת הטלגרם שלהם חומרים רבים נוספים, בעיקר תעודות זהות, רישיונות נהיגה ותעודות נישואין. במהלך הלילה פרסמו ההאקרים הודעה ובה הבטיחו לממש את איומם: "WE DO WHAT WE SAID". בניגוד להערכות, אמש סיפר גורם בכיר המעורב בחקירת הפריצה כי גוברת ההערכה שמאחורי התקיפה עומדת מדינה ולא קבוצה פרטית.
לעדכונים נוספים ושליחת שלכם - היכנסו לעמוד הפייסבוק של החדשות
גורם המעורב בחקירת הסייבר, סיפר ל-N12 כי עד כה אותרו 300 לקוחות של החברה שפרטיהם דלפו, אך לא מדובר בפרטי כרטיסי אשראי. מתוך מאות הלקוחות שפרטיהם דלפו, רק ל-50 מהם דלפו פרטים אישיים כמו תעודת זהות, הסביר אותו גורם.
שירביט ממשיכה לרמוז שמדובר בגוף גדול שעומד מאחורי התקיפה ומניעיו "אסטרטגיים", אף שאין אינדיקציה לכך. המידע שהתפרסם עד כה מהווה בעיקר נזק לשירביט ופגיעה בפרטיות של לקוחותיה, אך לא פגיעה לאומית - למרות החשש שמידע של בכירים במערכת הביטחון ידלוף. יתרה מכך, ההערכה היא שהתוקף - או לפחות אחד מהם - נמצא בישראל.
בשירביט הגיבו לחשיפת ההתכתבות והבהירו: "המשא ומתן התנהל מתוך הנחת עבודה כי המוטיבציה של התוקפים אינה כלכלית, אלא נובעת מרצון לגרום נזק לחברה ולמדינה. כחלק מזה, הדלפת התכתובת נלקחה בחשבון. שיח מכבד עם התוקפים הוא כלל ברזל בניהול אירועים ומו"מ מהסוג הזה".
מאז הפריצה ותחילת הדליפה התנהל מו"מ ממושך בין מומחה המשא ומתן ששכרה החברה להאקרים. החברה טוענת שהשתכנעה שהמניע הכספי הוא לא זה שעומד מאחורי התוקפים – שהוכיחו הבוקר שברשותם גם מידע שחודר באופן חמור לפרטיות של הלקוחות כגון מסמכים רפואיים.
כך התנהל המו"מ
בעמוד הטלגרם של קבוצת "Black Shadow" נכתב: "עשינו מה שהבטחנו. החברה לא רצתה לשלם לנו. שירביט הוכיחה לכולם שמסמכי הלקוחות לא חשובים להם. אנחנו עדיין עומדים במילתנו. זוהי ההתכתבות שלנו עם שירביט, ותשפטו בעצמכם. המסר שלנו היה ברור – הם רצו לשחק איתנו. יש לנו יותר מעשרות טרהבייטים של מידע שנותרו" - כלומר, שלא פורסמו עד כה.
בהתכתבות עם "איליה", שהצהיר על עצמו כמייצג של שירביט, הבהירו הפורצים: "אם תשלמו לנו 50 ביטקוינים, לא נדליף יותר שום דבר. אם לא תשלמו נדליף חלק מהמידע בבוקר" – כפי שאכן קרה. "אתם צריכים לסמוך עלינו", הבהירו, ומנהל המו"מ (לכאורה) אמר: "זה לא עובד ככה, כמו דייטינג, אנחנו צריכים להכיר יותר אחד את השני".
ההאקרים הבהירו בתגובה: "זו ההזדמנות האחרונה שלכם, הרבה אנשים רוצים את המידע שלנו כולל שירותי מודיעין – ובתעריף גבוה יותר". נציג החברה השיב: "אני מבין שזה הצ'אנס האחרון שלי. אם אתם רוצים לראות כסף, אם אנחנו רוצים לעשות עסקה, אנחנו נהיה חייבים לעבוד ביחד. זו גם הפעם הראשונה מבחינתי בסוג כזה של אירוע, אני לא רוצה טעויות".
לפי צילומי המסך, נציג שירביט אמר כי "המנכ"ל הנחה אותי לבצע עסקה אם יהיו לנו מספיק ערבויות מכם. נוכל לעשות את זה?" – וזכה לתגובה: "אם אתה מכיר את עולם ההאקרים, אין שום ערבויות בעולם הזה. אתה חייב לסמוך". מנהל המו"מ ביקש "משהו פרקטי" כדי להציג להנהלת החברה והוסיף "אני לא מבין את עולם ההאקרים, אני מבין בעסקים". הפורצים השיבו לו: "אנחנו לא רוצים להשמיד את האמינות של הצוות שלנו".
בשלב זה, השיב איליה, "אני צריך שתהיו מענטש. בשפה שלי: אדם עם כבוד. תנו לי זמן לקבל אישורים ממשלתיים עד מחר בערב, ותזיזו את האולטימטום. אני אפרסם הצהרה לתקשורת עבורכם". ההאקרים השיבו לו: "זו הבעיה שלך, עד מחר בערב תהיה חייב לשלם 100 ביטקוינים וחלק מהמידע ידלוף כמובן". הנציג של שירביט השיב: "אם אתם רוצים כסף – זו הבעיה שלנו. אם אתם לא רוצים כסף – הדליפה תהיה הבעיה שלי". לאחר מכן שאל: "כמה מידע יש לכם?".
ההאקרים השיבו לו: "נעשה מה שאמרנו. כשתהיה מוכן לשלם תדבר איתנו". איליה השיב: "אני רוצה לשלם ומוכן למו"מ, אולי נוכל לבצע שני תשלומים – אחד מחר והשני אחרי שבת". הפורצים ענו: "רק תשלום אחד עד 9 בבוקר" – והפסיקו לענות להודעות של האיש שהציג עצמו כמייצג של שירביט.
חברת הביטוח הודיעה הבוקר, עם קריסת המו"מ, כי לא תשלם לפורצים: "שירביט החליטה שלא להיענות ל'דרישות הכופר', ולהמשיך לפעול בכל המישורים כדי להגן על המידע של לקוחות החברה ועובדיה. במהלך המו"מ שנוהל לאורך כל הלילה, הגיעו כל הגורמים המקצועיים למסקנה גורפת כי לטרור הסייבר יש עניין בפגיעה אסטרטגית ולא עומד מאחוריו מניע כספי כלשהו".
עוד נמסר: "הנהלת שירביט החליטה לנהוג בהם כפי שיש לנהוג בתוקפים, ולא להיכנע לאיומים מצד גורמים בעלי מניעים אסטרטגיים. אנשי החברה ממשיכים לעקוב אחר כל התפתחות ומעדכנים את קהל הלקוחות באופן שוטף ככל שנדרש. החברה אף שכרה את שירותיהם של מומחים מהשורה הראשונה המתמחים בניהול אירוע סייבר, ניהול משא ומתן וניהול משברים". מנכ"ל החברה, צביקה ליבושור, הוסיף: "החברה לא תיכנע לטרור מסוג זה, ותפעל בדרכים העומדות לרשותה להגן על לקוחות החברה ועל המידע המצוי בחברה, בתיאום עם כלל הרשויות הממלכתיות המלוות מקרוב מאוד את ניהול האירוע".