דלגו לתוכן
לקהל הרחב4 בנובמבר 20259 דק׳ קריאה

הדלפת מידע? כך בודקים אם המייל והסיסמאות שלכם נחשפו

מאגרון ואלקטור ועד גל ההדלפות של 2023 — פרטים של כמעט כל ישראלי כבר דלפו לאנשהו. בדיקה של שתי דקות ב-Have I Been Pwned (17.68 מיליארד חשבונות חשופים) תגלה מה בדיוק דלף מכם, ומדריך התגובה המסודר יגיד מה לעשות עם התשובה — כולל מתי לבדוק דוח אשראי בבנק ישראל.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

קפצה לכם פעם התראה כזאת בטלפון — ״הסיסמה שלך הופיעה בהדלפת נתונים״? רוב האנשים סוגרים אותה בתנועת אגודל וממשיכים הלאה, קצת כמו נורת שמן שנדלקת ברכב. זו טעות. ההתראה הזאת לא אומרת שמישהו פרץ לכם לטלפון — היא אומרת משהו קונקרטי הרבה יותר: צירוף המייל-והסיסמה שלכם יושב כרגע בקובץ שמסתובב ברשת, וכל מי שמחזיק בו יכול לנסות אותו על חשבון הבנק, המייל והרשתות החברתיות שלכם. החדשות הטובות: לבדוק אם המידע שלכם דלף לוקח פחות משתי דקות, זה חינם, וזה בטוח. במדריך הזה נעבור על זה צעד-צעד — ומה עושים אם התשובה היא ״כן״.

מה זו בכלל ״הדלפת מידע״?

כשאתם נרשמים לאתר — חנות, אפליקציה, פורום — הפרטים שלכם נשמרים במאגר של אותו גוף. כשתוקפים פורצים למאגר כזה, התכולה שלו — כתובות מייל, סיסמאות, טלפונים, לפעמים תעודות זהות ופרטי אשראי — מועתקת החוצה, ומשם נמכרת, נסחרת או מתפרסמת בחינם ברשת האפלה ובקבוצות טלגרם. אתם לא עשיתם שום דבר לא בסדר — האתר שסמכתם עליו נפרץ. אבל התוצאה נוגעת ישירות אליכם.

למה זה נוגע גם אליכם? קצת היסטוריה ישראלית

אם אתם חושבים ש״לי זה לא קרה״ — כמעט בוודאות אתם טועים, ולא בגללכם. בישראל התרחשו כמה מהדלפות המידע הגדולות ביחס לאוכלוסייה שנרשמו אי פעם:

  • אגרון 2006. עותק של מרשם האוכלוסין — לפי הדיווחים מעל 9 מיליון רשומות עם שמות, מספרי תעודת זהות, כתובות, תאריכי לידה וקשרים משפחתיים — נגנב על ידי עובד קבלן, נארז כתוכנה בשם ״אגרון 2006״ והופץ ברשת. המידע הזה זמין לעבריינים עד היום.
  • אלקטור 2020. אפליקציית הבחירות של הליכוד חשפה את פרטיהם של 6.5 מיליון בעלי זכות בחירה — שם מלא, תעודת זהות, מין וכתובת — בגלל פרטי התחברות של מנהל מערכת שהיו גלויים בקוד האתר. כלומר: כמעט כל בוגר בישראל.
  • אטרף 2021. קבוצת התקיפה Black Shadow פרצה לחברת האחסון CyberServe והדליפה את מאגר אתר ההיכרויות — לפי הדיווחים מאות אלפי חשבונות, כולל מידע אינטימי במיוחד וסיסמאות לא מוצפנות.
  • גל Cyber Toufan 2023. פריצה אחת לחברת אחסון ישראלית הובילה, לפי הדיווחים, לדליפות מעשרות ארגונים במקביל — בהם איקאה ישראל, טויוטה ישראל וגופים ממשלתיים — עם הדלפות יומיות בטלגרם.

המסקנה המעשית פשוטה: ההנחה הסבירה לגבי כל ישראלי בוגר היא שפרטים כלשהם שלו — לפחות תעודת זהות וכתובת, סביר שגם מייל וסיסמה ישנה — כבר נמצאים באיזשהו מאגר דלוף. השאלה הנכונה היא לא ״האם דלפתי״, אלא מה בדיוק דלף, ומה עושים עם זה.

הבדיקה הראשונה: Have I Been Pwned

הכלי המרכזי, החינמי והמוכר בעולם לבדיקת הדלפות הוא haveibeenpwned.com (בקיצור: HIBP) — שירות שמפעיל חוקר האבטחה האוסטרלי טרוי האנט מאז 2013. האתר אוסף מאגרים שדלפו ומאפשר לכל אחד לבדוק אם כתובת המייל שלו מופיעה בהם. נכון ליולי 2026 המאגר מכיל מעל 17.68 מיליארד חשבונות שנחשפו מ-1,015 אתרים שנפרצו — ורק ב-2025 נוסף אליו אוסף אחד שכלל כמעט 2 מיליארד כתובות מייל ייחודיות, לפי הבלוג של האנט. הבדיקה עצמה: נכנסים לאתר, מקלידים את כתובת המייל, ומקבלים רשימה של כל ההדלפות הידועות שבהן היא הופיעה — כולל מאיזה אתר, מתי, ואיזה סוג מידע נחשף (סיסמאות? טלפונים? כתובות?).

השאלה שכולם שואלים: רגע, להקליד את המייל שלי באתר זר — זה לא בדיוק מה שאסור לעשות? במקרה הזה לא, ושווה להבין למה. ראשית, אתם מזינים רק כתובת מייל — לא סיסמה, לא פרטים מזהים. כתובת מייל היא מידע חצי-ציבורי ממילא, והאתר רק בודק אם היא מופיעה במאגרים שכבר דלפו. שנית, HIBP הוא שירות ותיק ומתועד שגופי ממשל ורשויות ברחבי העולם עובדים איתו — לא אתר אנונימי. ושלישית, גם שירות בדיקת הסיסמאות של HIBP (Pwned Passwords, שמטפל לפי נתוני האתר ביותר מ-18 מיליארד בקשות בחודש) בנוי כך שהסיסמה שלכם לעולם לא נשלחת אליו — הדפדפן שולח רק קטע קצר מהגיבוב (hash) שלה, והבדיקה מושלמת אצלכם במכשיר. מה שכן: הקפידו להגיע לכתובת המדויקת, ולא לאתרי חיקוי שמבקשים ״לאמת״ פרטים נוספים. אתר בדיקה שמבקש מכם סיסמה, טלפון או תשלום — אינו אתר בדיקה.

אינפוגרפיקה: ארבעה צעדים לבדיקה אם המייל והסיסמאות שלכם נחשפו בהדלפה
תהליך הבדיקה המלא. נתוני היקף המאגר: HaveIBeenPwned.com, יולי 2026.

טיפ קטן לסיום הבדיקה: באתר יש אפשרות Notify Me — הרשמה חינמית שתשלח לכם מייל אוטומטי אם הכתובת שלכם תופיע בהדלפה עתידית. זה הופך בדיקה חד-פעמית למנגנון התראה קבוע, בלי שתצטרכו לזכור לחזור.

הבדיקה השנייה: הסיסמאות שכבר שמורות אצלכם

HIBP בודק את כתובת המייל. את הסיסמאות עצמן בודקים בכלים שכבר נמצאים אצלכם בכיס, והם משווים את כל הסיסמאות השמורות שלכם מול מאגרי דליפות:

  • גוגל — Password Checkup. אם אתם שומרים סיסמאות בחשבון גוגל או בכרום, היכנסו ל-passwords.google.com ולחצו על ״בדיקת סיסמאות״ (Checkup). תקבלו רשימה מסודרת: אילו סיסמאות נחשפו בהדלפה, אילו בשימוש חוזר בכמה אתרים, ואילו חלשות. הבדיקה נעשית בשיטה מוצפנת שבה גוגל לא רואה את הסיסמאות שלכם בטקסט גלוי.
  • אפל — אפליקציית הסיסמאות. באייפון, אפליקציית ״סיסמאות״ (ובגרסאות ישנות יותר: הגדרות ← סיסמאות ← המלצות אבטחה) מציגה התראות על סיסמאות שהופיעו בדליפת נתונים ומציעה להחליף אותן ישירות מהמסך הזה.
  • התראות דפדפן. כרום, אדג׳, ספארי ופיירפוקס מציגים כיום אזהרה בזמן אמת כשאתם מתחברים עם סיסמה שמופיעה במאגרי דליפות. אם קפצה לכם אזהרה כזאת — אל תסגרו אותה. היא כמעט תמיד נכונה.
כלימה הוא בודקאיפה
Have I Been Pwnedהאם כתובת המייל הופיעה בהדלפות ידועות — ומה נחשף בהןhaveibeenpwned.com
Google Password Checkupאילו מהסיסמאות השמורות בגוגל/כרום נחשפו, ממוחזרות או חלשותpasswords.google.com
אפליקציית הסיסמאות של אפלסיסמאות שמורות שהופיעו בדליפת נתוניםאייפון/מק — אפליקציית ״סיסמאות״
אזהרות דפדפןהתראה בזמן אמת בעת התחברות עם סיסמה חשופהכרום, אדג׳, ספארי, פיירפוקס — מובנה

נמצאתם בהדלפה? זה סדר הפעולות

קודם כול — בלי פאניקה. עצם ההופעה בהדלפה לא אומרת שמישהו כבר השתמש בפרטים שלכם. אבל כן צריך לפעול, ובסדר הנכון:

  1. החליפו את הסיסמה באתר שדלף — עכשיו. גם אם ההדלפה ישנה. סיסמאות דלופות נסחרות ומנוסות שנים אחרי הפריצה המקורית.
  2. החליפו אותה בכל מקום שבו מיחזרתם אותה. זה הצעד הקריטי באמת. תוקפים לוקחים צירופי מייל-וסיסמה שדלפו מאתר אחד ומריצים אותם אוטומטית מול מאות אתרים אחרים (Credential Stuffing). התחילו מהחשבונות ששוות הכי הרבה: המייל הראשי (הוא המפתח לשחזור כל השאר), הבנק, וחשבונות עם אמצעי תשלום שמור.
  3. הפעילו אימות דו-שלבי על החשבונות החשובים. גם אם הסיסמה תדלוף שוב — התוקף ייעצר בשלב הקוד. המדריך המלא שלנו לאימות דו-שלבי עושה את זה ב-30 דקות.
  4. צפו לפישינג ממוקד — והיו חשדניים כפליים. על זה בהמשך.
  5. אם דלפו תעודת זהות או פרטים פיננסיים — עברו לסעיף גניבת הזהות שבהמשך המאמר.
אינפוגרפיקה: חמישה צעדים לפי סדר עדיפות למי שמצא את עצמו בהדלפת מידע
סדר התגובה המומלץ — מהדחוף ביותר לחשוב-אך-פחות-דחוף.
הסכנה שרוב האנשים מפספסים: פישינג שמכיר אתכם

הנזק הגדול של הדלפה הוא לא תמיד הסיסמה — אלא ההקשר. תוקף שיודע מאיזה אתר דלפתם, מה קניתם ומה מספר הטלפון שלכם יכול לשלוח הודעה משכנעת להפליא: ״ההזמנה שלך מאתר X מעוכבת, יש לאמת פרטי תשלום״ — עם השם האמיתי שלכם ופרטים אמיתיים. אחרי שנמצאתם בהדלפה, כל הודעה שמזכירה את האתר שדלף חשודה כפליים. אל תלחצו על קישורים מהודעות כאלה — היכנסו לאתר בעצמכם, בהקלדה ישירה.

דלפה תעודת הזהות? ככה מנטרים גניבת זהות בישראל

מייל וסיסמה אפשר להחליף. תעודת זהות — אי אפשר, וזה מה שהופך אותה למסוכנת יותר לטווח ארוך. השילוב של שם מלא, ת״ז, כתובת ותאריך לידה — בדיוק מה שהסתובב באגרון ובאלקטור — מספיק לניסיונות התחזות: פתיחת חשבונות, נטילת הלוואות ורכישות בתשלומים על שמכם. הכלי המרכזי לנטר את זה בישראל הוא מערכת נתוני האשראי של בנק ישראל, שפועלת מ-2019 מכוח חוק נתוני אשראי ומרכזת את ההתחייבויות הפיננסיות של כל אזרח: הלוואות, מסגרות אשראי, משכנתאות והתנהלות ההחזרים מולן.

כל אדם זכאי להפיק דוח ריכוז נתונים אחד בחינם בכל שנה קלנדרית, באזור האישי באתר creditdata.org.il או בטלפון 6194*. בדוח תראו את כל האשראי הרשום על שמכם — ואם מופיעה שם הלוואה או מסגרת שלא לקחתם, זה דגל אדום מיידי לגניבת זהות שמחייב פנייה לגוף המלווה ותלונה במשטרה. מי שהת״ז שלו דלפה בהדלפה טרייה — שווה שיסמן ביומן בדיקה כזאת אחת לשנה.

ואיך דואגים שההדלפה הבאה לא תכאיב? שלושה הרגלים

אי אפשר למנוע את ההדלפה הבאה — היא תקרה אצל מישהו שמחזיק את הפרטים שלכם, לא אצלכם. מה שכן אפשר: לדאוג שכשהיא תקרה, היא תהיה אירוע שולי ולא אסון. שלושה הרגלים עושים את זה:

  • סיסמה ייחודית לכל אתר. כשכל אתר מקבל סיסמה משלו, הדלפה מאתר אחד נעצרת באותו אתר. זה כל הסיפור של Credential Stuffing — והוא מפסיק לעבוד ברגע שאין מיחזור.
  • מנהל סיסמאות. אף אחד לא זוכר 80 סיסמאות ייחודיות, ולא צריך: מנהל סיסמאות מייצר וזוכר אותן בשבילכם, ורובם גם מתריעים בעצמם על סיסמאות שנמצאו בהדלפות.
  • אימות דו-שלבי על כל חשבון חשוב. הנתונים כאן חד-משמעיים: כשגוגל צירפה אוטומטית יותר מ-150 מיליון משתמשים לאימות דו-שלבי, היא מדדה ירידה של 50% בחשבונות שנפרצו בקבוצה הזאת. שכבת הגנה אחת פשוטה — חצי מהפריצות נעלמות.

צ׳קליסט לשבוע הקרוב

  1. היכנסו ל-haveibeenpwned.com ובדקו את כל כתובות המייל שלכם — גם הישנות.
  2. הירשמו שם ל-Notify Me לקבלת התראה על הדלפות עתידיות.
  3. הריצו בדיקת סיסמאות: passwords.google.com (״בדיקת סיסמאות״) או אפליקציית הסיסמאות באייפון.
  4. החליפו כל סיסמה שסומנה כחשופה — קודם במייל הראשי ובבנק, ובכל אתר שבו מיחזרתם אותה.
  5. הפעילו אימות דו-שלבי לפחות על המייל, הבנק והוואטסאפ.
  6. אם הת״ז שלכם הופיעה בהדלפה — הזמינו דוח ריכוז נתונים חינמי ב-creditdata.org.il וּודאו שאין אשראי שלא לקחתם.
  7. ספרו על הבדיקה לעוד אדם אחד בבית. רוב האנשים פשוט לא יודעים שהיא קיימת.

שתי דקות של בדיקה, ערב אחד של סידור סיסמאות — וההדלפה הבאה שתגיע לחדשות תהיה בשבילכם כתבה מעניינת, לא חרדה. זה פער ענק לעומת רוב האנשים, והוא בהישג יד של כל אחד.

ואם אתם בצד השני של המשוואה — עסק שמחזיק מאגר לקוחות? ההדלפות שתיארנו כאן התחילו כולן בארגון שלא הגן מספיק על המידע שנמסר לו, וחלקן הסתיימו בתביעות ייצוגיות ובעיצומים כספיים. Cybertis מלווה עסקים ישראליים באבטחת מאגרי מידע ובעמידה בדרישות חוק הגנת הפרטיות — שיחת היכרות ראשונה עלינו.

דברו איתנו

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ מקצועי או משפטי מחייב. שירותים חיצוניים המוזכרים במאמר (HIBP, Google, Apple, מערכת נתוני אשראי) עשויים להשתנות; יש לפעול לפי ההנחיות העדכניות באתרים הרשמיים.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il