“כמובן שאצלנו אין להאקר מה לעשות עם הסיסמה, מלבד להזמין פיצה בשמכם. ולשלם עליה מכספו הוא”

הודעת אימייל שפיצה האט שלחו אתמול ללקוחותיהם בעקבות הפריצה לאתרם (גירסת טקסט אחרי הקיפול). הלשינה: אודין שדמי.

19 ביולי, 2010 | בנושאים: האקרים, האקרים, קראקרים וקאקערים | 14 תגובות

האקרים טורקים, גאווה לאומית, גלעד שליט וצילום מסך

[עדכון 15:50: היחצנית הוציאה הודעת התנצלות. ראו בהמשך הפוסט].

אין לי ספק קל שבקלים שההודעה לעיתונות הזאת חוברה במיוחד כדי להיכנס להיכל הבושה של חדר 404: נסיון להשיג פרסום חינם באמצעות הודעה על אתר שנפרץ, ייחוס הבנה מעמיקה של השוק הישראלי לגורי האקרים טורקים והאשמתם בבחירה פוליטית קפדנית של האתרים שהם פורצים, אי כניעה לטרור שבהצטרפות לצעדת גלעד שליט בזמן שהאתר עדיין פרוץ, והדובדבן שבראש ערימת האשפה המהבילה – צילום מסך שהוא, מילולית, צילום של מסך.

אני רואה עכשיו את השופטים מניפים את לוחות הציונים ו… גבירותי ורבותי, רגע נדיר: הקומוניקט הזה קיבל ציון 10 מושלם!

האקרים תורכיים, השתלטו במהלך סוף השבוע על אתר יקב הרי גליל, השוכן בקיבוץ יראון. באתר מופיע כעת צילום של דגל תורכיה
וכן קללות באנגלית.
רונית בדלר, מנכ”לית יקב הרי גליל אומרת, כי כנראה נבחר אתר יקב הרי גליל בשל העובדה כי הוא מייצא יינות לשווקים בחו”ל.
בדלר הוסיפה, כי היא מקווה שבמהלך הבוקר יוכלו אנשי המחשבים של היקב להוריד את הדף מהאתר.
הבוקר לא יוכלו ביקב הרי גליל להתפנות לגמרי לטיפול באתר היקב מאחר וצוות של היקב יוצא לקחת חלק בצעידה למען גלעד שליט ממצפה הילה שבגליל.

יקב הרי גליל החוגג עשור להקמתו, תורם לקהילה באזור הגליל, יזמות צעירה, כנסי ואירועי סטודנטים, עידוד הספורט ועוד.
ב- 26 ביולי יקיים היקב קונצרט לציון פתיחת עונת הבציר עם להקת משינה.

אתר יקב הרי גליל: www.galilmountain.co.il

(תודה לטל שניידר)

עדכון 15:50: היחצנית מתנצלת

ליאור מורג מעדכן שהיחצנית ששלחה את ההודעה, יעל שביט מ”תקשורות-פרסום דוברות ויחסי ציבור”, שלחה הודעת התנצלות:

מצ”ב תיקון למלל. המלל נשלח עם תוספת לגבי השתתפות בצעדה למען גלעד שליט . אנשי היקב אינם מעוניינים בפרסום מסוג זה

ולא נתנו אישורם לפרסום הקודם- אני שולחת שוב מידע מתוקן

אתך הסליחה

ההודעה החדשה:

האקרים תורכיים, השתלטו במהלך סוף השבוע על אתר יקב הרי גליל, השוכן בקיבוץ יראון. באתר מופיע כעת צילום של דגל תורכיה וכן קללות באנגלית. ביקב מקווים כי ישתלטו במהירה על העניין והאתר יחזור לתקינות מלאה.

27 ביוני, 2010 | בנושאים: Press, Release, האקרים | 16 תגובות

אתר עיריית תל אביב: אין תלונות

בניגוד למה שלרמן כתב, עיריית תל אביב דווקא הצליחה להשיב את האתר לאוויר אחרי שתי פריצות והשבתה בת שלושה שבועות. אבל לא בשלמותו. ערן ורד ביקש לשלוח משוב על האתר וגילה ש:

26 ביוני, 2010 | בנושאים: האקרים, עירוניה | להגיב זה מגניב

אתר עיריית תל אביב משותק כבר שלושה שבועות

אתר עיריית תל אביב נפרץ והושחת בתחילת יוני על ידי האקרים טורקיים שמחו על תקיפת המשט לעזה. האתר נוקה, אבל אז נפרץ שוב והורד שוב מהאוויר. שלושה שבועות עברו מהפריצה הראשונה. האתר עדיין לא זמין, וכרגע יש בו הודעה זמנית (עמוד הטמל שיוּצר בוורד) שאומרת:

עקב פריצה של גורמים עוינים לאתר האינטרנט של עיריית תל-אביב-יפו,
אנו נאלצים להוריד את האתר עד לתפעולו מחדש בזמן הקרוב. אנו מתנצלים על אי הנוחות הזמנית.

יואב לרמן מדווח ממקורותיו שהאתר כנראה לא יחזור עד סוף השנה. היילי פרופשיונל.

22 ביוני, 2010 | בנושאים: 404, האקרים, עירוניה | 5 תגובות

חיל האוויר נגד פייסבוק

חיל האוויר מזהיר חיילים מפני חשיפת מידע צבאי סודי בפייסבוק. אמן סודי צילם את זה בבסיס חיל אוויר (איירוניקלי):

• מן הארכיף: חייל 8200 נשלח למחבוש על פרסום תמונה שלו בבסיס בפייסבוק

18 באוגוסט, 2009 | בנושאים: האקרים, חיי רשת ותרבות דיגיטלית, פייסבוק | תגובה אחת

פיראטיות ספרים: כל מה שצריך זה מצלמה, קינדל ו-OCR (אייטם במקו)

אמזון ושאר יצרניות הספרים האלקטרוניים (המכשיר) והדיגיטליים (הקובץ) משקיעות כסף בנז”ק (ניהול זכויות קניין, DRM באנגלית), שאמור להגן על הספרים האלקטרוניים מפני העתקה ושימוש לא מורשה. כרגיל, זה פוגע במשתמשים המשלמים, שרוצים למשל להעביר ספר מקינדל למחשב או לסוני רידר, או לגבות אותו, או לתת לתוכנת קריאת ספרים לקרוא אותו. בזמן שהלקוחות המשלמים מתמרמרים, ההאקרים עוקפים את ההגנות. לפעמים זה פשוט עד כדי מבוכה, כמו שהדגימו אנשי פרויקט bkrpr. אייטם שלי במקו על הנושא >>

24 ביוני, 2009 | בנושאים: האקרים, חיי רשת ותרבות דיגיטלית | 2 תגובות

מתעסק עם קופות החולים

עובד שירותי בריאות כללית הספים מיילים של מבוטחים ופוטר. סיפור שלי ב-ynet מחשבים.

מנכ”ל שירותי בריאות מכבי קורא לעיתונאים לקדם את האינטרסים שלו. סיפור שלי בהעין השביעית.

16 בדצמבר, 2008 | בנושאים: 404, האקרים, חדשות 404, ספאם, עיתונות ותקשורת | תגובה אחת

שירות הפורוורד של משרד הבריאות

פירצת אבטחה הכי פשוטה באתר המרכז הרפואי ת”א ע”ש סוראסקי חשפה מידע רפואי מסווג על מטופלים שזימנו באמצעותו תורים. פרסמתי על זה ידיעה בכלכליסט.

כשפניתי ביום שני לדוברת סוראסקי, אביבה שמר, היא קודם כל דאגה מיד שהפירצה תיסגר, ואחר כך שלחה תגובה שקצת קוממה אותי:

מדובר באתר אינטרנט המהווה ערוץ תקשורת של חולים עם בית חולים, ולא במערכות המידע של בית החולים.
האתר מתוחזק על ידי חברה חיצונית לבית החולים.
הטופס לזימון תורים, שהגישה אליו נפרצה, הורד מהאתר לאלתר, ובית החולים ינקוט בכל האמצעים הנדרשים לאבטחת מידע זה בעתיד.

• העובדה שלא מדובר במערכות המידע של בית החולים (כלומר, שלא נחשפו התיקים הרפואיים, אלא רק הזימונים) היא נחמה קטנה מאוד למי שהמידע הרפואי שלו נחשף, כמו אחד המטופלים שביקש לקבוע תור לבדיקה פסיכיאטרית דחופה, למשל.

• העובדה שהאתר מתוחזק על ידי חברה חיצונית לבית החולים לא מעניינת אף אחד, כמו שלא אסכים לקבל את הנימוק “חברת החשמל אחראית על החשמל” אם הפסקת חשמל תהרוג את כל החולים המחוברים למכונות הנשמה – בית החולים אחראי על האתר שלו ועל אבטחת המידע הרגיש שבו. ואם החברה החיצונית עושה עבודה גרועה, שמנהלי סוראסקי יעיפו אותה ויתנו את העבודה לחברה אחרת (ואחרי המון טלפונים היום לקונסיסט מערכות, חברת הענק שבנתה את האתר ומתחזקת אותו, חזרה אלי בערב המנכ”לית עדית שרויטמן, והסכימה לומר רק זאת: “אנחנו לא דנים עם התקשורת במערכות היחסים שלנו עם הלקוחות שלנו”. שזה בסדר גמור, כאמור, כי זכותם לעשות עבודה לא טובה, האחריות בסופו של דבר היא של סוראסקי).

• ההבטחה לנקוט בכל האמצעים לאבטח את המידע בעתיד מעלה את התהיה למה צריך היה לחכות לפירצה כדי לנקוט בהם.

במקביל ביקשתי תגובה ממשרד הבריאות, הרגולטור והרשות האחראית על סוראסקי. דוברת המשרד, עינב שימרון-גרינבוים, שלחה תשובה אפילו יותר מקוממת – משפט נאצל על חשיבות הסודיות הרפואית וקופי-פייסט של התגובה של סוראסקי:

שמירת החיסיון הרפואי היא אחת מאבני היסוד של ניהול מערכת הרפואה הן במישור שבין הרופא למטופל והן חובתו של המוסד הרפואי.
מבדיקה שערכנו מול בית החולים עלה כי:
1. מדובר בערוץ תקשורת של חולים עם בית החולים ולא במערכות המידע של בית החולים.
2. האתר מתוחזק על ידי חברה חיצונית לבית החולים.
3. הטופס לזימון תורים שהגישה אליו נפרצה הורד מהאתר לאלתר. בית החולים ינקוט בכל האמצעים הנדרשים לאבטחת מידע זה בעתיד.

זה לא רק שהמשרד אימץ את הטיעונים הלא-מקובלים של סוראסקי בלי לשאול או להתווכח, בשמשו כמעין שירות פורוורד אנושי לתגובה של המרכז הרפואי; הוא גם נמנע מלנקוט עמדה וצעדים, כמו לברר את הנסיבות שהובילו לפירצה הרשלנית, לנקוט בסנקציות נגד בית החולים או סתם להפיק לקחים ולחדד נהלים – מין דברים כאלה שמתבקש לעשות כשמתגלה פגיעה כזאת ב”אחת מאבני היסוד של ניהול מערכת הרפואה”. תדע כל אם עבריה שמסרה את גורל תיקה הרפואי לידי סקריפט קידיז.

אחרי כמה וכמה שיחות עם משרד הבריאות הצלחנו להעביר את המסר ש”סוראסקי אמרו שזה בסדר, אז מבחינתנו סבבה” זו ממש לא תשובה מספקת מרגולטור שבעצמו מודה ששמירת החיסיון היא מאבני היסוד וכו’, והם עיבו קצת את התגובה:

שמירת החיסיון הרפואי היא אחת מאבני היסוד של ניהול מערכת הרפואה, הן במישור שבין הרופא למטופל והן כחובתו של המוסד הרפואי. מבדיקה ראשונית עולה כי אכן נמצאה פרצת אבטחה בטופס זימון התורים. ככל הידוע לנו, עם היוודע לבית החולים על הפרצה הטופס המדובר הוסר מהאתר לאלתר. יחד עם זאת, משרד הבריאות יקיים בדיקה מעמיקה של הנושא.

היום ביקשתי לדבר עם גורם רלוונטי במשרד, המנכ”ל או מי שאמון על אכיפת הסודיות הרפואית. אחרי מי יודע כמה שיחות קיבלתי תגובה חדשה, הפעם עם הבטחה לפעולות של ממש:

הממונה על אבטחת המידע במשרד הבריאות, איתן מלמד, יסייע לבית החולים בטיפול בפרצה שאותרה ובמניעת הישנות מקרים כאלה בעתיד. בנוסף יבחנו ערוצי התקשורת עם הציבור בבתי החולים האחרים כדי לוודא שמקוימים נוהלי אבטחת המידע של המשרד.

עד 50 אלף שקל סטטוטורי לנפגע

לסיפור הזה יש גם היבט משפטי – פגיעה בפרטיות של המטופלים לפי חוק הגנת הפרטיות. “חוק הגנת הפרטיות קובע שהפרת סעיפים מסויימים ממנו במזיד, כלומר בכוונת זדון, הינם עבירה פלילית, אולם מרגע שמדובר ברשלנות אפשרית ולא בזדון – אין זו עבירה פלילית”, הסביר לי עו”ד יורם ליכטנשטיין, המתמחה באינטרנט ובדיני טכנולוגיות. “במרבית המקרים, למעט בסוגי עבירות כגון איסורים מוחלטים והריגת אדם, לא מעמידים לדין פלילי על התרשלות, כיוון שזו אינה עבירה. עוד צריך לזכור שסעיף 16 לחוק קובע גם איסור על חשיפת מידע שהגיע לאדם במסגרת ניהול מאגר מידע, אלא למטרות מותרות, כגון ביצוע העבודה לשמה נמסר המידע, על פי צו בית משפט וכיוצא בזה. הפרת סעיף זה מוגדרת כעבירה פלילית שעונשה חמש שנות מאסר, אולם גם כאן יחולו הסטנדרטים העונשיים לגבי הצורך במודעות לעבירה, ואם לא תוכח ידיעה בפועל ולא רק התרשלות – אין המדובר בעבירה פלילית והעונש לא יחול”.

ומה לגבי פיצויים לנפגעים?
“הפיצוי לפי חוק הגנת הפרטיות חל במקרה של הרשעה בעבירה פלילית או בעוולה אזרחית. בשני המקרים בית המשפט רשאי לפסוק לכל נפגע סעד של פיצוי בלא הוכחת נזק העולה עד כדי 50 אלף שקל, וכמובן יכול להיות נמוך ממנו”.

אז המטופלים יוכלו להגיש תביעות אזרחיות נגד סוראסקי ולדרוש פיצויים?
“חוק הגנת הפרטיות קובע שהפרת הוראותיו מהווה עילה נזיקית לפי פקודת הנזיקין. משמעות הדבר, בין היתר, היא שאם נציגי המוסד הרפואי פעלו לפי סטנדרטים לפיהם היו פועלים אנשי מקצוע סבירים בתחומם, סביר להניח שיקבע שהם לא גרמו לעוולה נזיקית. מנגד, אם היתה כאן פעולה לא סבירה כך שתוכח אחריות נזיקית, ואם היו נפגעים רבים מהפעולה הבעייתית, הסעד שקובע החוק יכול להצטבר לסכומים לא מבוטלים. זו הקלה שהמחוקק מעניק לתובעים, כיוון שבמרבית המקרים קשה מאוד לקשור בין נזק ישיר לבין הפרת הפרטיות. כלומר – צריך לזכור שאין בכלל חובה שיגרם נזק. גם אם לא נגרם נזק, עצם החשיפה מזכה בפיצוי, אם כי סביר להניח שהוא לא יהיה 50 אלף שקל אלא נמוך מכך”.

• מן הארכיב: רכבת ישראל מסירה אחריות משירות המודיעין בסלולרי

22 ביולי, 2008 | בנושאים: 404, אינטרנט, האקרים | 5 תגובות

מצגת הרשתות החברתיות של צה”ל

הנה המצגת המלאה (צילומסכים + טקסט*) של המצגת הצה”לית על הרשתות החברתיות, שעליה כתבתי בקטנוניסט.

חלון עם לוגו פייסבוק. צילום: Scott Beale, Laughing Squid, cc-by-nc-nd

להמשך קריאה

15 באפריל, 2008 | בנושאים: 404, האקרים, האקרים, קראקרים וקאקערים, חיי רשת ותרבות דיגיטלית, קראקרים | 16 תגובות

איך מורידים למחשב את ארכיון מיכל ניב?

ברדיו תל אביב 102FM לא שוכחים את מיכל ניב, וגם כשחידשו את פניו של האתר, זכרו לתת לה שם פינת זכרון (ובעלות של אפס שקלים אפשר לשדרג אותה עם הביוגרפיה מוויקיפדיה).

בפינת הזכרון אפשר לראות ולשמוע את ניב. משתמשים רשומים יכולים גם להוריד את הקבצים למחשב.

מחסום הרישום קל לצליחה: בקוד המקור של העמוד אפשר לראות איפה נמצא הקובץ ולהורידו גם בלי להירשם לאתר.

למשל:

onclick=’location.href=”force_dl_wma.asp?FilePath=
library/Michal_Audio/erez_02.wma&FileName=erez_02.wma

כלומר, הקובץ בכתובת

http://www.102fm.co.il/Front/library/Michal_Audio/erez_02.wma

אבל מה אני עושה אם אני רוצה להוריד את כל הקבצים בבת אחת, ולא אחד-אחד בקופיפייסט מההטמל? זו שאלה ספציפית לגבי אוסף הקבצים הזה, אבל גם כללית: מה עושים כשבמקום לינקים להורדה יש כל מיני ג’אווהסקריפטים מכוערים שלא מאפשרים הורדה בקליק ימני ובתוספים כמו DownThemAll?

• מן הארכיב: כך מורידים את הארכיון של היפופוטם

22 במרץ, 2008 | בנושאים: 404, האקרים | 12 תגובות

← לדף הקודם — לדף הבא →