תקרית משמעותית של חשיפת מידע השפיעה על פלטפורמת החיובים מבוססת הענן Invoicely ואפשרה פגיעה במידע רגיש השייך ללקוחות ברחבי העולם. מסד הנתונים שנחשף הכיל 178,519 קבצים בפורמטים שונים, כולל גיליונות אקסל, קבצי CSV, קבצי PDF ותמונות. הדבר המדאיג ביותר הינו היעדר מוחלט של אמצעי אבטחה: מסד הנתונים לא היה מוגן בסיסמה ולא היה מוצפן, מה שהפך אותו לנגיש לכל מי שגילה אותו באינטרנט.
חוקר אבטחת הסייבר ג'רמיה פאולר גילה מסד נתונים לא מוגן המכיל כמעט 180,000 קבצים, כולל חשבוניות, מידע בנקאי, מסמכי מס ורשומות סודיות אחרות. בחקירה נמצא כי החשבוניות מכילות מידע אישי מזהה כגון שמות, כתובות פיזיות, מספרי טלפון ומספרי זיהוי מס השייכים לספקי שירותים, שותפים, עובדים ולקוחות במספר מדינות. מעבר למסמכיים עסקיים סטנדרטיים, הכיל מסד הנתונים גם כרטיסי טיסה, קבלות על נסיעות, רישומי ביטוח בריאות ומידע על תשלומים רפואיים. צילומי מסך מהחשיפה הראו צ'קים סרוקים עם מספרי ניתוב בני תשע ספרות, מספרי חשבון ומספרי צ'קים – מה שהדגיש את חומרת החשיפה של הנתונים הפיננסיים.
מסד הנתונים ותוכנו הצביעו על בעלות של Invoicely – המופעלת על ידי Stack Holdings GmbH – חברת תוכנה הממוקמת בעיר וינה. בהתאם לפרוטוקולי גילוי אחראי, יצר פאולר מיד קשר עם Invoicely דרך מערכת התמיכה שלהם. החברה הגיבה במהירות והגבילה את הגישה הציבורית למסד הנתונים תוך שעות מההודעה, אם כי לא סיפקה תגובה רשמית.
Invoicely מספקת שירותי חשבוניות וחיוב מבוססי ענן לעסקים ברחבי העולם ומציעה כלים ליצירת הערכות, אוטומציה של חיוב חוזר, שליחת תזכורות תשלום ומעקב אחר הוצאות וקילומטראז'. הפלטפורמה פועלת במודל freemium עם חשבונות חינמיים מוגבלים ורמות בתשלום המציעות תכונות מורחבות. Invoicely זמינה בפלטפורמות iOS ואנדרואיד ולפי פרופיל הלינקדאין שלהם היא משרתת למעלה מ- 250,000 עסקים.
ציר הזמן של החשיפה נותר לא ברור – לא כמה זמן מסד הנתונים היה נגיש לציבור וגם לא האם השיגו גורמים בלתי מורשים גישה למידע לפני גילויו של פאולר. כמו כן, לא ידוע האם מסד הנתונים נוהל ישירות על ידי Invoicely או על ידי קבלן צד שלישי – מידע שידרוש חקירה פנימית.
תקרית זו מתרחשת על רקע חששות גוברים בנוגע להונאת חשבוניות, כאשר סקר הונאות ובקרת תשלומים של AFP לשנת 2024 מגלה כי 80% מהארגונים חוו ניסיונות הונאת תשלום בשנת 2023 – עלייה של 15% לעומת השנה הקודמת. נתוני החשבוניות שנחשפו עשויים לספק לפושעי סייבר מידע מפורט אודות קשרים עסקיים, תהליכי תשלום וחשבונות פיננסיים – בהם ניתן להשתמש להוצאה לפועל של מתקפות מתוחכמות של הונאת סייבר. יש לציין כי מסמכי המס שדלפו מציגים סיכונים נוספים: מספרי ביטוח לאומי, תאריכי לידה ופרטי מעסיק המאפשרים גניבת זהות. רשות המסים האמריקאית (IRS) העריכה כי כ- 6,000 דוחות מס הונאה הוגשו באמצעות זהויות גנובות במהלך שנת המס 2025, כאשר הרשויות חסמו 54 מיליון דולר בהחזרי הונאה.
עבור ארגונים המנהלים נתונים פיננסיים רגישים, ממליצים מומחי אבטחה ליישם הצפנה עבור כל המידע המאוחסן, לבצע הערכות פגיעות קבועות ולתחזק מערכות ניטור. על עסקים ואנשים פרטיים העשויים להיות מושפעים מדלף מידע זה לשנות סיסמאות בחשבונות קשורים, לנטר דוחות אשראי לאיתור פעילות חשודה ולאמת כל בקשת תשלום בלתי צפויה דרך ערוצים רשמיים. חשוב להבין כי תקרית זו מדגישה את החשיבות הקריטית של אבטחת פלטפורמות עסקיות מבוססות ענן, במיוחד אלו המטפלות במידע פיננסי ואישי עבור מאות אלפי משתמשים ברחבי העולם.
