מקור: תמונות מסך מאתר החברות, עיבוד תמונה
מהלך לא מתוכנן בשלוחה ההודית של גרופון, SoSasta.com, גרם לכך שפרטיהם של 300 אלף לקוחות השלוחה ההודית היו חשופים בדף הראשי של החברה במשך זמן ארוך שהספיק כדי שהמידע ייכנס לאינדקס של גוגל. חוקר אבטחת המידע שגילה את הפרסום השגוי דיווח לגרופון, וזו הורידה את המידע במהירות שיא. עכשיו נשאר לגלות האם זה היה בזמן.
בשלב זה אין פרטים הנוגעים לסיבה שהובילה לתקלה. השתלשלות האירועים, כפי שהם ידועים כרגע, מתחילים ב-Daniel Grzelak, יועץ לענייני אבטחת מידע מאוסטרליה. הוא זה שגילה את דבר חשיפת המידע, שלח עדכון לגרופון וגם צייץ על זה. את המידע על הלקוחות הוא מצא, במקרה, דרך גוגל. המידע שפורסם כלל את כתובות הדואר האלקטרוני של הלקוחות ואת הסיסמאות שלהם לאתר, ב-plain text.
רגע התגלית
דניאל, כחוקר אבטחת מידע, חיפש בגוגל מאגרי מידע מסוג SQL, שהכילו צמדים של כתובות אינטרנט ואת המלה "סיסמא" באנגלית. בראיון שפורסם ב-Risky.biz תאר דניאל כי כמה שעות לאחר שהחל לחפש הוא נתקל במאגר המידע הספציפי. הוא רפרף, כדי לנסות לקבל אומדן הנוגע להיקף הבעיה, ואז הבין שמדובר בחשיפה בטעות של כמות גדולה מאוד של משתמשים. הוא פנה ל-Risky.biz כדי שיעזרו לו לברר כיצד מגיעים לגורמים המתאימים בגרופון, ובאתר יצרו קשר ישירות עם מנכ"ל גרופון, Andrew Mason, שהתקשר אישית תוך 24 שעות.
התגובה של גרופון מרגע קבלת ההודעה היתה מהירה, והיא הורידה במהירות את המאגר מהדף הראשי של SoSasta. יודגש שהטיפול המהיר חריג לרוב בנוף התגובות האופייני לארגונים גדולים בנסיבות שכאלה. בנוסף, גרופון פנתה במייל לכל אותם 300,000 לקוחות שהמידע שלהם נחשף וביקשה מהם להחליף את הסיסמות שלהם לאתר SoSasta, ובמידה והם מיחזרו את הסיסמא הזאת משירותים נוספים, עליהם לשקול בחיוב להחליף את הסיסמאות שלהם בכל האתרים.
רכישות מסביב לעולם
SoSasta נרכשה על-ידי גרופון בינואר 2011, במסגרת מסע רכישות חובק עולם שביצעה החברה. במסגרת אותו מסע רכישות, גרופון גם רכשה את הסטארטאפ הישראלי גרופר – היום תוכלו לגלוש לאתר החדש של רכישות חברתיות שהקימו שתי החברות בעברית ב-groupon.co.il.
חשיפתו של מאגר המידע הנוגע ללקוחות החברה בעייתית, בלשון המעטה, ובמיוחד כאשר הסיסמאות מאוחסנות בו ב-plain text ולא כ-hash. למרות זאת, נראה כי ניתן למזער את הנזקים, כל עוד הלקוחות של SoSasta שממחזרים סיסמאות יחליפו את הסיסמאות שלהן גם בשירותים האחרים, והחברה עצמה תחקור כיצד הגיעה למצב בו מאגר המידע שלה זמין לכל דורש באמצעות האינדקס של גוגל.