Search
Close this search box.
Forbes Israel Logo

שומר הדף: מנהל האבטחה הראשי של פייסבוק מספר הכל

אם פייסבוק הייתה מדינה, היא הייתה השלישית בגודלה בעולם, וג'ו סאליבן היה ראש שירותי ביטחון הפנים. התואר האמיתי שלו הוא מנהל אבטחה ראשי.

"הטרוריסטים" שבהם הוא נלחם הם רמאים שמוליכים שולל את משתמשי פייסבוק; פדופילים שמשתמשים באתר כדי ליצור קשר עם קטינים ואנשים שמשיגים באופן בלתי הולם מידע אישי רב-ערך של חברי הרשת החברתית. רשימת "הרעים" כוללת גם האקרים וספקי פורנו חובבנים, שעורכים התאמה בין דפי פרופיל לתמונות עירום פרטיות שנמסרו על ידי אקסים נקמניים – ובכך מקלים על יצירת קשר והטרדה של אלה שהפכו לכוכבי פורנו שלא בידיעתם.

לפייסבוק נגישות רבה ל"שלדים בארון" של משתמשיה, מה שהופך אותה ליעד אטרקטיבי לא רק לפושעים, אלא גם לשוטרים. האחריות של סאליבן כוללת בין היתר החלטות יומיות בנוגע להיקף המידע שיימסר, בשעת הצורך, לרשויות אכיפת החוק.

כיאה למשרד לביטחון פנים של מדינה דיגיטלית, עורכים סאליבן ו-50 אנשי צוותו שיטור פעיל באתר בחיפוש אחר מידע על משתמשים, שאותו כדאי למסור לידי הרשויות. עם זאת, הוא מדגיש: "אנחנו נוטים לא למסור מידע, והיו לנו על כך מאבקים רבים עם הרשויות במרוצת השנים".

החוק אולי מגן על המשתמשים מפני חיפוש בלתי סביר מצד המדינה, אבל החוקה היחידה של פייסבוק היא הסכם תנאי השימוש הסבוך, המתמקד באיסורים שחלים על המשתמשים, כמו בריונות, יצירת חשבונות מזויפים או העלאת תמונות של אלימות או עירום, לצד זכויות הקניין הרוחני של פייסבוק. הוא אינו מפרט מתי מותר לפייסבוק לחפש במידע למטרות שיטור, או למסור אותו לרשויות.

האם על פייסבוק להזהיר את המשתמשים (בנוסח מעצר חשודים אמריקאי) לפני שהם נרשמים לאתר ולומר להם שכל מה שהם עושים בו עלול לשמש נגדם? החברה מספקת לרשויות אכיפת החוק "מידע בסיסי על המנוי" לפי דרישה: שם משתמש, כתובת מייל וכתובת IP (החושפת את המיקום המקורב). סאליבן טוען בתוקף שכל השאר – תמונות, עדכוני סטטוס, הודעות פרטיות, רשימות חברים, חברות בקבוצות וכל היתר – מצריכים צו.

בונים תיק

לרוב לובש סאליבן (43) במשרד את "מדי מארק צוקרברג": עליונית אפורה עם כובע, סניקרס ומכנסי ג'ינס. שיערו המוארך וזקנקנו האפור משווים לו מראה הדומה יותר למאבטח בבר מאשר לתובע פדרלי לשעבר, ובטח שלא לאדם שתפקידו לאבטח ולחקור את 845 מיליון המשתמשים של פייסבוק.

 

רוב אנשי צוות האבטחה שלו ממוקמים במטה במנלו פארק, קליפורניה, סביב קבוצות של שולחנות עבודה צפופים. הצוות מחולק לחמש קבוצות. עשרה אנשים בוחנים יישומים חדשים שהושקו זה עתה, שמונה מפקחים על האתר בחיפוש אחר באגים וכשלים באבטחת הפרטיות, 25 מטפלים בבקשות למידע על משתמשים מצדן של רשויות האכיפה וכמה מהם בונים תיקי תביעה פליליים ואזרחיים נגד אלה שמפירים את כללי ההתנהגות ברשת; היתר הם שומרי ראש דיגיטליים המגינים על עובדי פייסבוק ("בכל יום יש לנו מישהו שמנסה לפרוץ לחשבון של אחד העובדים", אומר סאליבן).

  דומה למאבטח בבאר. סאליבן | צילום: SocialBarrel

מדובר בממלכה גדולה שיש לבצע בה שיטור, המאוכלסת במידע יומיומי ואישי מאוד על הנתינים. ערכה תלוי בכך שהתושבים יישארו מרוצים ומוגנים, הן מפני חטטנות יתר מצד אנשי החוק והן מפני טורפים.

סאליבן שסיים את לימודי המשפטים באוניברסיטת מיאמי ב-1993, מספר כי היה הראשון מבין חבריו לרכוש מחשב אישי ולפתוח חשבון אימייל. בעבודתו הראשונה במשרד המשפטים במיאמי הוא שכנע את הממונים עליו שהמשרד צריך חיבור אינטרנט. מאז שעבר ללאס וגאס כתובע פדרלי ב-1997, הוא עוסק בפשעי אינטרנט.

כשמשרד המשפטים פצח בתוכנית למניעת פשעי מחשב וגייס תובע אחד מכל משרד לעבודה על תיקים של פשעי סייבר, הוא התנדב והחל לעבוד על הונאה באחד מגלגוליה הראשונים של eBay ועל תיקים של תוכנות פירטיות. לאחר שבוב מולר, כיום ראש ה-FBI, החל לגייס צוות הייטק לעבוד בשלוחת עמק הסיליקון של משרד המשפטים ב-1999, קפץ סאליבן על ההזדמנות שהציבה אותו במרכז תחום פשעי הסייבר בתקופת בועת האינטרנט.
ב-2002 עבר ל-eBay, והאחריות שלו בתחום האבטחה חלה גם על היחידות פייפאל וסקייפ. אז גם נדרש לבצע שינוי מעמיק בחשיבה – לא רק כיצד לתבוע בצורה הטובה ביותר פושעים, אלא כמה מידע למנוע מהרשויות כדי להגן על הזכויות של הלקוחות.

"החזקנו בגישות פילוסופיות שונות לחלוטין בנוגע לחוק ולציפיות המשתמשים לגבי שיתוף מידע עם רשויות האכיפה – תלוי מה היה המוצר", הוא אומר. כפי שניתן לצפות ממישהו שרק שנה לפני כן היה תובע, יחסיו של סאליבן עם רשויות האכיפה היו חמימים בזמן שהצטרף ל-eBay. ב-2003 השמיע סאליבן הערה שלא לציטוט בכנס פשעי סייבר, שהוקלטה בחשאי ונמסרה לעיתונאי הארץ. סאליבן טען שמדיניות השמירה על הפרטיות של eBay "גמישה", ומאפשרת לה לספק בחופשיות מידע לחוקרים, "ללא צורך בהוראת בית משפט", ויובל דרור פרסם כתבה שעסקה בקנוניה שרקמה eBay עם השלטונות.

"במקרה של סקייפ היינו אומרים לרשויות האכיפה לפנות ללוקסמבורג (שם ממוקם מטה החברה), ושיהיה בהצלחה", אומר היום סאליבן. "אבל במקרה של eBay, רשות אכיפה שמנהלת חקירה נגד מוכר לא צריכה אפילו זימון מבית משפט. מספיק לבקש את זה בכתב, והיינו מוסרים זאת. בתקופה ההיא היו אנשים ששמו כסף במעטפות ושלחו אותו למוכרים ב-eBay, מתוך תקווה לקבל את המוצר שלהם. אפשר היה לצפות שהמוכרים יימצאו תחת פיקוח מדוקדק".

לדברי סאליבן, החוויה של הסתכלות מבעד למשקפיים משפטיים שונים בנוגע למידע שאותו יש להעביר לרשויות האכיפה הייתה מועילה ביותר כשהגיע ב-2008 לפייסבוק. "מקום שבו הציפייה לפרטיות היא ראשונה במעלה, וההשקפה שלנו הייתה צריכה להיות דומה למדיניות של סקייפ". לטענתו, ב-"99.9 אחוז מהפעמים," שבהן פייסבוק מתנגדת לבקשה, הממשלה נסוגה.

סאליבן אמנם מעריך את הניואנסים של פרטיות בהקשר של ביטוי ותקשורת, אולם נראה כי הסובלנות שלו פוחתת משמעותית כשמדובר בהונאה או בילדים. עם הצמיחה בשימוש בפייסבוק קרדיטס – המערכת הכספית של האתר, המבקשת מהמשתמשים להשתמש בדולרים וירטואליים לרכישת סחורות במשחקים ובאפליקציות – הוא יאמץ כנראה את הגישה של eBay. כדאי לאלו שסוחרים בדולרים של פייסבוק לקחת בחשבון פיקוח הדוק.

פייסבוק וה-FBI

פייסבוק המתרחבת במהירות עברה בדצמבר מפאלו אלטו למנול פארק, למטה הישן של סאן מיקרוסיסטמס. הקירות הפנימיים מזכירים אלבום של דפי פרופיל. הדפסות ממשחק הווידיאו דונקי קונג והודעות משורבטות של מבקרים (שרבים מהם מודים לפייסבוק על שאפשרה להם להכיר אחר הגבר או האישה שהפכו לבסוף לבני הזוג שלהם) תלויות לצד תמונות ופרטי חקירה של ספאמרים, האקרים ופדופילים שניצודו ונזרקו מהאתר.

סאליבן מחווה לכיוון עשרה אנשים שיושבים בשורה של שולחנות עבודה, ומחייכים בביישנות לעברנו. "הם מטפלים בבקשות מרשויות האכיפה", הוא מסביר. צוות האבטחה כולל חמישה חברים נוספים שממוקמים באירלנד, דוברים את כל השפות האירופיות ומטפלים בבקשות מצד ממשלות בעולם. "קלאודיו, למשל, מדבר עם כל שוטר באיטליה ומשיב לכל שאלה שעשויה להתעורר אצלם לגבי פייסבוק. אנחנו זהירים מאוד לגבי המידע שאנו חולקים, אבל זה לא אומר שאנחנו לא יכולים לעזור להם להבין את המצב, שאיתו לא התמודדו אף פעם בעבר", הוא אומר.
ג'וליאן אסנג' מוויקיליקס כינה את פייסבוק מכונת הריגול המושלמת ביותר בעולם, המאפשרת גישה ל-40 אחוז מ-2 מיליארד משתמשי האינטרנט בעולם. סטודנט אוסטרי למשפטים בן 24 ניצל לא מזמן את חוק "זכות הגישה" האירופי – המאלץ חברות למסור לפי דרישה את כל המידע שיש להם על אזרחים – כדי לקבל את תיק הפייסבוק שלו. אחרי שלוש שנים באתר הוא הגיע ללא פחות מ-1,222 דפים.

סאליבן לועג לדימוי של מכונת הריגול. "אין לנו צינור מידע ל-CIA", הוא אומר. "אם אנשים יעברו חוויות נוראיות, הם יפסיקו להשתמש בפייסבוק. יש גורמים רבים שיכולים פוטנציאלית להשפיע לשלילה על שימור הלקוחות, הצמיחה במספרם והמחויבות שלהם, בין היתר אם יחולו שינויים בסנטימנט של המשתמשים לגבי איכות המוצרים שלנו או התועלת שלהם, או אם יעלו חששות הנוגעות לפרטיות ולשיתוף, לבטיחות, אבטחה או גורמים אחרים".

אוכפי החוק, כמו גם בעלי תביעות אזרחיות, נשענים יותר ויותר על חברות צד-שלישי דוגמת פייסבוק כמקור לראיות בחקירות פשעים ובתביעות משפטיות. זהו טבעו של עידן חשיפת היתר, שבו אנו מייצרים על עצמנו הרבה יותר מידע שניתן לגלות אותו ולהגיע אליו בקלות.

סאליבן מספר שמשטרת פלורידה התקשרה לא מזמן לקו החם של פייסבוק לאכיפת החוק, הפועל 24 שעות ביממה, כדי לבקש סיוע באיתור תינוק בן שבועיים שנחטף. כשרשויות האכיפה מתקשרות לקו החם עם מקרה חירום של חיים או מוות, מוותרת פייסבוק על דרישות החוק הבסיסיות ומוסרת לרשויות מידע מבלי שיצטרכו לעבור בצינורות המקובלים. במקרה זה היא סיפקה את כתובת ה-IP ומידע על המיקום שבו התבצעה הכניסה האחרונה לפייסבוק על ידי המשתמש שנחשד בחטיפת הילד. התינוק נמצא כעבור 30 דקות.

בתקרית אחרת, הובילה פעולת שיטור יזומה מצד צוות האבטחה של פייסבוק לאיתור של פדופיל פוטנציאלי. "גילינו שכומר מאינדיאנה, שהוא גם מאמן ספורט של ילדים, השתמש בחשבונות מזויפים כדי לנסות ליצור קשר עם ילדים באתר שלנו, אז התקשרנו ל-FBI באינדיאנה ומסרנו להם את המידע". לטענת סאליבן, השימוש של האיש בחשבונות מזויפים וכן תוכן ההתקשרויות שלו היו מטרידים דיים כדי להצריך התערבות משטרתית.

העוקץ

למשתמשים קל לשכוח שפעילותם באתר זוכה להשגחה, אם לא של בני אנוש, אז של אלגוריתמים. בשנה שעברה אימצה פייסבוק תוכנה של מיקרוסופט בשם PhotoDNA, הסורקת כל תמונה שמועלית לאתר כדי לראות אם היא תואמת לתמונות מפורסמות של פורנו ילדים שלוקטו בידי מרכז המידע הקרימינלי של ה-FBI. "האמת", אומר סאליבן. "הרשימה שלנו של תמונות פורנו עם ילדים ארוכה בהרבה מזו של ה-FBI. בכל פעם שאנחנו מגלים משהו חדש – אם באמצעות דוח משתמש או באמצעות מילת מפתח – אנחנו עוברים ידנית על אלבום המשתמש כדי לראות אם יש תמונות נוספות שצריכות להיכנס לרשימה, ואז מוסיפים אותן לספרייה שלנו. אנחנו בוחנים כיצד לשתף את הספרייה שלנו עם אחרים".

במשך שנים הריץ האתר בשרתים שלו אלגוריתמים שנועדו לעקור חשבונות מזויפים של דואר זבל ולפקח על קשרים בין ילדים למבוגרים. פתיינים, היזהרו: "אם 80 אחוז מבקשות החברות שלכם מופנות לבנות, זוהי נורה אדומה, או אם אתם משנים את תאריך הלידה שלכם פעמים רבות מתחת ומעל לגיל 18", אומר סאליבן. "צוות היושר של האתר שלנו בנה מנועים להזנת מאפיינים והם החלו לצוד אנשים".

הצוות של סאליבן קובע מתי יוכלו השוטרים לחפור בחשבונות של המשתמשים, לעתים בדרכים שרוב חברי פייסבוק כנראה לא מודעים להן. יותר מכך, לצוות יש גם סמכות לרחרח מדי פעם בעצמו כדי למנוע ניצול זדוני של האתר, וגם כדי להסגיר את אלה שעושים זאת לרשויות. פייסבוק אולי דורשת צווים כדי לאפשר למשטרה גישה לבתים הדיגיטליים של משתמשיה, אבל מהי הזכות שלנו לפרטיות בכל הנוגע לחברה שמאחסנת את הנתונים שלנו? זה כבר מורכב יותר.

פרטיות – או היעדר פרטיות – היא התלונה הנפוצה ביותר המופנית כלפי פייסבוק. שינויים חוזרים ונשנים בהגדרות הפרטיות עוררו תגובת נגד מיידית מצד המשתמשים, ונסיגה מצד החברה. בארה"ב חשוף האתר לביקורת פרטיות שנערכת אחת לשנתיים על ידי ועדת המסחר הפדרלית. אבל האתר ממשיך לחזור לסורו. באחרונה העבירה פייסבוק את כל המשתמשים מדפי הפרופיל הקיימים שלהם לתצוגת טיים ליין החושפת את פעילותם שנים לאחור בדף הראשי של המשתמש, פעולה שגררה לא מעט ביקורת מצד מגיני הפרטיות.

סאליבן לא מסתפק בהרתעה ובחיסול איומים (בהם מתמקדות רוב החברות), הוא רוצה גם לרדוף אחר הפושעים. סאליבן טוען כי רשויות האכיפה ממוקדות בפשעי קניין רוחני וכמעט שאינן מתעניינות בתוכנות זדוניות ובמקרים של ספאם – כאב ראש לא קטן עבור אתרים חברתיים. אז פייסבוק לקחה את העניינים בידיה הממחושבות, והיא רודפת את החשודים בבית המשפט האזרחי ובאמצעות דעת הציבור.

"חברות רבות מסתפקות במשחק הגנה, כמו חברות כרטיסי אשראי – הן משקיעות המון בגילוי הונאות ובמניעה, אבל הן לא נוקטות צעדים אזרחיים", אומר סאליבן. "אנחנו מבלים זמן רב בניסיונות להבין מי יושב בצד השני של פשעי הסייבר".

אחת ההונאות הנפוצות כוללת הטעיית משתמשים כך שימלאו שאלונים או יבקרו באתרים המייצרים רווחים לחברות שיווק, באמצעות תמונות מפתות (של אלילי נוער, למשל). עורכי הדין של פייסבוק מחלקים שלל מכתבי התראה. כשאתר בשם IsAnyoneUp החל למקם צילומי מסך של דפי משתמשים ליד תמונות עירום שלהם, שלחה פייסבוק מכתב לספק, סגרה את החשבון שלו ושללה ממנו את האפשרות להתקין את מקש ה"לייק" באתר שלו. (זה עדיין לא עצר אותו). היא גם הגישה תביעות נגד תריסרי ספאמרים ונגד גורמי שיווק ופרסום, מכוח חוק האנטי ספאם האמריקאי, וזכתה ביותר ממיליארד דולר בפסקי דין.

"האבטחה באימייל מאוד מפותחת היום, וכולם יודעים שצריך להיזהר מספאם ומווירוסים", אומר דירק קולברג, חוקר אבטחה בחברת סופוס שבגרמניה. "אבל האנשים לא הוכשרו להיזהר מהדברים האלה במדיה החברתית, לכן הפושעים עוברים לשם". פייסבוק שיתפה פעולה עם סופוס וחשפה חמישה רוסים שעמדו מאחורי תולעת ה"קובפייס" (משחק מילים עם אותיות השם פייסבוק) שהדביקה מאות אלפי מחשבים וייצרה רווח לא חוקי של לפחות 6 מיליון דולר ליוצריה.

כשמשתמשי פייסבוק הקליקו על הפוסט "אתם חייבים לראות את הסרטון המטורף הזה", הם קיבלו הוראה להוריד עדכון לתוכנה שלהם. המחשבים הנגועים הפכו שלא ביודעין לעבדים, מחשבי זומבי שנוהלו בידי כנופיית קובפייס. הם יצרו רווחים מחטיפת חיפושי רשת, כך שהמחפשים יגיעו לאתרים של נוכלים ומהפצצת משתמשים במודעות שנוהלו בידי פושעי סייבר אחרים.

בעזרת סופוס עקב סאליבן אחר 'פירורי לחם' דיגיטליים (Breadcrumbs), חשף את החבר'ה שאחראים לקובפייס והגיש את הראיות ל-FBI. לאחר יותר משנה של חוסר פעולה מצד ה-FBI, ולאחר שבלוגר שכותב על אבטחה התריע לגבי אחד מהם, ובכך הזהיר את האחרים שמחפשים אותם, החליטו בפייסבוק לאמץ גישה של משמר אזרחי וחשפו את חברי הכנופייה בניו יורק טיימס.
פייסבוק וסופוס פירטו כיצד הם איתרו אותם באמצעות התחקות אחר כתובות ה-IP שלהם, כניסות לפורסקוור, פעילות בטוויטר, רשימות חברים באתר של רשת חברתית רוסית ותמונות בפליקר שבהן מצולמים חברי הכנופייה בנופש באירופה. "העניין הוא לא לפקח על המשתמשים", אומר קולברג, שהשתתף בעוקץ הקובפייס. "אלא ליצור עבורם אבטחה".

לפעמים פייסבוק הולכת רחוק מדי – ואז נסוגה. סאליבן לא מפרט, רק נותן כדוגמה מקרה היפותטי בו בני נוער משתמשים בפייסבוק, "בסגנון דואר זבל אבל בתוך הגבולות החוקיים" – למשל באמצעות הזמנות המוניות לאירועים. במקרים כאלה אנשי צוותו בדרך כלל אינם מסגירים את העבריינים לרשויות ובמקום זה הם מתקשרים לאימהות שלהם.

החברים עוזרים

סאליבן גם רתם את הציבור למאבק. הוא קיבל תקציב כדי לייסד תוכנית של הענקת פרס לגילוי באגים, שבמסגרתה יכולים המשתתפים להרוויח 500 דולר או יותר תמורת זיהוי (ושמירה בסוד) של כשלי אבטחה ופרטיות באתר. "יש לנו צוות אבטחה קטן מאוד", הוא אומר. "אז אנחנו מנסים להפוך את המשתמשים שלנו לשומרי סיור".

פייסבוק הפכה את תהליך הדיווח הזה לידידותי למשתמשים, כולל מקש "דווח" על כל פיסת תוכן שמופיעה באתר, כך שהמשתמשים יכולים לסמן זאת כ"ספאם או הונאה", "עירום", "אלימות", "דברי הסתה" ועוד כמה קטגוריות. כשאדם משיקגו העלה בדצמבר תמונה של בנו הפעוט כפות ופיו חסום בנייר דבק וצירף הסבר, "זה מה שקורה כשהתינוק שלי מכה אותי בחזרה", התמונה סומנה. דווח על האיש לרשויות והוא הואשם בתקיפה חמורה.

מצד שני, בדצמבר גילה אחד המשתמשים פרצה באבטחה של פייסבוק והחליט לפרסם את זה, ולהראות כיצד ניתן לחשוף תמונות פרטיות של משתמש, אם מדווחים על אחת מהתמונות הציבוריות שלו כ"פוגעת"; במקרה כזה משתמשת פייסבוק בתמונות הפרטיות האחרות של המשתמש כדי לסמן כל תמונה שפוגעת בצורה דומה. האדם שגילה את הכשל פרסם זאת בפורום ההודעות של Bodybuilding.com וכלל כמה מהתמונות הפרטיות של מארק צוקרברג שנחשפו בדרך זו. "אני מקווה שהוא פשוט לא ידע שיש מקום שבו הוא יוכל להרוויח כסף באמצעות דיווח על באג כזה", אומר סאליבן.

כיצד יוצרים מקום בטוח יותר ושומר חוק מבלי ליצור מדינת סייבר שמתנהלת באמצעות מעקבים חונקים? כעת, כשפייסבוק מחזיקה אמצעי זיהוי ביומטרי לתווי פנים של מאות מיליוני משתמשים, מה היא תעשה כשרשויות האכיפה יבואו עם תמונה של חשוד בפשע ויבקשו לזהותו?
"נתעקש על צו מבית משפט ונילחם ככל שנוכל באמצעות מערכת החוק", אומר סאליבן, ומוסיף כי פייסבוק מקבלת אלפי שיחות ומיילים מהרשויות בכל שבוע. "באחרונה רשות ממשלתית רצתה שנתחיל לאסוף מידע שלא אספנו עד כה. אמרנו להם שלא נתחיל לבצע רישום של פיסת המידע הזו כי איננו זקוקים לה כדי לספק מוצר טוב. דיברנו עם היועץ הכללי שלנו. החוק אינו שחור-לבן. הם חשבו שיוכלו לאלץ אותנו. אמרנו להם ללכת לבית המשפט. הם עדיין לא עשו זאת".

הרשמה לניוזלטר

באותו נושא

הרשמה לניוזלטר

מעוניינים להישאר מעודכנים? הרשמו לרשימת הדיוור שלנו.

דילוג לתוכן