📧 פירצת פרטיות חשפה שמות, טלפונים וכתובות של לקוחות קבוצת ח.י.

פירצת פרטיות פשוטה באתר קבוצת ח.י. איפשרה לאסוף פרטים של לקוחות החברה – שם מלא, טלפונים וכתובת מגורים – שעלולים לשמש לספאם ולגניבת זהות. הפירצה איפשרה גישה לפרטים באמצעות דפדוף בין מספרי קריאה, שלקוחות קיבלו כשהזמינו התקנת מוצר שקנו בחברה. קבוצת ח.י. סגרה את הפירצה בשבוע שעבר בעקבות פניית חדר 404.

ארנון (שביקש שלא אפרסם את שמו האמיתי) גילה את הפירצה אחרי שקנה מוצר מקבוצת ח.י. הוא קיבל מהחברה סמס לתיאום ההתקנה, שמכיל לינק לעמוד אינטרנט ומספר קריאה שיש להזין בעמוד.

סמס מקבוצת ח.י. לתיאום מועד התקנה

סמס מקבוצת ח.י. לתיאום מועד התקנה

עם הזנת המספר, מוצגים ללקוח פרטיו והוא מתבקש לאשרם, ואחר כך מועבר לעמוד שבו הוא בוחר מועדי הובלה.

 דף הנחיתה של קבוצת ח.י. לתיאום הובלה

דף הנחיתה של קבוצת ח.י. לתיאום הובלה

ארנון הזין בטעות את המספר בלי הסיפרה האחרונה, וקיבל פרטים של לקוח אחר. בדקתי מספרים נוספים באתר, סביב המספר של ארנון ובטווחי מספרים אחרים, והפירצה אכן היתה קיימת ופעילה.

דף פרטי לקוח של קבוצת ח.י.

דף פרטי לקוח של קבוצת ח.י. חדר 404 הסתיר את פרטי הלקוח

“מטריד שחברה גדולה כמו ח.י. אלקטרוניקה לא נוקטת באמצעי אבטחה בסיסיים כדי לשמור על פרטיות לקוחותיה”, אמר ארנון. פירצת הפרטיות הזאת עלולה לאפשר גניבת זהות – גורם זדוני יכול להשתמש בפרטים כדי להזדהות בתור הלקוח מול קבוצת ח.י., בתור קבוצת ח.י. מול הלקוח (ובתירוץ של תיאום ההתקנה לשאוב ממנו פרטים נוספים, כמו מספר כרטיס אשראי או מועדים שבהם הלקוח לא נמצא בבית), או להתחזות ללקוח מול גורמים אחרים, כמו בנקים, ספקי שירות ומשרדי ממשלה.

“יש פה בעיה נוראית של הנגשה לא בטוחה של פרטים אישיים”, הסביר לחדר 404 ההאקר ים מסיקה, מנהל קבוצת R&D בסייברביט. “האתר מאפשר לגשת בלי אמצעי הזדהות אמיתי, ואפילו בעזרת shoulder surfing [הצצה מעבר לכתפו של גולש] פשוט של לראות איזה מספר מישהו הקליד בתיבת הטקסט שם, אני יכול לקבל עליו הרבה יותר פרטים ממה שהוא רצה לספק לי. הבעיה השנייה היא שאפילו אמצעי הזיהוי היחיד שכן מבקשים ממני, הוא קצר, לא אקראי וניתן לעשות עליו bruteforce [מתקפת כוח גס, במקרה זה הרצת מספרי קריאה אפשריים, ע”ק] בקלות, באופן שיאפשר לי לכרות את כל המידע שקיים באתר, וליצור לעצמי בסיס נתונים נאה של פרטים אישיים של משתמשים”.

איך היית מונע את זה?
“יש היום המון הגנות מגה פשוטות לאינטגרציה עבור בעלי אתרים, אבל ממש מציקות לאנשים שרוצים סתם לכייף עם Bruteforce, כשדוגמה ממש טובה היא reCAPTCHA של גוגל, מנגנון שכדי לאפשר מעבר לעמוד הפרטים ידרוש הזנת טקסט שמוצג בצורה מעוותת, אשר מחשבים מתקשים לפענח, או רק יבקש ממך לסמן V על האם אתה בנאדם – נשמע מצחיק אבל בפועל עושה המון דברים מאחורי הקלעים כדי לבדוק שאתה לא רובוט. המנגנון הזה מאפשר לרוב בעלי האתרים להטמיע את הטכנולוגיה באתר תוך דקות. אבל מה שהיה צריך לעשות בעקרון הוא תהליך הזדהות שכולל שם משתמש וסיסמה אקראית ושעומדת בסטנדרטים מסוימים, ואם באמת אכפת מהמשתמשים שלך, מאחר וכבר יש לך את הטלפון הנייד שלהם – גם סמס עם סיסמה מוגרלת זמנית, בשביל ה־2FA [ר”ת של 2 factor authentication, זיהוי דו-שלבי] שהופך את זה למנגנון משמעותית יותר בטיחותי”.

במערכת של קבוצת ח.י. כן הוטמע מנגנון סייבראבטחה, אבל רק ללקוחות שכבר תיאמו מועד. נסיון להיכנס עם מספר קריאה של לקוח כזה מחזיר הודעת שגיאה שלפיה “קריאה כבר שובצה, על מנת לשנות את השיבוץ יש להיכנס אל הלינק בהודעה הנוספת שהתקבלה בנושא שינוי מועד השיבוץ”.

הודעה באתר קבוצת ח.י.: "קריאה כבר שובצה, על מנת לשנות את השיבוץ יש להיכנס אל הלינק בהודעה הנוספת שהתקבלה בנושא שינוי מועד השיבוץ"

הודעת שגיאה באתר קבוצת ח.י.

בלינק הנוסף שבהודעה, הלקוח נדרש להזין מספר קריאה וגם מספר טלפון, מה שמקשה על המנסים לגנוב את הפרטים.

הודעת סמס נוספת מקבוצת ח.י.

הודעת הסמס הנוספת מקבוצת ח.י.

בקשת שם וסיסמה באתר קבוצת ח.י.

בקשת שם וסיסמה באתר קבוצת ח.י.

“מידע גלוי הפתוח לציבור”

מקבוצת ח.י נמסר כי החברה “פיתחה בשנה האחרונה ‘שירות התקנה עצמית’ המאפשר ללקוח להזין באתר ייעודי את מספר ההזמנה של המוצר שרכש
ולקבוע את מועד ההתקנה והשילוח המתאים לו. תוכנת השירות נמצאת בשלבים מתקדמים של פיתוח ובחודש האחרון הושקה כפיילוט עבור ליין מוצרי האלקטרוניקה. יודגש כי המידע שעלול היה להיחשף הינו מידע גלוי הפתוח לציבור”.

בניגוד לדברי קבוצת ח.י., המידע הזה גלוי רק לגבי אנשים שמספר הטלפון שלהם אינו חסוי, וכתובתם האמיתית מעודכנת במאגרי המידע של חברות התקשורת; אין ברשומות המודיעין הטלפוני שלהם מידע על כך שביצעו רכישה בקבוצת ח.י.; והפירצה באתר קבוצת ח.י. מקל על איסוף כמות גדולה של מידע כזה, מאחר שהאתר לא מכיל מנגנוני הגנה מפני קצירת המידע על ידי הצפתו בשאילתות.

פירצת פרטיות בקבוצת ח.י. תמונת לגו: BRICK 101 (cc-by-nc). איור: חדר 404

תמונת לגו: BRICK 101 (cc-by-nc). איור: חדר 404

עוד נמסר מקבוצת ח.י. כי “מיד עם פניית הכתב הועבר הנושא לצוות הפיתוח אשר הוסיף למערכת דרישה נוספת לאימות זהות הלקוח. בתקופה הקרובה תושלם בדיקת הפיילוט והשירות יוחל על כלל מוצרי הקבוצה”.

בדיקה של האתר אחרי קבלת התגובה מעלה שלצד מספר הקריאה נוספה דרישה להזין מספר טלפון.

בהלת “בהלת הליצנים”

מסיכת ליצן בעכו, יוני 2017. תמונה: עידו קינן

מסיכת ליצן בעכו, יוני 2017. תמונה: עידו קינן

בהלת הליצנים בישראל עלתה לדיון בהשתתפות פרופ’ רפי מן ואני בתוכנית “קלמן ליברמן” בכאן ב’.

אזהרה בפייסבוק מפני ליצנים בישראל

אזהרה בפייסבוק מפני ליצנים בישראל

בהלת הליצנים שהתקשורת והציבור לקו בה נובעת משילוב של מספר נסיבות: בעת-ליצנים (קולרופוביה) שיש לאנשים; סרטי אימה נוכחיים בכיכוב ליצנים, המפורסם שבהם החידוש ל”IT” של סטיבן קינג, שאולי לווה בקמפיין גרילה של הפגנה נגד ליצנים, והמטריד שבהם Gags, שהבמאי שלו שלח ליצן להפחיד אנשים כדי לקדם את הסרט, והעלה תיעוד שלו לדף פייסבוק שהפך לפופולרי (זהירות, אוטופליי); הווב שהביאה לנו את סיפורי בהלת הליצנים מארה”ב; עונת המלפפונים התקשורתית והעובדה שסיפורי ליצנים מפחידים מוכרים עיתונים ומושכים קליקים; משטרה היסטרית שמלבה את הבהלה בהודעות לעיתונות; הפצת הבהלה ברשתות חברתיות (פייסבוק) ותוכנות מסרים מידיים (וואטסאפ); וחקיינים צעירים שרוצים להשתעשע.

הודעת משטרת ישראל על ליצנים, אוקטובר 2017

הודעת משטרת ישראל על ליצנים, אוקטובר 2017

בהלת הליצנים במעריב, 6.10.2017. תמונה באדיבות העין השביעית

בהלת הליצנים במעריב. תמונה: העין השביעית

אף ליצן. תמונה: clown_nose, cc-by-nd

אף ליצן. תמונה: clown_nose, cc-by-nd

עוד בהלה

סכנה: כלי תקשורת פרסמו כתבות יחצנות מטופשות על בתי חולים – בגלל פוקימון

📺 הוט טוענים שאסור להם לתת VOD בכיפור בגלל מועצת הכבלים והלווין, שהיו”ר שלה אמרה שתרשה VOD בכיפור

אייטמי “חוצפה: סוגרים את ה-VOD ביום כיפור”, הממוחזרים מדי שנה, הפכו מעניינים השנה לאור מספר שינויים – נטפליקס וטריפל סי שמאפשרות לצפות בשידורים בכיפור, עתירה של הלא טי.וי שטוענת שאין בסיס חוקי לאיסור השידור בכיפור, ואמירתה של יו”ר מועצת הכבלים והלוויין, ד”ר יפעת בן חי שגב, שתאשר ליס/הוט להשאיר VOD פתוח בחג האופניים אם רק יבקשו.

הוט התעלמו משאלתי אם בכוונת החברה לפנות למועצה, אבל בראיון ל”הארץ” הודה יו”ר דירקטוריון קבוצת הוט, פטריס ג’יאמי: “אני לא חושב שמישהו ביקש שנסגור אותו [את ה-VOD], אבל אני לא יכול להרחיב, אני לא יודע את כל הפרמטרים”.

הוט בכיפור. תמונה: חדר 404

הוט בכיפור. תמונה: חדר 404

בניגוד להודאתו של היו”ר, שהסגירה היא כנראה יוזמה עצמית של הוט, נציג שירות של החברה אמר ללקוחה הדס אילון כרמי ש”בהתאם להנחיות המועצה לכבלים ולווין אנחנו מחויבים לסגור את השירות”. תגובת הוט תתפרסם כאן אם תתקבל.

נציג הוט משיב ללקוחה ששאלה על VOD כי "בהתאם להנחיות המועצה לכבלים ולווין אנחנו מחויבים לסגור את השירות"

תשובת נציג הוט

כשהוט מחליטה מטעם עצמה על כפייה דתית נגד חילונים שבסך הכל רוצים לראות טלוויזיה בכיפור, ועוד מטעה לקוחות ששואלים על כך, חילונים שחילוניותם חשובה להם צריכים להחרים את החברה, ולעבור עם הכסף שלהם לחברות שלא מתערבות בעניינים שבין אדם לאין-אלוהים שלו: נטפליקס וטריפל סי.

[עדכון 17:43] אה, וגם אתר סדרות.טי.וי :)

סדרות.טי.וי מודיעים בטלגרם שהאתר יהיה פתוח בכיפור

סדרות.טי.וי יהיה פתוח בכיפור

(הלשינה: רפאלה גויכמן)

📼 נטפליקס האמריקאית, הלא טי.וי הערבי וטריפל סי היהודית מערערים על איסור השידור בכיפור

מדי שנה מחשיכות מפעילות הטלוויזיה הרבערוצית הוט ויס את שידוריהן (העצמיים והתרגום לעברית) ביום הכיפורים, כדי שגם החילונים שלא צמים יוכלו לסבול, ואליהן מצטרפת חברת האינטרוויזיה פרטנר טי.וי.

אלא שהשנה יש שלושה ארבעה שינויים משמעותיים: האחד, הרבערוצית החדשה בישראל, נטפליקס, מסרה בתגובה לפנייתי שהיא לא תפסיק את שידוריה בכיפור (השערה שלי: כי 2017); השני, יו”ר מועצת הכבלים והלוויין, ד”ר יפעת בן חי שגב, הודיעה שתאשר להשאיר ליסהוט להשאיר את ה-VOD פתוח, אם רק יבקשו, ובכפוף להצבעת שאר חברי המועצה; השלישי, המדינה אישרה לערוץ הערבי-ישראלי הלא טי.וי לשדר בכיפור, ותענה בהמשך לטענות הערוץ על אי חוקיות האיסור לשדר בכיפור; והרביעי, טריפל סי לא תכבה את ה-VOD של שירות smart.tv שלה בכיפור.

תוקעים בשופרות. תמונה: GSankary cc-by-nc-nd

תוקעים בשופרות. תמונה: GSankary cc-by-nc-nd

בן חי שגב מהמועצה הפתיעה עם הנכונות לאשר פתיחת VOD בראיון לניר גונטז’ ב”הארץ” (₪), לצד עוד כמה הצהרות מפתיעות:

השאלה שלי היא אם גם השנה תורו/ תבקשו/ תדרשו מהוט ויס לסגור את הווי־או־די שלהם בחג.

אני אגיד לך, אני לא… אני באמת לא חשבתי על זה. למיטב זיכרוני מהשנה שעברה — מדובר בתקנות כאלה. זאת אומרת… אני צריכה לתת איזושהי הוראה… אני לא זוכרת מה מצב החוק, ניר. אני צריכה לבדוק. עד כמה שאני זוכרת, זה החוק.

לא מצאתי חוק של הכנסת בעניין הזה.

לא לא חוק, לא, תקנות. תקנות עזר, מה שנקרא. תראה, הן גם כן משחקות טריקי בעניין הזה, אם יורשה לי לומר לך אוף רקורד.

לא, לא. בלי אוף רקורד.

לא, אז אם זה לא אוף רקורד, אז אני רוצה לבדוק את העניין. אני לא זוכרת. יש תקנות שמתייחסות לעניין הזה. אני גם יודעת שהיו פסיקות בעניין הזה.
[…]
אני כן יכולה לומר לך און רקורד, שלצערי הרב הרבה מאוד מהתקנות מנהלות את חיינו. הן לא הגיוניות, כן, ועדיין הן מחייבות. אבל אני רוצה לבדוק.
[…]
אני רוצה לומר לך, אני מגדירה את עצמי כאדם מאמין. עם זאת, אני יודעת לעשות את ההבחנה בין רשות הפרט לרשות הציבור. מה שמתרחש ברשות הפרט הוא עניינו של הפרט, לא ענייני.

נו, את הרגולטור כאן. בשנים קודמות יס והוט טענו שהן סגרו את הווי־או־די בהוראה שלכם.

הם משדרים את הווי־או־די שלהם על גבי האינטרנט. באינטרנט אין רגולציה [כפי שהבהיר בעבר דובר משרד התקשורת; ע”ק]. אני מתעקשת שזה יהיה אוף רקורד.
[…]
בתפיסת העולם שלי — אני עושה הפרדה בין רשות הפרט לציבורי. זה לא עניינו של הציבור.

והשורה התחתונה של בן חי שגב: “ברמה העקרונית אני מפרידה בין שידור לא־ליניארי, כמו וי־או־די — זו בעצם ספרייה שבה הצופה הוא אקטיבי, ומחפש את התוכן, והתוכן לא מוזרם — לבין שידורים ליניאריים, ואני אומרת לך שבמה שנוגע לשידורי ספרייה — ככל שהוט ויס יפנו אלי בבקשה לשדר — אני מוכנה לבחון את זה בחיוב עוד השבוע”.

האם הרבערוציות יפנו למועצה ויבקשו אישור רשמי לספק שידורי טלוויזיה, ולו חלקיים, באחד הימים שהם הכי נחוצים בהם? (יס ממילא השאירה חלק מה-VOD פתוח בכיפור בלי לצאת בהצהרות, והשמועות מפה-לרשת איפשרו לחילונים לצפות בטלוויזיה במקום לצפות בהן באינטרנט).

ובכן:

לא.

מדוברות יס נמסר לי כי “באשר להצעתה של יו”ר מועצת הכבלים והלוויין, לא נוכל להתייחס להצעה זו בלוח הזמנים הקצר. ככלל, העולם הטכנולוגי המשתנה של שידורים על גבי רשת האינטרנט מחייב חשיבה מחדש״

בחברת הוט התעלמו מפנייתי. בשיחה () עם איתי שטרן ב”הארץ” מסר יו”ר דירקטוריון קבוצת הוט, פטריס ג’יאמי, על סגירת ה-VOD: “אני לא חושב שמישהו ביקש שנסגור אותו, אבל אני לא יכול להרחיב, אני לא יודע את כל הפרמטרים”.

שר התקשורת איוב קרא הודיע שפעל נגד אישור השידורים בכיפור:

שוחחתי עם יו”ר מועצת הכבלים והלווין, יפעת חי שגב, בעקבות השמועות על כוונת חלק מכלי התקשורת הרוצים לשדר ביום כיפור ולהלן תגובתי :

” יום כיפור עבורנו במשרד התקשורת הוא בבחינת קודש הקודשים, וכמו שמדינת ישראל התנהגה תקשורתית 70 שנה נשמור גם השנה על הסטטוס-קוו בלי לפגוע באמונתו של איש, ונכבד אחד את השני כבעבר.

פניתי למועצת הכבלים והלווין בעקבות התסיסה שגרמה פרשה רגישה זו, ולשמחתי קיבלו במועצה את עמדתי ויפעלו בהתאם.

טריפל סי מספקת חופש מדת

חברות האינטרוויזיה אינן כפופות לרגולציה משום ששידוריהן מתבצעים על גבי האינטרנט, ואחרי כל כך הרבה שנים, משרד התקשורת טרם גיבש מדיניות בנושא.

מחברת פרטנר נמסר ל”הארץ”: “בפרטנר הסבירו כי בחברה התקבלה החלטה לגבי זמינות השירותים השונים בפרטנר TV, שגם מכבדת את החג וגם משאירה את הלקוח עם תוכן עשיר ומגוון שזמין לצפייה, במידה וירצה בכך, ללא צורך להקליט או להיערך מראש” (זו התגובה המלאה, ב”הארץ” פורסמה גירסה מקוצרת). שטרן דיווח כי פרטנר תאפשר לצפות בהקלטות שנעשו מראש, וגם לצפות בהקלטות של שידורים ליניאריים שבועיים לאחור.

טריפל סי היא היחידה מבין הספקיות הישראליות שתשאיר את ה-VOD פתוח רשמית בכיפור, והיא עושה זאת במופגן. מירב קריסטל דיווחה בוויינט כי מטריפל סי נמסר שהחברה

נערכת ליום כיפור הראשון שלה כספקית שירותי טלוויזיה באינטרנט. לראשונה בישראל, לקוחות Smart.tv צפויים ליהנות ביום כיפור הקרוב מזמינות של הערוצים הבינלאומיים ושירותי VOD הכוללים למעלה מ-4,000 שעת תוכן של סרטים וסדרות בינלאומיות חינמיות – בדומה לגישה המתאפשרת לשירותי תוכן באינטרנט דוגמת נטפליקס ואחרים.

בין הערוצים הזמינים:Travel XP, Duck TV, English Club, Fashion One, Motorvision HD, Nautical HD, Trace Urban HD. בין הסדרות: שובר שורות, המלכה הלבנה, גרייבס, הודיני ואייס. החברה מציעה מגוון סרטים ב-VOD בחינם וכן בהשכרה בתשלום, ביניהם וונדרוומן, היפה והחיה, שומרי הגלקסיה 2, דרדסים, בייבי בוס והמלך ארתור.

האם בכלל חוקי לאסור שידורים בכיפור?

ערוץ טלוויזיה אחד שקיבל אישור לשדר כרגיל בכיפור הוא הערוץ בערבית הלא טי.וי. הערוץ פנה לפני כיפור שעבר למועצת הכבלים והלוויין ולמשרד התקשורת בבקשה לשדר כרגיל בכיפור, לא נענה ועתר לבג”ץ נגד שר התקשורת, איוב קרא, והמועצה לשידורי כבלים ולוויין.

בעתירה [פדף] טענו עו”ד מוחמד בסאם ממרכז עדאלה והיועמ”ש של הערוץ, עו”ד נחשון אקסלרד, כי “הערוץ מעצם טבעו והגדרתו, הן על פי תנאי המכרז בו זכתה העותרת והן על פי תנאי הרישיון, הוא ערוץ ייעודי לאוכלוסייה הערבית – מוסלמים, נוצרים ודרוזים, שעפ”י פקודת סדרי השלטון והמשפט ניתנת להם הזכות לקיים ימי מנוחה בחגיהם כפי שנקבעו ע”י החלטת הממשלה משנת 1954 ,ואין לכפות עליהם לקיים ימי מנוחה בחגים של האוכלוסייה היהודית במדינת ישראל”.

טענה נוספת היא לפגיעה בחופש הביטוי: “הוראה המופנית אל אמצעי תקשורת המשדר באופן בלעדי לאוכלוסייה הערבית ובשפה הערבית, ואשר מורה לא לשדר במועד חג יהודי פוגעת בצורה קשה ביותר בחופש הביטוי של כלל האוכלוסייה הערבית וכן בחופש הביטוי וחופש העיתונות של העותרת ועובדיה”.

הלא טי.וי ונטפליקס בכיפור. תמונה: חדר 404; תמונת שופר: צחי אבנור (cc-by)

הלא טי.וי ונטפליקס משדרים בכיפור. תמונה: חדר 404; תמונת שופר: צחי אבנור (cc-by)

טיעון כללי יותר, שעשוי לשמש גם ערוצים שפונים לאוכלוסיה היהודית, היה שהאיסור על שידורים עצמיים ותרגום שידורים לעברית בכיפור כלל אינו מעוגן בחוק: “האיסור המוטל על העותרת לשדר ביום כיפור, ובכלל זה סעיף 5א(ד) לכללי התקשורת, אינו מעוגן בדבר חקיקה ראשי או מכוחו. סעיפי האיסור לא נקבעו בהוראה מפורשת בחוק – אין בנמצא שום הוראה בהסדר חקיקתי ראשי, אף לא בחוק התקשורת עצמו, הקובעת כי שידורים בשפה הערבית ביום כיפור הינם אסורים. יתרה מזאת, גם חוקים אחרים המסדירים את הרגולציה על אמצעי התקשורת, כדוגמת חוק הרשות השנייה לטלוויזיה ולרדיו, התש׳׳ן-1990 וכן חוק השידור הציבורי הישראלי, התשע׳׳ד-2014 אינם כוללים שום הוראה האוסרת על שידור ביום כיפור. וזאת למרות שחוקים אלה כוללים הוראות רבות המטילות איסורים שונים ובמפורש על בעלי רישיון. בהקשר זה, אמנם סעיף 6ה(1)(א) לחוק התקשורת קובע כי המועצה מוסמכת לקבוע את המדיניות לגבי ‘סוגי השידורים, נושאיהם, תכנם, רמתם, היקפם ומועדיהם, לרבות אישור ערוץ לשידור וביטולו’, אולם אין בסעיף זה כל הוראה ספציפית המחייבת החשכת השידורים באופן מלא ביום כיפור או המסמיכה את המשיבה 2 לקבוע הוראה כאמור. סעיף זה צריך להתפרש באופן דווקני ומצמצם בכדי למנוע פגיעה או פגיעה בלתי מידתית בזכויות יסוד חוקתיות”.

אתמול השיבה המדינה [פדף] והודיעה שלא תקנוס את הערוץ אם ישדר בכיפור הנוכחי. בנוסף הודיעה המדינה כי תבחן מחדש את איסור השידורים ביום כיפור, ומציעה לעדכן את בית המשפט בנושא בעוד חודש וחצי. כדאי לעקוב.

(עדכון אחרון: 17:39)

עוד בנושא:

יום הזכרון: כאן נסתיימו שידורינו

️⚔️ דף הפייסבוק המפוקפק שהמליץ לחיילים לא להאמין לפניות ממשתמשי פייסבוק מפוקפקים נעלם מהרשת

נסיונות של חמאס לגרום לחיילי צה”ל להדביק את סלולריהם ברוגלות הביא את צה”ל (כנראה שמדובר בצה”ל) לצאת בתחילת השנה בקמפיין סייבראבטחה שהתחזה למתקפת האקרים. הקמפיין כלל סמס מפוקפק מכתובת שולח פיקטיבית; ההודעה כללה לינק מקוצר מפוקפק, שחושף מידע על המקליקים עליו; הפניה מהלינק המקוצר לדף הפייסבוק המפוקפק “אגף המודיעין של צה”ל“ (facebook.com/idfintelligence), שאין לו וי כחול שיאשרר שהוא אכן מייצג את מי שהוא טוען שהוא מייצג, ואיש לא יודע מי באמת עומד מאחוריו; ועצה מפוקפקת, שגויה ומסוכנת שלפיה פירמוט הטלפון הסלולרי יסיר כל רוגלה. פירוט מלא של הבעיות בקמפיין הזה כאן.

פעיל יחידת הסייבר של החמאס, מתחזה כאישה, משכנע חייל צה"ל להתקין אפליקציית וידאוצ'ט, שהיא למעשה רוגלה. תמונה: דובר צה"ל

סייברלוחם חמאס מפתה חייל צה”ל בפייסבוק מסנג’ר. תמונה: דובר צה”ל

כמה מפוקפק דף הפייסבוק “אגף המודיעין של צה”ל”? היום גיליתי שהוא הוסר מפייסבוק. האם צה”ל פנה לפייסבוק וביקש להסיר את הדף המפוקפק? אולי היו אלו תלונות גולשים שגרמו להורדתו?

תגובת דובר צה”ל תתפרסם כאן אם תתקבל. לפייסבוק לא פניתי כי ההתנהלות שלהם מול עיתונאים בכלל, ושל משרד היחץ שלהם שלום תל אביב מולי בפרט, מחפירה, כולל התעלמות מפניות, אבל אם הם רוצים הם יכולים לשלוח תגובה אל ido@room404.net

דף האינטרנט “אגף המודיעין של צה”ל“ (facebook.com/idfintelligence) נעלם

“אגף המודיעין של צה”ל” נעלם מפייסבוק

☎️ התקלה בגולן טלקום היא הזדמנות להתנתק מהטלפוניה ולעבור לאפליקציות מוצפנות

כל מי שצריך לדעת כבר יודע שחדשות בלי צנזורה ובלי צא”פים, סדרות וסרטים פיראטיים ומשהו לעשן משיגים בטלגרם (למרות שכמה שוטרים שחיים בעבר חירפו את נפשם והסתננו לטלגראס, תוך שהם מתעלמים מכך שאפילו באמריקה הטראמפית הסמים הקלים כבר לא מפחידים אף אחד). אבל למה את שיחות הטלפון שלנו אנחנו ממשיכים לנהל ברשתות הטלפוניה של חברות התקשורת הישראליות, כשהן חשופות לצווים, להאזנות סתר וליירוט?

תקלה ברשת הטלפוניה של גולן טלקום היום הביאה את החברה למסור בתגובה רשמית כי “התקלה […] אינה פוגעת […] בגלישה באינטרנט – כך שניתן לבצע שיחות באמצעות אפליקציות מסרים מידיים דוגמת וואטסאפ”. אנחנו לא צריכים את גולן שתמליץ לנו להשתמש בחלופות לשיחות הקוליות הטלפוניות, ובהן וואטסאפ, טלגרם, סיגנל, פייסטיים, גוגל הנגאאוטס וסקייפ. אבל זו בכל זאת הצהרה חתרנית, משום שוואטסאפ ודומותיה מהוות תחרות לחברות הסלולר – הן מאפשרות לנהל שיחות בחינם, בלי צורך בקו טלפון אלא בחיבור אינטרנט בלבד, באיכות קול טובה יותר (אם כי לעתים עם הפרעות והשהיות) ועם אופציה לשיחות וידאו.

יתרון חשוב נוסף של החלופות הוא שהן פחות חשופות לציתות מצד רשויות הריגול והאכיפה. זאת, משום שבניגוד לחברות התקשורת הישראליות, הוואטסאפיות של העולם אינן כפופות לרשיון משרד התקשורת על הנספחים הסודיים בו, שהציבור הרחב אינו מורשה אפילו לקרוא.

הנספח הבטחוני הסודי מוזכר ברשיון שנתן משרד התקשורת לגולן טלקום

אזכור הנספח הבטחוני הסודי ברשיון גולן טלקום

המשפט הקודם לא מדויק: אי-כפיפות לנספחים סודיים של כוחות הביון הישראליים אינה מספיקה, כמובן, משום שיצרנית אפליקציה יכולה להעביר את המידע בכפוף לצו בית משפט (או בלי צו, אם לא ממש אכפת לה מהמשתמשים שלה); האקרים עלולים לפרוץ למערכת ולצותת לשיחות; ורשויות הריגול יכולות ליירט אותן, ואכן עושות זאת. לכן צריך להצפין את שיחות הקול והווידאו – סקייפ מצפינה מראשית דרכה, סיגנל מאז הקמתה ב-2014, וואטסאפ מאז 2016 וטלגרם מהשנה – כמובן רק כאשר השיחות מתקיימות בין שני משתמשי אותה אפליקציה ולא כאשר מתקשרים מהאפליקציה לטלפון קווי/סלולרי.

צריך לסייג ולומר שרוב האפליקציות אינן בקוד פתוח, ועל כן מומחי סייבראבטחה לא יכולים לוודא באופן מוחלט שההצפנה הוטמעה, עובדת ומשתמשת בפרוטוקולים בטוחים שטרם נפרצו. יוצאת דופן היא סיגנל, שמשוחררת בקוד פתוח. היצרן שלה, המלכ”ר אופן וויספר סיסטמז, נאבק בצו שדרש ממנו לספק מידע על משתמשי התוכנה, וחסה תחת איסור פרסום שלא התיר אפילו ליידע אותם. וממילא, אופן וויספר סיסטמז מצהיר שאינו שומר מידע על המשתמשים למעט “התאריך והשעה שמשתמש נרשם בסיגנל והתאריך האחרון שבו הוא היה מחובר לשירות של סיגנל”.

הצפנת טלפון AT&T TSD-3600E ב-1993. תמונה: Matt Blaze cc-by-nc-nd  Telephone Security

הצפנת טלפון AT&T TSD-3600E ב-1993. תמונה: Matt Blaze cc-by-nc-nd

התקלה בגולן טלקום היא הזדמנות לנטוש את השיחות הקוליות הבלתי מוצפנות של ספקיות התקשורת הישראליות ולעבור לאפליקציית שיחות אודיו ו-וידאו מוצפנת. שום תוכנה ושום הצפנה אינה חסינה לחלוטין מפני פירצות ופריצות, אבל המעט שאנחנו יכולים לעשות הוא להקשות כמה שיותר על כל מי שמנסה לעקוב אחרי השיחות שלנו ותוכנן.

🕘 אתר פורנו חדר לעשרת האתרים הפופולריים בישראל, כנראה באמצעות רוגלה

שני אתרי פורנוגרפיה חדרו לרשימת 50 האתרים הפופולריים בישראל) לחודש האחרון לפי אלקסה אינטרנט. המפורסם מביניהם, פורנהאב, אתר הפורנו הגדול בעולם, הגיע למקום 43, ואילו השני, Bongacams.com, הצליח להעפיל למקום 9, כנראה שלא באופן אורגני או באמצעות קמפיין – הוא מקודם על ידי רוגלות פרסום, ונמצא כרגע במקום 79 באתרים הפופולריים בעולם. [עדכון] לפי מדד סימילרווב, בחמישים האתרים הפופולריים בישראל נכון ל-1.8.2017 יש חמישה אתרי פורנו, עם פורנהאב במקום 26 ובונגהקאמז במקום 43. [\עדכון]

אלקסה אינטרנט היא חברה בבעלות אמזון, שבין השאר מודדת תעבורת רשת ומציגה את האתרים הפופולריים ביותר בחודש האחרון לפי שילוב של מספר מבקרים ועמודים נצפים ממוצע ביום, בעולם, בחלוקה למדינות ולפי קטגוריות. בראש רשימת האתרים הפופולריים בישראל נכון להיום נמצאים שלושה נכסים של גוגל – גוגל ישראל (Google.co.il), יוטיוב וגוגל ארה”ב/בינ”ל (Google.com), ואחריהם פייסבוק ו-וויינט. במקום השישי וויקיפדיה (wikipedia.org), בשביעי אתר הקניות עליאקספרס, בשמיני אתר התוכן וואלה, במקום התשיעי בונגהקאמז ובמקום 10 אתר הקניות איביי. 11 הוא אתר החדשות הישראלי בערבית פאנט, ו-12 הוא הרשת החברתית הרוסית ויקונטקטה בהמשך רשימת 50 האתרים הפופולריים מופיעים עוד מספר אתרים רוסיים וישראליים ברוסית. במקום ה-43 מופיע, כאמור, פורנהאב.

אתר bongacams.com. טשטשתי את התמונות

אתר bongacams.com. טשטשתי את התמונות

בונגהקאמז הוא אתר מצלמות לייב פורנו. מנתוני אלקסה, 7.3% מהכניסות אליו מגיעות ממנועי חיפוש (השיאן ב-50 הפופולריים הוא Stackoverflow.com עם 76%, והנמוך ביותר הוא גוגל.קו.יל עם 0.20%, שזה אפילו יותר מדי כי מי מחפש גוגל בגוגל, או חמור מכך, בבינג ודומיו?); יש כ-312 אלף אתרים שמפנים לבונגהקאמז (פחות מעשירית מההפניות לגוגל.קום, פי 100 מההפניות לגוגל.קו.יל; השיאן הוא טוויטר עם 5.5 מיליון הפניות – כל הטמעה של ציוץ באתר כלשהו מכילה הפנייה אליו; השפלן הוא Erate.co.il, חברה ש”מתמחה בפתרונות טכנולוגיים למדידה וניהול קמפיינים פרסומיים באינטרנט”, עם 47 הפניות בודדות). כל משתמש נכנס לבאנגקאמז בממוצע 2.39 פעמים ביום (שיא: יד2 עם 11.70; שפל: 1.20 לוואטסאפ קום, ככל הנראה לגישה לגירסת הווב של אפליקציית הצ’ט), ושוהה בו 4:37 דקות ביום, שזה לא אומר כלום (שיא: 15:52 לקהילת הדיונים רדיט; שפל: 0:45 ל-Erate.co.il).

אתר פורנהאב מקבל 24% מהכניסות שלו ממנועי חיפוש, ורק כ-15 אלף אתרים מפנים אליו. גולשים נכנסים בו ל-3.07 עמודים בממוצע ביום, ושוהים בו 8:15 דקות, כמעט כפול מבאנגקאמז.

גליץ’ פורנו. תמונה: Iwao Arawatari (cc-by)

המיקום של פורנהאב ברשימה לעומת בונגהקאמז, והעובדה שהוא פחות פופולרי מבונגהקאמז למרות שיש לו יותר דפים נצפים וזמן שהייה גדול יותר, נראים חשודים, בפרט לאור העובדה שפורנהאב הוא אתר הפורנו הגדול בעולם, ושייך לחברת MindGeek, אימפריית פורנו שמחזיקה באתרי פורנו פופולריים נוספים ובהם יופורן ורדטיוב.

החשד מוצדק: אתרי סייבראבטחה רבים מסבירים שבונגהקאמז מקודם על ידי רוגלת-פרסום (adware), שמעבירה את הדפדפן אליו, פותחת פרסומות בפופאפים ומזריקה פרסומות לדפדפן בזמן שהוא נמצא באתרים אחרים. הוראות להסרת הרוגלה אפשר למצוא, בין השאר, כאן.

[עדכון] הקורא ניצן וידנפלד העיר: “אני נוטה להאמין יותר לסימילארווב, ולו רק [מפני] שברשימה שלהם יש יותר אתרי [פ]ורנו”. ברשימת האתרים הפופולריים בישראל של סימילרווב, אתר הפורנו הראשון הוא xnxx.com במקום 6, xvideos.com במקום 17, פורנהאב במקום 26, xhamster.com במקום 34 ובונגהקאמז האחרון, במקום 43.

👮 השוטר הלוהט שחרך את הרשת הושעה כשהגולשים גילו בדיחות אנטישמיות בפייסבוק שלו


פוסט של שירה הדס נקר

פרשה שקרתה השבוע (פרשת השבוע?) בפלורידה: השוטר החתיך הזה? הוא וחבריו עומדים במרכז סערת רשת השבוע. הכל התחיל כשמשטרת גיינסוויל העלתה לעמוד הפייסבוק שלה את הסלפי של השלושה מתכוננים לצאת לעזור לנפגעי הוריקן אירמה בפלורידה. תוך רגע התמונה שטפה את הרשת עם תגובות מצחיקות מאוד ואוהדות מאוד (הכי אהבתי? את ההוא שהגיב “כאילו פלורידה לא הייתה רטובה מספיק…”). החבר’ה אפילו זכו להאשטג משלהם, #hotcops (זה לא יכול להיות יותר ישיר מזה, הא?). בעקבות התמונה שטף את המשטרה גם צונאמי של פניות בנוגע לשאלה האם השוטרים פנויים או תפוסים, עד שהמשטרה נאלצה לפרסם בקשה לציבור לא להטריד את מוקד 911 בשאלות על השוטרים. תחנות משטרה אחרות מיהרו להענות לקריאה ופרסמו תמונות של השוטרים החתיכים (והפנויים) שלהם.

זה היה יכול להיגמר כאן, אלא שכשאתה נמצא תחת עין הציבור יש מי שיבדוק טוב טוב מי אתה. וכך מגיבים ברשת מיהרו להכנס לפרופילים האישיים של השוטרים, ומצאו בפרופיל של השוטר החתיך מייקל המיל פוסטים בעלי גוון אנטישמי. בין השאר הוא כתב: “לקרוא בדיחות על יהודים עוזר לי לישון טוב יותר בלילה. למשל: מה ההבדל בין יהודי לילד בצופים? ילד בצופים חוזר הביתה מהמחנה”; וגם את הפנינה הבאה: “אנשים צריכים לעשות משהו עם החיים שלהם ולא להתלונן כל היום. אנשים מטומטמים צריך לשים אותם בתנור ולהתמודד איתם בדרך של היטלר. חהחה”.

את הפוסטים השוטר פרסם ב-2011, עוד לפני שהועסק במשטרה, ובתחנת המשטרה עדכנו כי ייערך בירור בעניינו וכי הושעה עם שכר.

הודעת ההשעייה של "השוטר הלוהט" מייקל המיל בטוויטר של משטרת גיינסוויל

הודעת ההשעייה של “השוטר הלוהט” מייקל המיל בטוויטר של משטרת גיינסוויל

אני לא בטוחה מה המסקנה: אל תפרסם דברים שאתה לא עומד מאחוריהם? אם אתה איש יח”צ של תחנת משטרה קטנה אל תפרסם תמונות של שוטרים לפני שבדקת את כל ההיסטוריה שלהם? או אולי: תהילה זה לא משהו בכלל?

אישית לי המקרה הזה מתחבר לתמונה יותר מורכבת, ברור שהאיש אנטישמי לבן קטן ומעפן, כן? אבל מה אנחנו רוצים ממנו, הוא בסך הכל שוטר בתחנה בפלורידה. ארגונים ענקיים לא יכולים להתמודד עם אמירות קטנות של עובדים שלהם, לכן מפטרים מוקדנית בסלקום שהביעה שמחה על מות חיילים, והורים בבתי ספר מרשים לעצמם לגרש מורות שנחשבות “שמאלניות מדי” (). זאת בעוד פוליטיקאים אומרים ביטויים חריפים הרבה יותר, ולפעמים גם מיישמים החלטות קיצוניות הרבה יותר. זאת אומרת: אתה יכול להיות גזען כמו טראמפ, רק כדאי שתהיה בכיר מאוד בשביל זה.

נכון, אני אמורה לתמוך בפיטורים של כל מי שכותב משהו שאני לא מסכימה איתו: כי בעיניי, בדיחות אנטישמיות או אמירת מוות לערבים הן קו אדום. אבל אז כשיבואו לפטר מורה כי היא שוחרת זכויות אדם, איך אני אוכל להתלונן?

לסיכום: למה החתיכים כל-כך טיפשים? שבת שקטה ולא-אנטישמית לכולם.

"השוטר הלוהט" מייקל המיל (במרכז). תמונה: משטרת גיינסוויל

“השוטר הלוהט” מייקל המיל (במרכז). תמונה: משטרת גיינסוויל


שירה הדס נקר (טוויטר, פייסבוק) היא עיתונאית בתאגיד השידור “כאן”

🙈 סלפי של קוף, ציוץ נגד טראמפ וחופש הביטוי ברשתות חברתיות 📻 ראיון ב”הבמה המרכזית”


הציוץ של ג’אמל היל נגד טראמפ שהביא לקריאה לפטרה והזכייה של הקופה נארוטו בכספי תמלוגים מסלפי – בבשיחה שלי עם בר בלפר וענת שרון בלייס ב”הבמה המרכזית” ב”כאן תרבות”:


שדרנית ESPN ג’אמל היל כתבה בטוויטר שלה שנשיא ארה”ב דונלד טראמפ הוא “גזען עליונות לבנה שהקיף את עצמו במידה רבה בגזעני עליונות לבנה אחרים”. דוברת הבית הלבן, שרה האקבי סנדרז, אמרה שזו “עבירה שמהווה עילה לפיטורים”, אולם היל ממשיכה לשדר ב-ESPN. מקרה הקצה הזה מזכיר שהרשתות החברתיות אינן המקבילה המקוונת לשיחה ואינן מבטיחות למשתמשיהן חופש ביטוי, ואפילו מאפשרות לפגוע בו על ידי מישטור – בידי בני משפחה, חברים, דוברת הבית הלבן והציבור כולו.

ובכל זאת, אנחנו ממשיכים להעלות לשם תכנים, כמו קופים מאולפים. קופה לא מאולפת, נארוטו, שצילמה את עצמה בסלפי, זכתה להישג בתחום זכויות היוצרים. בפשרה בתביעה של ארגון זכויות בעלי החיים PETA נגד צלם הטבע דייויד סלייטר נקבע כי 25% מרווחי הסלפי של נארוטו יוקדשו לעמותות השומרות על קופי המקוק השחור, כמוה, מפני הכחדה.

סלפי הקופה נארוטו בוויקיפדיה

סלפי הקופה נארוטו בוויקיפדיה

התוכנית המלאה:

📰 ארכיון “ישראל היום” הדיגיטלי שנעלם מאתר העיתון זמין עכשיו באתר הספריה הלאומית

הספרייה הלאומית פתחה באתרה גישה לארכיון הדיגיטלי המלא של “ישראל היום”, בעקבות היעלמות הארכיון מאתר “ישראל היום”.

ידיעות אחרונות היה הראשון לדווח השבוע על היעלמות רוב הארכיון הדיגיטלי של “ישראל היום” – עשור שלם של גליונות נעלם, רובו המוחלט גליונות בעריכת העורך המייסד עמוס רגב, וכחודש וחצי גליונות של העורך הראשי החדש בועז ביסמוט. באתר נותרו רק הגליונות מאמצע יוני והלאה. בעיתון הסבירו שהתקלה נובעת ממעבר לשרתים חדשים, ושהארכיון צפוי לחזור בימים הקרובים.

הספרייה הלאומית מחזיקה בארכיון דיגיטלי מלא של העיתון, כמו גם של העיתונים האחרים שיוצאים בארץ. אולם הגישה אליהם מוגבלת, כפי שנכתב באתר הספרייה: “העיתונים נגישים מתוך בניין הספרייה הלאומית בלבד. החיפוש מאפשר לאתר כותרים בלבד”. היום החליטו בספרייה לפתוח את הגישה לארכיון המלא של ישראל היום גם מחוץ לכתליה.

פתיחת הגישה מחוץ לבניין הספרייה כרוכה בהשגת אישור מבעל זכויות היוצרים – המו”ל, במקרה הזה. שאלתי את דוברות הספרייה הלאומית על כך, ומהספרייה נמסר כי “ישראל היום, כמו כל העיתונים בישראל, מופקד ונשמר מדי יום בספרייה הלאומית. על פי החוק, ניתנת לציבור הרחב גישה חופשית לכל העיתונים בבניין הספרייה, בשעה שפתיחתם והנגשתם ברשת מחייבת אישור של בעל הזכויות והמוציא לאור. עיתון ישראל היום אישר להנגיש את גיליונותיו ברשת והעיתון ישאר פתוח לציבור באתר הספרייה. אנו מקווים כי גם העיתונים האחרים ילכו בדרך זו”.

היוזמה להעלות היתה של הספרייה או של העיתון?
“העיתונים של ישראל היום נמצאים באתר הספרייה כבר שלוש שנים. פתחנו את הגישה אליהם אחרי שקראנו שיש לאתר שלהם בעיה טכנית. הספרייה נוהגת כך גם במקרים אחרים”.

הארכיון הדיגיטלי של ישראל היום במאגר העיתונות באתר הספרייה הלאומית

הארכיון ישראל היום באתר הספרייה הלאומית

דפדוף בגליון ישראל היום באתר הספרייה הלאומית

דפדוף בגליון ישראל היום באתר הספרייה הלאומית

עוד בנושא:

📰 עשור הפרו-נתניהו של עמוס רגב נעלם מארכיון הדיגיטל של “ישראל היום”, שהצטמצם לחודשיים וחצי של ביסמוט

📆 מתי נעלמו הגליונות בעריכת עמוס רגב מארכיון הדיגיטל של “ישראל היום”? הגירסה הרשמית היא המעניינת ביותר

* הפוסט עודכן לאחרונה ב-17:54

לדף הבא →