בפברואר 2024, מתיו ואן אנדל , מהנדס תוכנה בדיסני (ואולי אפילו מנהל פיתוח תוכנה), הוריד כלי AI בחינם מ-GitHub, בתקווה ליצור תמונות מהנחיות טקסט. ללא ידיעתו, התוכנה הייתה תוכנה זדונית שהעניקה להאקרים גישה למנהל הסיסמאות שלו ולחיים הדיגיטליים שלו. הפרצה חשפה יותר מ -1.1 טרה-בייט מהנתונים הפנימיים של דיסני, כולל 44 מיליון הודעות מ -10,000 ערוצי Slack , דליפת מידע רגיש על הכנסות מפארקי השעשועים, מספרי דרכונים של עובדים, נתוני לקוחות פרטיים ופרויקטים שלא פורסמו.

ספר המשחקים של האקר: איך הכל התפתח

חמישה חודשים לאחר ההורדה, קיבל ואן אנדל הודעת Discord מצמררת שחושפת את הידע של ההאקר על חייו האישיים והמקצועיים, כולל הודעות Slack פרטיות על פעילויות שגרתיות כמו תוכניות הצהריים שלו. ההאקר, מזדהה כחלק מ- "NullBulge" ,   קבוצת האקטיביסטים רוסית לכאורה טענה כי היא מכוונת לדיסני בגלל השימוש שלה ב-AI וחוזי אמנים. עם זאת, כמה מומחים מאמינים שהעבריין היה אמריקאי שפעל לבדו, מונע מרווח כספי ולא אידיאולוגיה. ההאקרים טענו גם שהם קיבלו עזרה מ"איש פנימי" בדיסני, מה שאפשר להם לשמור על גישה ממושכת למערכות.

נפילה: הרס פיננסי ואישי

מתקפת הסייבר ריסקה את חייו של ואן אנדל. האקרים גנבו את פרטי כרטיס האשראי שלו, מספר תעודת זהות, ואפילו ניגשו למצלמות האבטחה הביתיות שלו. חשבונות המדיה החברתית שלו נחטפו, התמלאו בתוכן מגונה, וחשבונותיהם המקוונים של ילדיו נפגעו. המחיר הכספי היה הרסני באותה מידה: הוא הפסיד 200,000 דולר בבונוסים , וביטוח הבריאות שלו הופסק.

מכה סיום הקריירה

בעקבות ההפרה, החקירה המשפטית של דיסני טענה כי ואן אנדל ניגש לתוכן בלתי הולם במחשב העבודה שלו, טענה שהוא מכחיש בתוקף. דיסני סיים את עבודתו, תוך ציטוט של הפרות מדיניות. ואן אנדל טוען שהתוכנה הזדונית כנראה הובילה לאי הבנה זו, אך דיסני עמדה איתן בממצאיה.

משפחה במשבר

משפחתו של ואן אנדל הקימה דף GoFundMe כדי לתמוך בהוצאות המשפט ובהחלמה הכלכלית שלו. אחותו, כריסטה מאייר, הדגישה את ההשלכות הבלתי צפויות של הורדה תמימה לכאורה שנועדה להנאה עם ילדיו. החוויה הקשה המתמשכת השפיעה על הבטיחות והרווחה של כל משפחתו.

טיפים למקצועני מכירות ושיווק כדי להימנע מהפרות דומות

בעולם הדיגיטלי של היום, איומי סייבר נמצאים בכל מקום, אפילו בכלים שנראים לא מזיקים. הנה איך להגן על עצמך ועל הארגון שלך:

1. אמת מקורות: הורד תוכנה רק ממקורות מוכרים. הימנע מכלים חינמיים מפלטפורמות לא ידועות או לא מאומתות כמו GitHub אלא אם כן אתה יכול לבדוק את הקוד או שהוא מגיע ממפתח מהימן.
2. מכשירים נפרדים: השתמש במכשירים ייעודיים לעבודה ולפעילויות אישיות. ערבוב ביניהם מגביר את הסיכון לפגיעה בנתוני עבודה רגישים.
3. היגיינת סיסמאות: השתמש בסיסמאות ייחודיות ומורכבות עבור כל החשבונות ואפשר אימות דו-שלבי בכל מקום אפשרי.
4. עדכון ואבטחה: עדכן באופן קבוע את המכשירים והיישומים שלך כדי לתקן פגיעויות ידועות.
5. למד את עצמך: השתתף בהדרכה בנושא אבטחת סייבר כדי להישאר מעודכן לגבי האיומים והשיטות המומלצות העדכניות ביותר.
6. ערוצי תקשורת: היזהר לגבי מה שאתה משתף בכלי תקשורת במקום העבודה, אפילו בערוצים פרטיים. האקרים מכוונים לעתים קרובות לפלטפורמות אלה למידע פנימי.
7. דווח על פעילות חשודה: אם אתה מקבל הודעות חריגות או מבחין בהתנהגות מוזרה במכשירים שלך, דווח על כך מיד למחלקת ה-IT שלך.

לקחים: הסכנות של תוכנה חופשית

תקרית זו משמשת תזכורת מוחלטת לסיכונים הכרוכים בהורדת תוכנה חינמית ממקורות לא מאומתים. זה מדגיש את החשיבות של מודעות לאבטחת סייבר, במיוחד בעת שימוש במכשירים אישיים לפעילויות הקשורות לעבודה. מאז שיפרה דיסני את אמצעי אבטחת הסייבר שלה, כולל הפסקת השימוש ב-Slack לתקשורת פנימית.

מחשבות אחרונות

סיפורו של מתיו ואן אנדל הוא סיפור אזהרה על ההשלכות מרחיקות הלכת של מתקפות סייבר. הניסיון שלו מדגיש את החשיבות של ערנות בעידן הדיגיטלי, שבו אפילו הורדות שנראות לא מזיקות יכולות להוביל להשלכות משנה חיים. ככל שאיומי אבטחת סייבר מתפתחים, כך גם האסטרטגיות שלנו להתגונן מפניהם.

תישאר קפוא! ❄️

-קובי.