האם שם המשתמש שלכם מאיים על פרטיותכם?

<רק סטריפ>

מהם שמות המשתמש באמצעותם אתם מתחברים לשירותי וובמייל, בנקאות, פייסבוק ואחרים? חכו, אל תענו לנו, אבל אם אתם נוטים להשתמש בשם משתמש אחד עבור כל השירותים המקוונים שלכם, נקלעתם לכשל פרטיות. אם שם המשתמש בו בחרתם זהה לכתובת המייל שלכם, הצרה אפילו גדולה יותר.

כאשר מתייחסים לאבטחת מידע, שמים דגש לא פעם על בחירת סיסמה מורכבת. חלילה לנו לזלזל בסיסמאות, אך בחירת שם המשתמש קריטית לא פחות ואולי אף יותר לאבטחת מידע. בחירת שם משתמש מקורי ושימוש חוזר בו באתרים רבים עלול לאפשר למשווקים לעקוב אחריכם בקלות, התריעו לאחרונה ארבעה חוקרים מהמועצה הלאומית למדעי המחשב (INRIA) בצרפת.

ארבעת החוקרים בחנו לאחרונה יותר מ-10 מיליון שמות משתמשים שנאספו מפרופילים ציבוריים בגוגל, חשבונות איביי ומקורות נוספים. הם גילו כי כמחצית משמות המשתמשים היו משויכים לפרופיל מקוון נוסף לפחות.

במילים אחרות, אותם משתמשים שהשתמשו באותו שם מיוחד להתחבר ליותר משירות אחד אפשרו למשווקים ונוכלים לכרות את המידע האישי של המשתמשים ולפנות פרופיל מורכב על פי האתרים בהם הם מבקרים, ללא צורך בפריצה לחשבונות שלהם או גניבת הסיסמה.

"מי שינטר את שמות המשתמשים יכול להיעזר בהם כדי לאמת כי חשבונות באתרים שונים שייכים לאותו משתמש ולבנות באמצעותם פרופיל אישי שלו", הזהיר קלוד קסטלוציה, מנהל המחקר. נוכלים יכולים להשתמש במידע זה כדי להפנות לאנשים הודעות פישינג (הונאה) רלוונטיות כמו הצעות לרכישת מוצרים או חיבור לשרת המתחזה לשירות מוכר על בסיס הרגלי הגלישה שלהם.

בחרתם בכינוי lionfacetalewagenfishwall? יש לכם בעיה!

עו"ד ד"ר נמרוד קוזלובסקי מציין שהצלבה בין שמות משתמש משירותים שונים לצורך האחדת זהות הוא נוהג מקובל במנועי חיפוש לאיתור אנשים או מאגרי מידע אודות אנשים. "מדובר בפעולה חוקית בשירותים און ליין בהם שם המשתמש פומבי וגלוי. שונה המצב אם שם המשתמש הוא חסוי, מוגן באמצעי אבטחה או מוגבל לקבוצה מורשית בלבד, והשגת המידע אודות שם המשתמש למטרה אחרת תחשב כפסולה".

דווקא המשתמשים בעלי הכינויים הייחודיים נתונים בסיכון גבוה יותר. המחצית השנייה של המשתמשים שבחרו בשם משתמש שאינו מיוחד פחות פגיעים. החוקרים יצרו כלי מקוון המאפשר למשתמשים לבדוק עד כמה ייחודי שם המשתמש שלהם. נסו בעצמכם ובדקו כמה ייחודי שם המשתמש שלכם.

כל שם משתמש שנבדק במערכת מקבל דרגת entropy אשר עולה ככל ששם המשתמש ייחודי יותר. למשל, שם המשתמש lion54 אינו ייחודי כי הוא משמש לזיהוי כ-27 מיליון בני אדם. לעומת זאת, שם המשתמש lionfacetalewagenfishwallwindow הוא ייחודי במיוחד. על אף ששם כזה קשה לניחוש על ידי תוכנות פריצה, מרגע שמשווק זיהה אותו (למשל, באמצעות אתר שיווקי המציע הטבות למשתמשים ודורש רישום) הוא יכול לנסות לקשר אותו לשירותים מקוונים נוספים.

שמות המשתמשים שלנו חושפים הרבה יותר מהעקבות הדיגיטליות שלנו באתרים אחרים. מחקר שנערך בשנה שעברה גילה כי כמות משתמשים בשירותים און ליין מאפשרים לחשוף את הזהות האמיתית של האנשים שעומדים מאחוריהם ב-42% מהמקרים.

ההמלצה: גיוון הגיוני

מחקר אחר גילה שיותר ממחצית מהאפליקציות לסמרטפונים מדליפות למשווקים מספר זיהוי ייחודי המאפשר להם לזהות את תחומי העניין של המשתמש וגם מיקומו.

"אנשים נוטים לחשוב בשוגג כי בחירה בשם משתמש מורכב משרתת אותם כמנגנון אבטחה", אומר עו"ד קוזלובסקי. "בפועל זוהי אשליית אבטחה מקום שאדם משתמש באותו שם משתמש, מורכב ככל שיהיה, בשירותים שונים וחושף בכך את המזהה הייחודי המשמש אותו ברשת. תוכנות מחשב כשירות לבצע פעולה של האחדת זהות שהיא איחוד חשבונות משירותים שונים לכלל משתמש אחד, מקום שפרמטרים אחרים זמינים, דוגמת כתובת החיבור לרשת או איזור החיבור, מלמדים סטטיסטית כי מדובר באותו משתמש.

עו"ד קוזלובסקי ממליץ לא לבחור באותו שם בו אתם כבר משתמשים כדי להתחבר לשירותים רגישים כדי למנוע מנוכלים לעשות הצלבה בין החשבונות שלכם. המלצה נוספת היא לבחור סיסמה שונה לכל שירות ולוודא שידיעת הסיסמה באתר אחד לא תקל באמצעות רמז או אמצעי אחר על ניחוש הסיסמה בשירותים שונים.

בעבר דחה השופט רמי אמיר בפרשת בורוכוב את הטענה כי חוק הגנת הפרטיות מגן על אדם מפני אאוטינג לזהות האמיתית שמאחורי כינוי מקוון. "אף שמדובר לכאורה בענייניו הפרטים של אדם, הרי בהיעדר חובת סודיות שבדין או חובת סודיות ספציפית בין הצדדים, אין מניעה לבצע את השיוך האמור", אומר קוזלובסקי, "בית המשפט דחה את הטענה כי חשיפת זהותו של בעל שם משתמש נוגעת לעניין שבצנעת חייו של אדם, כהגדרת חוק הגנת הפרטיות,  ולכן דחה את הטענה שיש איסור גורף על אותה חשיפה.".

הכתבה פורסמה במקור בבלוג "חורים ברשת"

> > > עוד בחורים ברשת: CSI תל אביב: כחולי המדים בעקבות האייפון הוורוד