הסטארט אפ הישראלי Hola עורר השבוע סערה לאור ביקורות בכלי תקשורת על כך שב”הולה” מכרו רוחב פס של משתמשים לגורמים חיצוניים, שלפחות במקרה אחד השתמשו בו לצורך מתקפות מניעת שירות מבוזרת (DDoS) נגד אתר אינטרנט.
קיימים שירותי פרוקסי רבים המציעים פתרון דומה, אך התוסף של Hola נוח במיוחד משום שהוא פועל באמצעות הדפדפן ויוצר רשת P2P בין המשתמשים ובכך מנתב את הגלישה בין הגולשים בהתאם למדינה שבהם הם שוהים.
השימוש הבסיסי בתוסף הוא חינם אך גירסת הפרימיום בתשלום מציעה יכולות מתקדמות. נוסף לכך, Hola מפעיל מותג לעסקים בשם Luminati המאפשר לרכוש רוחב פס מחיבורי הגולשים ולהשתמש בו לכל מטרה, כאשר אחת המטרות על פי הדיווח הייתה מתקפת בוטנט, רשת של מחשבים זומבים שלא נמצאים בשליטה מלאה של בעליהם.
הפרשה התפוצצה לאחר שמנהל אתר הקהילות 8chan דיווח כי האתר נתון תחת מתקפת DDoS מהרשת של Hola. על פי הדיווח, האתר היה תחת עומס של אלפי בקשות מידע תוך 30 שניות שגרמו לעליה של פי 100 בהיקף התעבורה ביחס לממוצע. בכלי תקשורת רבים נמתחה ביקורת חריפה על אופן פעילותה של החברה. רוב המשתמשים של Hola לא היו מודעים לבעיה, שכן העובדה שהחברה מוכרת את התעבורה שלהם מצוינת רק בעמוד שאלות ותשובות ורוב המשתמשים, יש להניח, לא מגיעים אליו.
סביר להניח כי ככל סטארטאפ המתנהל עם ייעוץ משפטי צמוד, מה שעשתה Hola הוא כשר גם אם מסריח. אותי מעניינת יותר ההתמודדות של החברה עם המשבר התקשורתי. על פי הודעה שמסרה החברה, מדובר במקרה בודד, בו האקר המכונה BUI חמק את הליך הסינון של החברה באמצעות התחזות לתאגיד מכובד והתקיף את האתר. לאחר הפרסומים החברה מסרה כי הפסיקה את המתקפה ושינתה את נוהלי הסינון.
לכאורה, טעות נקודתית שטופלה ונענתה בתגובה מפורטת ומנומקת של מנכ”ל “הולה”, עופר וילנסקי. הפרשה לא מסתיימת כאן. קבוצה של מפתחים, האקרים ופעילי פרטיות בשם Adios מאשימים את “הולה” במעשים חמורים יותר. העניין הבסיסי הוא ש”הולה” לא סיפקה למשתמשים שלה דרך פשוטה להימנע מהפיכת החיבורים שלהם לזמינים למשתמשים שרוצים להשתמש בשירות עבור פעילויות שאינן רק גישה לאתרים חסומים. בדרך זו, משתמשי “הולה” הסתכנו בכך שכתובות ה-IP שלהם שימשו לצפיה בתכנים פדופיליים או הפרת זכויות יוצרים, עבירות שעלולות טכנית לסבך אותם.
נוסף על כך, על פי Adios, כאשר “הולה” הפכה כל מחשב לנקודת קצה של רשת VPN, כל משתמש אחר ברשת יכול היה לצאת דרך חיבור האינטרנט שלו ולהשתמש בכתובת ה-IP שלו. לכן השירות ניתן חינם, משום ש”הולה” לא משלמת על חיבור האינטרנט שלכם. היא משתמשת בחיבור שלכם ומספקת אותו לאחרים. “אדיוס” פירמס סרטון הממחיש את כשלי האבטחה שהיא איתרה בשירות.
“חלק מההאשמות האיומות נגד ‘הולה’ פשוט לא נכונות”, כתב וילנסקי בפוסט בבלוג הרשמי של הולה, “חוללנו חדשנות במהירות אך נראה שסטיב ג’ובס צדק”.
ג’ובס דגל בפילוסופיה של “חולל חדשנות במהירות” גם במחיר של גרימת טעויות קריטיות. וילנסקי הדגיש כי השינויים שבוצעו טיפלו בחששות הציבור. אתר האינטרנט של “הולה” עודכן במידע מפורש יותר אודות הדרכים בהן משתמשי השירות מחוברים זה לזה ושני כשלי אבטחה טופלו. אלא שעל פי “אדיוס”, היו שש פרצות אבטחה ולא שתיים והן עדיין נמצאות שם. חברת אבטחת מידע נוספת בשם Vectra נסוגה מהאשמות חמורות שהפנתה כלפי “הולה”.
בוויכוח המתמשך בין “הולה” לחברות אבטחת המידע כולם צודקים. “הולה” טיפלה בבעיות האבטחה הנקודתיות שדווחו אך זה לא משנה את העקרון הבסיסי שנאמר פעמים רבות ובכל זאת שווה להזכירו פעם נוספת: אם אתם לא משלמים עבור השירות כנראה שאתם המוצר. במובן זה “הולה” לא שונים מפייסבוק, טוויטר או כל שירות שניתן לכם חינם תוך שהוא צובר מידע יקר ערך על המשתמשים שלו.
