דע את האויב: הביון מקוון מרים ראש

שמנהל כספים בחברה ניו יורקית פרטית, גרוש טרי, קיבל הצעת חברות בפייסבוק מבלונדינית אטרקטיבית, הוא אישר אותה בשמחה. כמה ימים וכמה צ'טים מאוחר יותר, הציעה החברה החדשה לבוא לבקר אותו, ושאלה על הדרך כמה שאלות תמימות, כמו מה המחזור הכספי של החברה בה הוא עובד. התשובה הייתה שהוא אינו יכול למסור את המידע הזה. צ'טים ספורים לאחר מכן הוא כבר נקב במספר: 6.5 מיליון דולר. 

אלא שהזרה הסקרנית, שהצליחה בקלילות לברר את הנתון הזה, לא בדיוק חיפשה קשר רומנטי. "היא" הייתה למעשה יועץ אבטחה של חברה הודית בשם סייברום, שבודקת עד כמה קל לנצל את המדיה החברתית לצורך ריגול תעשייתי.

החברה הניו יורקית של המנהל הפטפטן הייתה רק אחת מ־20 החברות שסייברום שמה לה ליעד. במשך כחצי שנה היא עקבה אחר עובדים בטוויטר, בלינקדאין ובפייסבוק, במטרה למצוא דליפות של מידע רגיש. המרגלים של סייברום הצליחו לחזות הגשת בקשה לפשיטת רגל של חברה מסינגפור, בהתבסס על טוויטים של עובדים המספרים על "הידוק חגורה", לצד הודעה בלינקדאין של סמנכ"ל התפעול, שכתב כי הוא מחפש עבודה.

סגן נשיא סייברום, אבילאש סונוואן, מסרב לנקוב בשמות החברות אחריהן הם עוקבים. לדבריו, המהלך נועד להדגים ללקוחות "עד כמה חשוב לקיים מדיניות של מדיה חברתית במקום העבודה ולהדריך את העובדים לגבי הדברים שאסור להם לחשוף אונליין".

אוגוסט ג'קסון, אנליסט מודיעין שיווקי בארנסט אנד יאנג, טוען שאין לו בעיה שעמיתיו לעבודה ידברו על עבודתם, רק לא "ספציפית על מה שהם עושים היום". מצד שני, אין לו התנגדות לעשות שימוש במידע כזה כשזה קורה בחברות אחרות, והוא דואג לעקוב בקביעות אחר מנהלים ועובדים של המתחרים בטוויטר ובלינקאין. "אני ממש שמח שבאחרונה נוספה פונקצית חיפוש בגוגל פלוס", הוא מוסיף.

שיתוף יתר

יצירת פרופילים מזויפים אמנם נתפסת כלא מוסרית ואף עלולה להיות לא חוקית, אבל ישנן דרכים אחרות ולגיטימיות להשיג מידע. מי שיוותר מראש על האופציה של מעקב אחר המתחרים במדיה החברתית, עלול ללא ספק לפספס מטעמים.

חברת תוכנה פנתה לסוויגארט כדי שישיג לה מידע מודיעיני על מתחרה בשם קלאודרה. הוא פרסם כמה שאלות על החברה באתר קווארה, שם הזדהה במפורש כמומחה למודיעין תחרותי. להפתעתו הרבה, אחד המגיבים הראשונים, והנלהבים יש לציין, היה מהנדס תוכנה בקלאודרה, ששמח לדון בפרויקטים עליהם עבד. "אני מבין את הדחף. הוא ניסה להיות פעיל במדיה החברתית ולהתחבר לקהילה שם", מסביר סוויגארט. לרוע המזל, הוא שכח שלא לכולם יש כוונות טובות.

סודות גלויים

לדברי פיל בריטון, מנהל בכיר למודיעין תחרותי בבסט ביי, תופסים אותם חוקי אתיקה אונליין ואופליין. "לא הייתי נכנס לחנות של מתחרה ומשקר בנוגע למעסיק שלי. אסור לאנשים ליצור זהות מזויפת אונליין", הוא אומר.

ובכל זאת, אנשים עושים זאת. תומס ריאן, יועץ בחברת פרובייד סקיוריטי, המציא בשנה שעברה דמות של מומחית לבעיות אבטחה בשם רובין סייג'. מלבד הפרופילים המפוברקים בפייסבוק, בטוויטר ובלינקדאין, היא החזיקה גם ברזומה מרשים, אך מדומיין, הכולל תואר מ-MIT ותפקידים שונים בכמה סוכנויות מודיעין. תמונת הפרופיל – בחורה שדומה לגיבורת "נערה עם קעקוע דרקון", ההאקרית הדמיונית ליסבת' סלאנדר – נמצאה באתר פורנוגרפי, לאחר חיפוש בגוגל תמונות באמצעות מילות המפתח "נערה גותית".

אותה רובין סייג' הצליחה לטוות רשת של מאות קשרים בעולם האבטחה, כולל אנשי סי.איי.איי, פנטגון ועובדים בחברות ציוד צבאי. כמה משתמשים הצליחו לזהות כי מדובר בזיוף, אבל לא לפני שסייג' הספיקה לקבל זימונים לריאיונות עבודה מחברות כמו גוגל. ריאן בחר לחשוף את הדמות הפיקטיבית שבנה (ואת עצמו) בוועידת האבטחה דפקון, והשתמש בדוגמה הזו בדיוק, כדי להוכיח שאפילו מומחי אבטחה פגיעים במצבים מסוג זה.

זה נכון שבחלק מהמקרים, "הסודות" המודלפים נותרים בגדר תקרית משעשעת ובלתי מזיקה. אבל קמפבל וסוויגארט טוענים, כי לעתים דווקא המידע המועיל ביותר מגיע ממצבור של נתונים תמימים שמופיעים בגלוי.

בלינקדאין, למשל, אפשר לעקוב אחר כל העובדים בחברה מסוימת. כך ניתן לקבל מושג על גודלה ועל הפריסה הגיאוגרפית שלה (בהתבסס על מקום מגוריהם של העובדים). דפוסי גיוס עובדים יכולים להעיד על כוונת החברה – להתרחב או להתכווץ, וקורות החיים של מצטרפים חדשים יכולים לרמוז על כיווני התפתחות חדשים בחברה.

"היום, הרבה יותר קל להשיג מידע טוב בלי לעשות שום דבר מלוכלך", אומר קמפבל. "החברות הופכות יותר שקופות – גם אם הן לא אוהבות את זה".