🤷 המשטרה הצליחה לחשוף כתובות IP של מצלמת מעקב (אבל של עצמה) וגם את הסיסמה (abcd1234) 🍳🍅 סייברשקשוקה

סייברשקשוקה 🍳🍅 קליק לארכיון המדור

משטרת ישראל רכשה לעצמה מצלמות כבישים חדשות, שאמורות לתעד נהגים שעוזבים את ההגה במהלך הנסיעה. על אחת מהמצלמות לפחות (ואפשר לשער שעל כולן) יש ארבע מדבקות בולטות, ועליהן מספר שנראה כמו טלפון סלולרי, כתובת IP (אולי של המצלמה), כתובת IP נוספת שלצדה המילה wifi (יתכן שמדובר בכתובת הראוטר), וסיסמה.

למה אני יודע את זה? כי חדשות 2 שידרו כתבה בנושא, וראיינו את רס”ר יפתח אדמוני מאגף התנועה של המשטרה, שדיבר כשמלפניו המצלמה האמורה עם המדבקות עליה. המתגלץ’ רותם דותן הבחין במידע ופרסם אותו בפייסבוק.

אני לא יודע מה יותר פוגע בכושר ההרתעה של המשטרה – העובדה שהמידע הזה נחשף לציבור בפריים טיים, העובדה שבכלל יש מדבקות כאלו על המצלמה, או העובדה שהסיסמה היא abcd1234, סיסמה שנבחרה במיוחד להקל על מתקפת מילון של גורי האקרים עצלים במיוחד שאפילו לא רואים חדשות.

מספר טלפון, כתובות IP וסיסמה של מצלמת כבישים של משטרת ישראל 📷 צילומסך מחדשות 2

פרטי מצלמת הכבישים של המשטרה 📷 צילומסך מחדשות 2 (החץ לא במקור)

(אגב, רה”מ בנימין נתניהו עשה דבר דומה פעם – בפליקר הרשמי של ראש הממשלה פרסמו תמונה שלו מחזיק בטלפון לווייני, כשמספר הטלפון מוצג על מדבקה על גבי הטלפון).

מספר הטלפון הלווייני של בנימין נתניהו. 📷 משה מילנר, לע"מ 📝 חדר 404

מס’ הטלפון הלווייני של נתניהו. 📷 משה מילנר, לע”מ 📝 חדר 404

ועוד בנושא עבירות תחבורה וטיפשות ממלכתית: עובד משרד ראש הממשלה ביצע עבירות תנועה, אישה אחרת קיבלה קנסות על העבירות שלו וחשבונות על נסיעות שלו בכבישי אגרה, האיש נתפס במכונית עם מספר רישוי זהה לזה של האישה אך המשטרה שחררה אותו כשאמר שהוא עובד משרד ראש הממשלה, ואז משרד ראש הממשלה פשוט הודה בזיוף הלוחיות עבור עובדיו – זיוף שנעשה בלי לבדוק אם המספר המזוייף כבר תפוס על ידי מכונית אחרת – ושהוא כיסה את העלויות באמצעות כספי המיסים שלנו.

עוד בנושא:

חשיפה של רשת ב’: היוזרים והסיסמאות של רשת ב’

רוצים לדבר בטלפון עם ביבי?


סייברשקשוקה הוא מדור על סייבראבטחה בישראל 🍳🍅 יש לכם סיפור בנושא? ספרו לי.

לוגו המדור 🖌️ חדר 404, עם אייקונים של Adrien Coquet (cc-by) ו-Arthur Shlain (cc-by)


🤖 מעניין אם המזגנים של אלקטרה גרועים כמו ה””בוט”” שלהם

אלקטרה העלו למסנג’ר בוט שעוזר לתפעל מזגנים של החברה. האח אהודק שאל את הבוט שאלה שהצליחה לבלבל אותו: “איך יודעים שהמזגן מכוון על חום?” הבוט ההמום השיב: “נראה לי שפספסתי 😞 מצטער להעיק אבל אפשר לשאול שוב?”

צ'ט עם האידיובוט של אלקטרה 📷 צילומסך

אפשר לסלוח לבוט: הוא בסך הכל אמור לעזור לאנשים לתפעל מזגנים, מאיפה הוא אמור לדעת איך לענות על שאלה שקשורה לתפעול מזגנים, ושהופיעה במודעה שלו?

מודעה של האידיובוט של אלקטרה 📷 צילומסך

מודעה של האידיובוט של אלקטרה 📷 צילומסך

האח אהודק ניסה להקל על הבוט, ושאל אותו בנוסח המדויק של המודעה: “E-bot, איך יודעים שהמזגן מכוון על חום?”. במודעה משיב הבוט: “כשמופיע ☼ בשלט!” במציאות: “אני מעביר אותך להתכתבות עם נציג שלנו ויהיו איתך בקשר בשעתיים הקרובות”

גם כאשר הגיע מה שאפשר רק לשער שהוא נציג אנושי, התשובות לא השתפרו:

צ'ט עם האידיובוט של אלקטרה 📷 צילומסך

אהודק פנה לאלקטרה, שם מסרו לו בתגובה שהתקלה תוקנה. ואכן, עכשיו כששואלים אותו איך יודעים שהמזגן מכוון על חום, הבוט משיב: “המזגן במצב חימום אם מופיע סמל של שמש”. זו התשובה שלו גם לשאלות אחרות, עד שהוא מתייאש ונשבר ושוב מעביר את השאלה לנציג אנושי.

צ'ט עם האידיובוט של אלקטרה 📷 צילומסך

אלקטרה מיזוג אוויר ואקלים אמרתם "נסו אותנו". אז ניסינו.

Posted by ‎נקסטר NEXTER‎ on Wednesday, December 13, 2017



[עדכון] נראה לי שהעלבתי אותו :/

צ'ט עם האידיובוט של אלקטרה 📷 צילומסך

זהירות, בפוסט זה יש צילומסך של אתר יד2


ג’וני זילבר

שלום לכם יד2
או שמא עלי לומר “ערב צח ערב זך!”
כי האתר שלכם כל כך ניינטיז
האתר שלכם כל כך ניינטיז שהוא גורם לטמקא להראות כמו משהו מצופה נייר כסף שחזר בזמן
כאילו נתנו לנוויל ברודי לעצב אותו ומיד שכחו אותו באוטו ביום חם
רק שהתבלבלו בשם ונתנו אותו לטל ברודי במקום
האתר שלכם כל כך חבוט, עתיק, חלוד ומתפורר
עמוס בפרסומות כמו סנדוויץ’ שדחפו בו צ’יפס להתפקע
ועכשיו אי אפשר לתת בו בשום אופן ביס
בלי לקבל חולצה מלאה בטחינה
וגם כן צ’יפס

אתר יד2, נובמבר 2017 📷 צילומסך

אתר יד2, נובמבר. אל תקליקו להגדלה 2017 📷 צילומסך

וכל כך מלא בתמונות קטנות מכוערות וצ’קבוקסים שלא יושבים על שום גריד
כל כך מצועצע, עתיק, לא שימושי ומכוער
עד שהייתי מצפה שהוא יהיה פסל של יעקב אגם
אבל לא, האתר שלכם הוא לא פסל של יעקב אדם
האתר שלכם הוא העונש שלנו
שאנחנו לא משתמשים
בקרייגסליסט.
תודה שהקשבתם.


ג’וני זילבר הוא ותוסיף שם בתחתית טייטל כזה, “ג’וני זילבר הוא” וכו’. הוא הציע לכם לבכות מג’ון אוליבר בפחות מ-12 דקות בגליון אוגוסט 2014

📸 פייסבוק מבקשת מקורבנות פוטנציאליים של פורנו-נקמה לשלוח לעצמן את התמונות במסנג’ר

פורנו-נקמה הוא הפצה של תמונות או סרטונים של אנשים בעירום או במהלך קיום יחסי מין, בלי רשותם, לרוב במטרה להשפילם ולפגוע בהם. לאחרונה נפלה המוזיקאית סיה קורבן לפורנו-נקמה, כשגילתה תמונות עירום שלה למכירה ברשת. “מתברר שמישהו מנסה למכור תמונות עירום שלי למעריצים שלי”, כתבה בטוויטר לצד צילום עירום שלה שהפיץ העבריין האנונימי. “חיסכו את כספכם, הנה זה בחינם”. פייסבוק היא אחת הפלטפורמות להפצת פורנו-נקמה, ומפעילת הרשת החברתית מצאה לכך פתרון חסר רגישות: הקורבנות צריכים לשלוח לעצמם במסנג’ר את הפורנו-נקמה הפוטנציאלי, כדי שהחברה תכניס טביעת אצבע דיגיטלית (האש) של התמונות למאגר תמונות אסורות בפרסום.

פייסבוק מבצעת את הניסוי באוסטרליה, שם היא חברה לנציבות הבטיחות האלקטרונית (eSafety Commission), סוכנות פדרלית לבטיחות וחינוך מקוונים. “לניסוי הזה יש פוטנציאל לנטרל את השליטה והכוח שיש לעבריינים מול הקורבנות, במיוחד במקרים של נקמה של אקסים וסחיטה מינית, והנזק שעלול להיגרם בעקבותיהן”, מסרה הנציבה, ג’ולי אינמן גרנט, בהודעה לעיתונות. “אנחנו משתמשים בטכנולוגיות השוואת תמונות למנוע שיתוף של תמונות אינטימיות לא-בהסכמה בפייסבוק, אינסטגרם, קבוצות פייסבוק ומסנג’ר”, מסרה ראש מדיניות בטיחות גלובלית בפייסבוק, אנטיגוני דיוויס.

סיה מצייצת תמונת עירום שלה שהוצעה למכירה בלי רשותה 📷 הטוויטר של סיה

סיה מצייצת את תמונת העירום 📷 הטוויטר של סיה

המשתמשות והמשתמשים יתבקשו לשלוח לעצמם במסנג’ר תמונות עירום ומין שהם חוששים מהפצתן, ולמלא טופס מקוון באתר הנציבות, שתדווח עליו לפייסבוק. פייסבוק טוענת שהמסנג’ר שלה מוצפן מקצה-לקצה, כלומר היא לא יכולה לראות את התמונה, אבל בינה מלאכותית שהיא תפעיל תיצור האש (hash) של התמונה – כלומר טביעת אצבע דיגיטלית חד-ערכית שלה. פייסבוק תכניס ההאש למאגר תמונות אסורות בשימוש. אם מישהו ינסה להעלות את התמונה לאחד מהשירותים של פייסבוק, המערכת תזהה את ההאש שלה ותמנע את פרסומה. פייסבוק תעדכן את השולח.ת באימייל על סיום התהליך ותבקש מהם למחוק את התמונה מהמסנג’ר, והעותק המוצפן שלה יימחק גם משרתי פייסבוק.

דיוויס מפייסבוק ציינה בהודעה ב”חדר החדשות” של פייסבוק כי “כדי להבהיר, אנשים יכולים כבר עכשיו לדווח אם תמונות אינטימיות שלהם שותפו בפלטפורמה שלנו ללא הסכמתם, ואנחנו נסירן ונעשה האש שלהן כדי לסייע למנוע את המשך הפצתן בפלטפורמה שלנו. באמצעות הניסוי הקטן החדש, אנחנו בוחנים אפשרות חירום לאנשים לספק תמונה לפייסבוק בפרואקטיביות, כך שהיא לא תשותף מלכתחילה. התוכנית הזאת היא וולונטרית לחלוטין. זהו אמצעי התגוננות שיכול לעזור למנוע תסריט חמור הרבה יותר שבו התמונה משותפת בצורה רחבה. אנחנו מצפים לקבל משוב וללמוד”.

פרט - תמונת אישה עירומה על תא טלפון ציבורי 📷 Martin Clavey (cc-by-sa)

עירום ציבורי 📷 Martin Clavey (cc-by-sa)

התוכנית, מסרה דיוויס, פותחה בשיתוף “קבוצת עבודה בינלאומית של שורדים [של פגיעות מיניות], תומכי קורבנות ומומחים נוספים”, אולם בתקשורת נמתחה ביקורת על חוסר הרגישות של הניסוי. אפריל גלייזר כתבה באתר סלייט: “לבקש מנשים שהיו קורבנות להעלות תמונות עירום של עצמן זו גישה חסרת רגישות, כזו שאינה מודעת מספיק לטראומה. כשתמונת עירום של אישה מופצת בלי הסכמתה, זה יכול להיות הרסני רגשית ומקצועית. לבקש מנשים לחיות מחדש את הטראומה ולסמוך על פייסבוק, מכל החברות, לשמור על התמונה הזאת באופן בטוח, זו בקשה גדולה מאוד”.

אלכס סטמוס, סמנכ”ל אבטחה בפייסבוק, ניסה להגן על התוכנית בסדרת ציוצים, אך דבריו אינם מרגיעים: “אנו מודעים לכך שהבקשה לדיווח-עצמי על תמונות טומנת בחובה סיכון, אבל זה סיכון שאנחנו מנסים לאזן עם הנזק הרציני בעולם האמיתי שקורה כל יום כאנשים (בעיקר נשים) לא יכולים לעצור NCII (תמונות אינטימיות ללא-הסכמה) מלהתפרסם”. הוא גם מודה שבשלב הניסוי, עובדים יבחנו תמונות ידנית (אם כי לא ברור איך, לאור ההצפנה מקצה-לקצה): “כדי למנוע דיווחים [שקריים], בשלב זה אנחנו צריכים שבני אדם יבקרו את התמונות בסביבה מבוקרת ומאובטחת”.

🚫 פייסבוק גרמה להסרת קונטקט-פייסבוק.קום של דורי בן-ישראל, שמכיל פרטי התקשרות של עובדיה וספקיה; הטיעון: הפרת סימן מסחרי [עדכון] האתר חזר

חברת האחסון iPage הסירה בשבוע שעבר את אתר Contact-Facebook.com, בעקבות טענה של פייסבוק להפרת סימן מסחרי. אתר המחאה, שהקים הבלוגר דורי בן-ישראל מ”מזבלה”, הכיל פרטי התקשרות של בכירי פייסבוק וחברות שעובדות איתה בארץ ובעולם. מפייסבוק ישראל בראשות המנכ”לית עדי סופר תאני נמסרה התעלמות, כרגיל. בן-ישראל מאיים ב”מלחמת עולם שלישית”.

[עדכון 20:59] בן-ישראל מעדכן שהאתר חזר לאוויר אצל ספק אחר [\עדכון]

“לאור ההשפעה האדירה והמונופוליזם של פייסבוק על עיצוב חיינו”, הסביר בן-ישראל עם השקת האתר בתחילת השנה, “הקמנו את אתר Contact Facebook, שמרכז עבורכם את כל דרכי הקשר עם חברת פייסבוק ישראל וחברת פייסבוק אירלנד. לא נאפשר עוד לפייסבוק להתנהג כביריון הגדול בעולם מבלי לקחת על עצמה טיפה של אחריות”.

פייסבוק, שלוקחת את הזמן בטיפול בתכנים בעייתיים ברשת החברתית שלה, הפגינה זריזות ויעילות בטיפול ב”קונטקט פייסבוק”. תוך שעות מהשקתו, היא השעתה את פרופיל הפייסבוק של בן-ישראל לחודש, וחסמה את האפשרות לשתף לינק לאתר בפוסטים, ובצעד שערורייתי גם בהודעות פרטיות בפייסבוק מסנג’ר. נסיון לשיתוף הלינק נתקל בהודעת אזהרה שלפיה “התוכן שאתם מנסים לשתף כולל קישור שמערכות האבטחה שלנו זיהו כלא בטוח”.

החברה הסבירה אז בתגובה לכלי תקשורת שהיא כן משיבה לפניותיהם כי “כללי הקהילה שלנו מציינים בבירור: ‘אין לפרסם מידע אישי של אנשים אחרים ללא הסכמתם’. לפיכך, אם אנו מקבלים דיווח לגבי תוכן אשר מפרט מספרי טלפון אישיים וכתובות מייל של אנשים (ללא הסכמתם), ללא תלות בהיותם עובדי פייסבוק או לא, אנו נסיר תוכן זה. תוצאות הפרת כללי הקהילה משתנות בהתאם לחומרת ההפרה וההיסטוריה של אדם בפייסבוק. לדוגמה, אנחנו עשויים להזהיר מישהו לגבי הפרה ראשונה, אך אם נמשיך לראות הפרות נוספות אנו עשויים להגביל את יכולתו לפרסם פוסטים בפייסבוק או לאסור עליו שימוש בפייסבוק”.

אתר "קונטקט פייסבוק" של דורי בן ישראל

אתר “קונטקט פייסבוק” לפני הסרתו

אתר "קונטקט פייסבוק" של דורי בן ישראל אחרי חסימתו ב-11/2017

אתר “קונטקט פייסבוק” אחרי חסימתו

באחרונה שלחה פייסבוק מכתב התרעה לקלאודפלייר, שסיפק לאתר שירות פרוקסי להסתרת פרטי השרת, אשר מנע מהחברה לדעת מי רשם את האתר ואיפה הוא מתאחסן. קלאודפלייר ככל הנראה העבירו לפייסבוק את המידע על החברה שמאחסנת את האתר, אייפייג’, וזו קיבלה מכתב דומה מפייסבוק, שאותו העבירה לבן-ישראל בשבוע שעבר.

במכתב, שעליו חתומה דניס מישל, מנהלת שמות דומיינים ב-Facebook Inc. (פייסבוק ארה”ב), נטען כי “שימוש בלתי מורשה בסימן שפייסבוק, כגון contact-facebook.com, יגרום באופן בלתי נמנע לבלבול לגבי האם הדומיין והשימוש בשם מורשים, מקודמים או ממומנים על ידי פייסבוק, כשלמעשה הם לא. לפייסבוק יש חובה כלפי משתמשיה והציבור לפעול נגד רישום ושימוש בשמות מתחם שעלולים לגרום לבלבול צרכני כזה”. מישל כתבה עוד כי “אני מאמינה בתום לב כי השימוש בסימני המסחר בדומיין כפי שתוארו לעיל אינם מורשים על ידי בעל סימן המסחר או נציגיו, וכי שימוש כזה אינו מורשה על פי חוק. השימוש בתוכן אינו בר הגנה. פנינו לרושם הדומיין ולא קיבלנו שום תגובה או היענות. אנא כבו או השעו את הדומיין מיידית ונסיר מכם אחריות לכל פעולה משפטית שעשויים להינקט בעתיד”.

קונטקט-פייסבוק הכיל את השם “פייסבוק” בכתובתו ובשמו. סרגל הניווט של האתר, בלבן על הגוון הכחול שפייסבוק משתמש בהם, הציג את לוגו פייסבוק בשינוי קל – אוזניית מדונה של שירות לקוחות על האות o הראשונה. לוגו ה-f של פייסבוק הופיע ברקע תמונות האנשים שאת פרטיהם חשף האתר.

נראה שפייסבוק לא מצאו פגם חוקי בתכני האתר, או שלא הצליחו לשכנע בכך את הרשויות או החברות הרלוונטיות, ועל כן פנו לתלונה על הפרת סימני מסחר, שלצד תלונות על הפרת זכויות יוצרים מהווה נתיב עקיף לצינזור תכנים. וזה עבד: אייפייג’ נתנו לבן-ישראל 48 שעות למחוק את התוכן המפר, ומשלא עשה כן – חסמו את האתר, וכן אתרים נוספים שלו שישבו על השרת, לדבריו. כרגע מופיעה ב-contact-facebook.com הודעה שהאתר אינו זמין זמנית.

דורי בן-ישראל בלובי של הבניין שבו שוכנים משרדי פייסבוק ישראל, רוטשילד 22 תל אביב 📷 איליאן מרשק

בן-ישראל בלובי פייסבוק ישראל 📷 איליאן מרשק

בן-ישראל מנהל מאבק ארוך עם פייסבוק ישראל, ובין השאר הגיע להפגין מול ביתה של סופר תאני, וארגן הקרנה של הסרט הביקורתי “פייסבוקיסטאן” בלובי של בניין המשרדים ברוטשילד 22 בת”א, שם שוכנים כיום משרדי פייסבוק ישראל.

“מלחמת עולם שלישית בדרך”, איים בן-ישראל בצ’ט עם חדר 404. “אני מסיר מעצמי כל שמץ של נאותות שעוד הייתה בי בכל הנוגע למאבק מול פייסבוק, שמוכיחה פעם אחר פעם שהדרך היחידה להתמודד איתה היא במטבע דומה – דורסנות וכוחניות”.

מנכ”לית פייסבוק ישראל, עדי סופר תאני, ויחצני החברה בישראל, משרד שלום תל אביב בראשות רינת פרידמן וזמיר דחב”ש, מסרו התעלמות, כמו ברבות מהפניות שלי אליהם.

באייפייג’ ביקשו לברר פרטים על הסיפור בטרם יעבירו לי פרטי התקשרות של יחצן/דובר, אך גם אחרי שקיבלו אותם לא העבירו את הפרטים ולא תגובה לסיפור.

[עדכון 16:05] פחות מעשר דקות אחרי שיתוף הכתבה הזאת בפייסבוק, פייסבוק חסמו את האפשרות לשתפה, כנראה כי הכותרת הכילה את השם המפורש contact-facebook.com. החלפתי לתעתיק העברי, קונטקט-פייסבוק.קום, והחסימה נעלמה. עדכנו אותי אם נתקלתם בחסימות נוספות.

פייסבוק חוסמת שיתוף של כתבה מחדר 404 על contact-facebook.com 📷 דורי בן-ישראל

חסימת שיתוף כתבה זו 📷 דורי בן-ישראל


[\עדכון]

[עדכון 17:38] רן בר-זיק דיווח באתרו על חסימת הכתבה שלי בפייסבוק, והראה שבעוד פייסבוק חוסמים שיתוף של אתר Contact-Facebook.com, אפילו אחרי שהוסר, הם מאפשרים לשתף אתרים של חמאס וחיזבאללה, מלכ”רים לגיטימיים ולא טרוריסטים כמו דורי בן-ישראל. [\עדכון]

_____________
הפנייה מאייפייג’:

הודעת אזהרה מ-ipages, ספק האחסון של contact-facebook.com

להורדה (PDF, 43KB)

עוד בנושא:

פייסבוק: בדרך לסין מצנזרים בישראל • טראמפ: נשיא האמת של החדשות המפוברקות » המשפיעים בתקשורת של פירמה

שיימינג! שיימינג! שיימינג! • שיקום רשת למוניטין שהוכתם • קמפיין פייסבוק נגד פייסבוק » רבע לדיגיטל

חוק הפייסבוק של שקד-ארדן: פלסטינים יראו את ההסתה אבל ישראלים לא; ארדן: “קביעת אחריות על פייסבוק תייצר סטנדרט”

🔫כמה כספי NRA קיבלו הפוליטיקאים המתאבלים על הטבח בטקסס, בשרשור טוויטר אחד

ביום ראשון רצח דווין פטריק קלי 26 אנשים, פצע 20 נוספים והתאבד בפיגוע טרור בכנסייה הבפטיסטית הראשונה בסאד’רלנד ספרינגז, טקסס. פוליטיקאים רבים מיהרו להגיד מה שפוליטיקאים יודעים להגיד – “מחשבותינו ותפילותינו עם הקורבן דה-ז’ור”. אלא שהקריירה הפוליטית של חלקם מתודלקת בכספי תרומות של NRA, ארגון הרובאים האמריקאי, מלכ”ר שמקדם את הזכות לשאת נשק בהתאם לפרשנותו לתיקון השני לחוקה.

מאט מקדונאו (@mattymcd), מפיק בכיר בגוף החדשות לסושיאל NowThis, מצא דרך יצירתית להציג ולהפיץ את המידע הזה. במקום לפרסם רשימה או טבלה של תרומות, הוא מקשר ביניהן לבין האמירות של הפוליטיקאים.

שרשור הכסף שפוליטיקאים קיבלו מ-NRA 📷 מאט קמדונאו, טוויטר

שרשור הכסף שפוליטיקאים קיבלו מ-NRA 📷 מאט קמדונאו, טוויטר

בשרשור טוויטר שפתח, מקדונאו משתף את ציוץ המחשבותינו-ותפילותינו של הפוליטיקאי, ומצייץ מעליו כמה כסף קיבל הפוליטיקאי מ-NRA – מ-$11,450 לסנאטור ג’ו מנצ’ין (דמוקרט, מערב קרוליינה) ועד ל-$7,740,521 לסנאטור ג’ון מקיין (רפובליקני, אריזונה), ו-$36,600,000 לנשיא דונלד טראמפ.

באופן זה, מקדונאו גם מרכז את המידע במקום אחד, גם מפיץ אותו לעוקביו, וגם גורם להצגתו לעוקבי הפוליטיקאים בשרשורים תחת ציוצי המחשבותינו-ותפילותינו שלהם.

לקריאת השרשור המלא התחילו מכאן:

אקדח זהב 📷  duncan c (cc-by-nc)

אקדח זהב 📷 duncan c (cc-by-nc)

(דרך מעין אפרת)

🖕 עיריית תל אביב תמנע מגולשים להגיב בפייסבוק בניגוד להוראת מבקר המדינה (אבל זה בכלל נראה כמו טיזר פרובוקטיבי שקרי)

עיריית תל אביב בראשות רון חולדאי עייפה מביקורת. העירייה הודיעה היום בפייסבוק שלה כי החל מהיום, לא תאפשר לציבור לפרסם תגובות על הדף שלה. אבל לאור העובדה שמבקר המדינה יצא נגד התופעה בדוח שפרסם לפני מספר חודשים, הנוסח המופרך של ההודעה (“כדי לשמור על המורל העירוני”), העובדה שאי אפשר לחסום תגובות בדף פייסבוק באופן גורף, הכוכבית בתחתית הפוסט שלא מלווה בהערה והסירוב של העירייה להגיב לתקשורת, אני משער שלא מדובר בהחלטה אמיתית אלא בטיזר פרובוקטיבי לקמפיין כלשהו.

[עדכון: כצפוי, מדובר בטיזר לקמפיין]

הודעת איסור התגובות 📷 פייסבוק עיריית ת”א

ההודעה בדף הפייסבוק של העירייה:

לידיעת הגולשים:

לאור ריבוי התלונות, וניצול הדף ל”הוצאת קיטור”
וכדי לשמור על המורל העירוני,
מהיום, ראשון 5.11.17 בשעה 23:59
לא יהיה ניתן להגיב יותר על פוסטים
בעמוד הפייסבוק העירוני.

ניתן לשלוח הודעות בפרטי,
ואנו נשקול את פרסומן

(אחד ממנהלי עמוד העירייה, רועי כהן, שאל לפנה”ץ בקבוצת הפייסבוק “מקצועני פרסום בפייסבוק” אם אפשר לסגור תגובות בעמוד. הוא לא קיבל תשובה.

רועי כהן מעיריית תל אביב שואל איך חוסמים תגובות בדף פייסבוק 📷 "מקצועני פרסום בפייסבוק"

איך חוסמים תגובות? 📷 “מקצועני פרסום בפייסבוק”

)

העירייה, שאמרה במפורש שהמטרה היא פגיעה ביכולת התושבים להתלונן, סיימה את הודעתה בעקיצה סרקסטית: “אנחנו כאן בשבילכם, עיריית תל-אביב-יפו”.

מבקר המדינה יצא נגד התנהלות כזאת. בדוח נציב תלונות הציבור השנתי 43 לשנת 2016, כתב המבקר נגד החלטתו של ראש עיריית פתח תקווה לחסום אנשים מלהגיב בדף הפייסבוק הרשמי שלו. תחת הכותרת החד-משמעית “פגיעה בחופש הביטוח – מחיקת תגובות מדפי פייסבוק של אנשי ציבור וחסימת הגישה אליהם”, כתב המבקר יוסף שפירא:

בשנים האחרונות הזירה המרכזית שבה מתנהלים דיונים ציבוריים ופומביים ערים היא הזירה הווירטואלית, בעיקר של הרשתות החברתיות. אנשי ציבור וגופים ציבוריים רבים עושים ברשתות החברתיות שימוש נרחב יותר ויותר על מנת להעביר מסרים, לשתף במידע הנוגע לתפקידם הציבורי ו”לשוחח” עם הציבור על מעשיהם במסגרת תפקידם. חופש הביטוי במרשתת (אינטרנט) קיבל אפוא מעמד מיוחד, בין היתר בשל מעמדו של האינטרנט, המשקל הרב שמייחס הציבור לפרסומים בו והקלוּת שבה ניתן לפרסמם.

דף פייסבוק הוא מַסֶדֶת (פלטפורמה) של מדיה חברתית, שבה יכולים אנשי ציבור לפרסם את פעילותם הציבורית ולהביע עמדות בנושאים מסוימים. מסדת זו מאפשרת לכל אדם מן היישוב, שיש לו חשבון ברשת חברתית זו, להגיב על הפרסום של איש הציבור ולהביע את עמדתו החיובית או השלילית בנוגע לפרסום או בנוגע לאיש הציבור שפרסם אותו.

[…]

יודגש כי מניעת ביקורת לא נוחה לאיש הציבור או לגוף הציבורי אינה בבחינת תכלית ראויה בהקשר זה.

להורדה (PDF, 77KB)

נציבות תלונות הציבור החלה לקבל ב-2016 תלונות על אישי ציבור שמחקו תגובות של המתלוננים או חסמו את גישתם לדפי הפייסבוק שלהם. המבקר שפירא ציין כי “אם הסממנים הציבוריים [של דף הפייסבוק] רבים, אזי הנציבות תכיר בכך שמדובר בדף פייסבוק ‘ציבורי’, וככלל על ניהול הדף בידי איש הציבור או מי מטעמו חלים כללי היסוד של המשפט הציבורי. לפיכך אם מתברר כי מדובר בחסימה או מחיקה של תגובה מן הדף, בוחנת הנציבות את המעשה בהתאם לכללי המשפט המינהלי והחוקתי, שכן אי-מתן האפשרות לאדם להגיב בדף פייסבוק רשמי של איש ציבור או מחיקת תגובתו הם בגדר מעשה הפוגע בחופש הביטוי של אותו אדם”

מאפייני דף פייסבוק ציבורי, לפי המבקר:

■ סוג הדף – האם מדובר בדף ציבורי או ב”דף אוהדים” של איש ציבור או גוף ציבורי שכל אדם בעל חשבון פייסבוק יכול להיחשף אליו באמצעות התחברות
לדף (הקשה על “לייק”) או באמצעות חשבונות של חברים אחרים ברשת – או להבדיל מדובר בדף פייסבוק פרטי שאליו חשופים רק מי שמוגדרים “חברים” של בעל הדף;
■ מימון הדף – האם החזקת הדף והפעלתו ממומנות על ידי הגוף הציבורי;
■ הפעלת הדף – האם הדף מופעל על ידי עובדי ציבור מטעמו של איש הציבור או על ידי איש הציבור בעצמו באופן פרטי;
■ תוכני הדף – האם הדף משמש את איש הציבור ועיקר תכניו קשורים למילוי תפקידו הציבורי, או שעיקר תכניו פרטיים ואישיים.

דף הפייסבוק של עיריית תל אביב עונה על ארבעת הקריטריונים:
■ הוא דף ציבורי שנגיש לכלל בעלי חשבונות הפייסבוק באמצעות לייק.
■ הדף ממומן על ידי עיריית תל אביב
■ הדף מופעל על ידי עובדי ציבור או עובדי קבלן בשירות העירייה
■ תכני הדף משמשים למילוי תפקידה הציבורי של העירייה

לפי סממנים אלה, הדף ציבורי, ועל כן החסימה היא “מעשה הפוגע בחופש הביטוי של אותו אדם”.

אבל כאמור, נראה שכי לא מדובר בהחלטה אמיתית אלא בפרובוקציה שנועדה לעורר תגובות, וכי האמת תיחשף בדקה לחצות, מועד סגירת העמוד המוכרז. האח אהודק כתב בנקסטר כי “סיבה אפשרית אחרת לפרסום ההודעה החריגה הוא קמפיין ויראלי לקידום האפליקציה של העירייה לדיווח על מפגעים ברחבי העיר, שהושקה בימים האחרונים”.

דובר עיריית תל אביב, גידי שמרלינג, לא הגיב לפנייתי בנושא.

עיריית ירושלים הגיבה בעקיצה לעיריית תל אביב:

“תל אביבים יקרים, אצלנו על הוול תוכלו לכתוב כל מה שמפריע לכם (בתל אביב)😉”

עיריית ירושלים מגיבה לאיסור התגובות של עיריית תל אביב  📷 פייסבוק עיריית ת"א

עיריית ירושלים מגיבה לאיסור התגובות של עיריית תל אביב 📷 פייסבוק עיריית ת”א

בעבר פעלה עיריית תל אביב גם בטוויטר, אולם חדלה מכך. הציוץ היזום האחרון של העירייה התפרסם בפברואר 2015, והתגובה האחרונה שלהם לפנייה של צייצן התפרסמה באוקטובר 2015.

עדכון אחרון באוקטובר 2015 📷 הטוויטר הרשמי של עיריית תל אביב

עדכון אחרון באוקטובר 2015 📷 הטוויטר הרשמי של עיריית תל אביב

[עדכון אחרון: 6/11 8:48]

(דרך עמית א. לב)

📠 בשווייץ יש ערים שמקבלות תשלומים בביטקוין אבל בבירת-ההייטק תל אביב צריך למלא פדף [עדכון: יש טופס מקוון!]

חילופי מחזיקים” זה כשאתם נכנסים לדירה וצריכים להעביר את הארנונה והמים על שמכם. כדי לבצע זאת בעיריית תל אביב אתם מתבקשים למלא טופס. מקוון? מה פתאום*. פדף. הפקס של המאה ה-21.

טופס פדף להחלפת מחזיק נכס מאתר עיריית תל אביב

אחרי זה, כתוב באתר, אפשר להגיש את הבקשה בין השאר “באמצעות פניה מקוונת”, אבל אין שום הסבר איך לעשות את זה, לא באתר ולא בטופס עצמו (אלא אם זה נכס לא למגורים; לזה יש טופס מקוון).

איפה הטופס המקוון לביצוע החלפת מחזיקים של דירה?

* הבהרה: פדף אינו טופס מקוון. טופס מקוון אפשר למלא ולהגיש בדפדפן.

** …

Posted by Ido Kenan on Monday, October 30, 2017


כשביקשתי להגיש תלונה על היעדר האפשרות להגיש בקשה מקוונת בשלהי העשור השני של המאה העשרים ואחת, הופניתי לטופס מקוון (לזה יש טופס מקוון). אני צריך למלא בו פרטים אישיים, ובהם רחוב ועיר מגורים. נסיון לשלוח את הטופס הקפיץ שגיאה: במקום לבחור את שם הרחוב והעיר מהרשימה, העזתי להקליד אותם בעצמי וללחוץ אנטר בלי לבחור מהרשימה!

כשל בחירת עיר בטופס תלונה באתר עיריית תל אביב

בסיום ציפיתי לקבל עותק של התלונה באימייל, או לכל הפחות אפשרות לשמור אותה בפורמט מודרני כלשהו. פחחח. האתר של עיריית תל אביב מציע לי להדפיס את התלונה.

כשל הדפסת טופס תלונה באתר עיריית תל אביב

בצוג וקיאסו אשר בשווייץ אפשר לשלם מסים ושירותים עירוניים שונים בביטקוין. בתל אביב עדיין צריך להדפיס מסמכים על נייר שעשוי מעצים מתים.

Still Life by HDR Dave

תיקון: יש טופס מקוון!

מעיריית תל אביב השיבו לי בפייסבוק ואמרו שלמעשה יש טופס מקוון, רק שהוא מוסתר היטב. ובמילותיהם:

היי עידו, אתה יכול להגיע אל הטופס המבוקש מהעמוד הבא: http://bit.ly/2zZgxLH. אמנם כתוב בראש הדף “זימון תורים”, אבל תבחר את ההגדרות שמתאימות לך (לדוגמה: כניסה לנכס קיים –> שוכר) ואח”כ תלחץ על “פנייה מקוונת”. אם אתה אכן שוכר שנכנס לנכס קיים, קבל כבר לינק לטופס המבוקש: http://bit.ly/2xyBNXh. מקווים שעזרנו :)

🚶 בהונולולו קונסים הולכי רגל שמתעסקים בסלולרי בחציית כביש – במקום לתת להם אנשי נחייה 📻 ”הבמה המרכזית” בכאן תרבות

הונולולו, הוואי היתה לעיר הגדולה הראשונה שמטילה קנסות על הולכי רגל שמסתכלים על הסלולרי, טאבלט או כל גאדג’ט אחר, תוך כדי חציית כביש. החוק (פדף) מכונה “חוק ההליכה מוסחת הדעת”. מי שייתפס יהיה חשוף לקנס של בין 15-35$, ועבריינים חוזרים ישלמו בין 35-99$. בניו יורק, ניו יורק עלתה בשנה שעברה הצעת חוק להטיל על חוצים-מסמסים קנס או מאסר של 15 יום, ובסטמפורד, קונטיקט שוקלים חוק דומה לזה של הונולולו.

דיברתי על החוק עם בר בלפר וענת שרון בלייס ב”הבמה המרכזית” ב”כאן תרבות”:


קנסות הם לא תמיד הפתרון הכי חכם או יעיל לבעיה. במקרה הזה, התשובה עשויה להיות חינוך לשימוש נבון בסלולרי, ולא רק בהקשר של סכנת ההידרסות. פתרון טכנולוגי יכול להיות שימוש באפליקציה שהופכת את המסך ל”שקוף” – כלומר מאפשרת להשתמש בטלפון ובו זמנית מצלמת ומציגה על המסך את מה שקורה בכביש שמלפניו. אפליקציה אחת כזו היא Type n Walk, שמיועדת לסימוס תוך כדי הליכה.

ואפשר גם להשתמש באיש נחייה:

התוכנית המלאה:

אישה מסתכלת על הסלולרי תוך כדי הליכה. תמונה: Ernesto De Quesada (cc-by-nc-nd)

אישה מסתכלת על הסלולרי תוך כדי הליכה. תמונה: Ernesto De Quesada (cc-by-nc-nd)

בפעם הקודמת ב”הבמה המרכזית”:

🙈 סלפי של קוף, ציוץ נגד טראמפ וחופש הביטוי ברשתות חברתיות 📻 ראיון ב”הבמה המרכזית”

📧 פירצת פרטיות חשפה שמות, טלפונים וכתובות של לקוחות קבוצת ח.י.

פירצת פרטיות פשוטה באתר קבוצת ח.י. איפשרה לאסוף פרטים של לקוחות החברה – שם מלא, טלפונים וכתובת מגורים – שעלולים לשמש לספאם ולגניבת זהות. הפירצה איפשרה גישה לפרטים באמצעות דפדוף בין מספרי קריאה, שלקוחות קיבלו כשהזמינו התקנת מוצר שקנו בחברה. קבוצת ח.י. סגרה את הפירצה בשבוע שעבר בעקבות פניית חדר 404.

ארנון (שביקש שלא אפרסם את שמו האמיתי) גילה את הפירצה אחרי שקנה מוצר מקבוצת ח.י. הוא קיבל מהחברה סמס לתיאום ההתקנה, שמכיל לינק לעמוד אינטרנט ומספר קריאה שיש להזין בעמוד.

סמס מקבוצת ח.י. לתיאום מועד התקנה

סמס מקבוצת ח.י. לתיאום מועד התקנה

עם הזנת המספר, מוצגים ללקוח פרטיו והוא מתבקש לאשרם, ואחר כך מועבר לעמוד שבו הוא בוחר מועדי הובלה.

 דף הנחיתה של קבוצת ח.י. לתיאום הובלה

דף הנחיתה של קבוצת ח.י. לתיאום הובלה

ארנון הזין בטעות את המספר בלי הסיפרה האחרונה, וקיבל פרטים של לקוח אחר. בדקתי מספרים נוספים באתר, סביב המספר של ארנון ובטווחי מספרים אחרים, והפירצה אכן היתה קיימת ופעילה.

דף פרטי לקוח של קבוצת ח.י.

דף פרטי לקוח של קבוצת ח.י. חדר 404 הסתיר את פרטי הלקוח

“מטריד שחברה גדולה כמו ח.י. אלקטרוניקה לא נוקטת באמצעי אבטחה בסיסיים כדי לשמור על פרטיות לקוחותיה”, אמר ארנון. פירצת הפרטיות הזאת עלולה לאפשר גניבת זהות – גורם זדוני יכול להשתמש בפרטים כדי להזדהות בתור הלקוח מול קבוצת ח.י., בתור קבוצת ח.י. מול הלקוח (ובתירוץ של תיאום ההתקנה לשאוב ממנו פרטים נוספים, כמו מספר כרטיס אשראי או מועדים שבהם הלקוח לא נמצא בבית), או להתחזות ללקוח מול גורמים אחרים, כמו בנקים, ספקי שירות ומשרדי ממשלה.

“יש פה בעיה נוראית של הנגשה לא בטוחה של פרטים אישיים”, הסביר לחדר 404 ההאקר ים מסיקה, מנהל קבוצת R&D בסייברביט. “האתר מאפשר לגשת בלי אמצעי הזדהות אמיתי, ואפילו בעזרת shoulder surfing [הצצה מעבר לכתפו של גולש] פשוט של לראות איזה מספר מישהו הקליד בתיבת הטקסט שם, אני יכול לקבל עליו הרבה יותר פרטים ממה שהוא רצה לספק לי. הבעיה השנייה היא שאפילו אמצעי הזיהוי היחיד שכן מבקשים ממני, הוא קצר, לא אקראי וניתן לעשות עליו bruteforce [מתקפת כוח גס, במקרה זה הרצת מספרי קריאה אפשריים, ע”ק] בקלות, באופן שיאפשר לי לכרות את כל המידע שקיים באתר, וליצור לעצמי בסיס נתונים נאה של פרטים אישיים של משתמשים”.

איך היית מונע את זה?
“יש היום המון הגנות מגה פשוטות לאינטגרציה עבור בעלי אתרים, אבל ממש מציקות לאנשים שרוצים סתם לכייף עם Bruteforce, כשדוגמה ממש טובה היא reCAPTCHA של גוגל, מנגנון שכדי לאפשר מעבר לעמוד הפרטים ידרוש הזנת טקסט שמוצג בצורה מעוותת, אשר מחשבים מתקשים לפענח, או רק יבקש ממך לסמן V על האם אתה בנאדם – נשמע מצחיק אבל בפועל עושה המון דברים מאחורי הקלעים כדי לבדוק שאתה לא רובוט. המנגנון הזה מאפשר לרוב בעלי האתרים להטמיע את הטכנולוגיה באתר תוך דקות. אבל מה שהיה צריך לעשות בעקרון הוא תהליך הזדהות שכולל שם משתמש וסיסמה אקראית ושעומדת בסטנדרטים מסוימים, ואם באמת אכפת מהמשתמשים שלך, מאחר וכבר יש לך את הטלפון הנייד שלהם – גם סמס עם סיסמה מוגרלת זמנית, בשביל ה־2FA [ר”ת של 2 factor authentication, זיהוי דו-שלבי] שהופך את זה למנגנון משמעותית יותר בטיחותי”.

במערכת של קבוצת ח.י. כן הוטמע מנגנון סייבראבטחה, אבל רק ללקוחות שכבר תיאמו מועד. נסיון להיכנס עם מספר קריאה של לקוח כזה מחזיר הודעת שגיאה שלפיה “קריאה כבר שובצה, על מנת לשנות את השיבוץ יש להיכנס אל הלינק בהודעה הנוספת שהתקבלה בנושא שינוי מועד השיבוץ”.

הודעה באתר קבוצת ח.י.: "קריאה כבר שובצה, על מנת לשנות את השיבוץ יש להיכנס אל הלינק בהודעה הנוספת שהתקבלה בנושא שינוי מועד השיבוץ"

הודעת שגיאה באתר קבוצת ח.י.

בלינק הנוסף שבהודעה, הלקוח נדרש להזין מספר קריאה וגם מספר טלפון, מה שמקשה על המנסים לגנוב את הפרטים.

הודעת סמס נוספת מקבוצת ח.י.

הודעת הסמס הנוספת מקבוצת ח.י.

בקשת שם וסיסמה באתר קבוצת ח.י.

בקשת שם וסיסמה באתר קבוצת ח.י.

“מידע גלוי הפתוח לציבור”

מקבוצת ח.י נמסר כי החברה “פיתחה בשנה האחרונה ‘שירות התקנה עצמית’ המאפשר ללקוח להזין באתר ייעודי את מספר ההזמנה של המוצר שרכש
ולקבוע את מועד ההתקנה והשילוח המתאים לו. תוכנת השירות נמצאת בשלבים מתקדמים של פיתוח ובחודש האחרון הושקה כפיילוט עבור ליין מוצרי האלקטרוניקה. יודגש כי המידע שעלול היה להיחשף הינו מידע גלוי הפתוח לציבור”.

בניגוד לדברי קבוצת ח.י., המידע הזה גלוי רק לגבי אנשים שמספר הטלפון שלהם אינו חסוי, וכתובתם האמיתית מעודכנת במאגרי המידע של חברות התקשורת; אין ברשומות המודיעין הטלפוני שלהם מידע על כך שביצעו רכישה בקבוצת ח.י.; והפירצה באתר קבוצת ח.י. מקל על איסוף כמות גדולה של מידע כזה, מאחר שהאתר לא מכיל מנגנוני הגנה מפני קצירת המידע על ידי הצפתו בשאילתות.

פירצת פרטיות בקבוצת ח.י. תמונת לגו: BRICK 101 (cc-by-nc). איור: חדר 404

תמונת לגו: BRICK 101 (cc-by-nc). איור: חדר 404

עוד נמסר מקבוצת ח.י. כי “מיד עם פניית הכתב הועבר הנושא לצוות הפיתוח אשר הוסיף למערכת דרישה נוספת לאימות זהות הלקוח. בתקופה הקרובה תושלם בדיקת הפיילוט והשירות יוחל על כלל מוצרי הקבוצה”.

בדיקה של האתר אחרי קבלת התגובה מעלה שלצד מספר הקריאה נוספה דרישה להזין מספר טלפון.

לדף הבא →