סייברקורונה 🤿 אל תבנו על יישומוני מעקב המגע 🐱‍💻 סייברסייבר ע02פ26

קליק לארכיון סייברסייבר

👂 להאזנה ומנוי לסייברסייבר באפליקציות השונות 🔊


חדש! הקו החם והפריך של סייברסייבר!

תגובות לפרק? דיווחים על פירצות ופריצות? מתכוני מאפים? שילחו הודעה קולית

🍕 055-2776766 🐱

(אפשר גם לשלוח תרומות בפייבוקס למספר הזה)


בשבועות האחרונים, באופן טבעי, עסקנו כאן, בפודקאסט הפופולרי סייברסייבר, במגיפת הקורונה. דיווחנו על פירצת אבטחה ביישומון קורונאפ, החמאנו ליוצרי יישומון המגן אבל גם הזהרנו מפניו, התרענו מפני מערכת מעקב שהולחמה לסקר הקורונה, פקפקנו ביעילות איכון שב”כ והדרכנו איך למנוע מהעולם לעקוב אחריכם. בעקבות כמה וכמה תגובות שקיבלנו בנושא, חשוב לנו להגיד שאנחנו לא אנשים רעים, באמת. אנחנו לא “בעד קורונה”, כי זה דבר מטופש, ואנחנו לא נגד “אנשים שעושים”, כי זה מטופש לא פחות.

אנחנו כן מודעים לעובדה שיש אנשים רעים בעולם, ולמרבה השמחה, או הצער, תלוי את מי שואלים, אנחנו יכולים לחשוב כמו כמה מהם, ולעשות את זה מראש, לפני שזה מאוחר מדי. לכן חשוב לנו לשוב ולדבר על אפליקציית הניטור הממשלתית בכסות הקורונה, ולנסות להסביר מדוע לדעתנו מדובר ביוזמה שהיא לא רק מסוכנת, אלא גם חסרת תוחלת במניעת הדבקה.

תודות לרן בר-זיק מ”אינטרנט ישראל” ושיר פלד מהפודקאסט “מתמטיקה שמתמטיקה” שתרמו את קולם לפרק; ולעומר כביר, שפרסם והרחיב את המדריך שלנו בכלכליסט.

עם השתחררות ההסגרים, ממשלות ברחבי העולם דוחפות לכיוון יישומוני מעקב-מגע (contact tracing), שאמורות לאתר מפגשים בין נשאים וחולים לבין אנשים בריאים, ולהתריע בפני האחרונים על אפשרות הידבקותם. אצלנו בישראל זו “המגן” של משרד הבריאות, שגילינו עכשיו שבנוסף לניטור המיקום ורשתות הווייפיי, היא עומדת להשתזרג בניטור בלוטות’, שיאפשר ליישומון לדעת ליד מי היינו.

באיסלנד, שבה נרשמו במאי רק 3 מקרים של קורונה, שוקלים לחייב תיירים, לצד הבדיקה או הבידוד של שבועיים בכניסה למדינה, להתקין את יישומון מעקב המגע הממשלתי, זה ש-40% מאוכלוסיית איסלנד כבר התקינה. ה-NHS, שירות הבריאות הלאומי של בריטניה, מפעילים אפליקציה כזאת. הם ניתחו את יעילות האפליקציה, פירטו בכנות את הבעיות בה ופרסו תוכניות עתידיות לגביה. בניגוד לישראל, שבה הממשלה מסרבת לחשוף את פרוטוקולי דיוני הקורונה, ה-NHS התנהלו בשקיפות מעוררת קינאה כשהעלו את המסמכים לאחסון גוגל דרייב ושכחו לסגור הדלת

מה הבעיה עם האפליקציות הללו? נתחיל בסוגיות שהעלה מפתח גרמני נרגן בשם פטריק אהלברכט.

הרעיון

הרעיון מאחורי היישומונים פשוט: אם מישהו חטף קורונה – הכניסו אותו לבידוד, קחו ממנו רשימה של כל האנשים שאיתם היה במגע במהלך השבועיים האחרונים ובודדו גם אותם. זה נחמד, אבל קשה לעשות באופן ידני ובקנה מידה גדול, כי אנשים לא זוכרים בדיוק איפה היו בכל רגע ועם מי דיברו, קל וחומר אם מדובר באדם לא מוכר שרק עבר לידם או עמד בטווח פיזור הווירוס שלהם. ויש גם טעויות בהזנת הנתונים, ובעקבותיהן הודעות שווא על הידבקויות אפשריות.

 למרבה המזל, אנחנו חיים במאה העשרים ואחת, שבה כמעט לכל אחד ואחת מאיתנו יש מכשיר ניטור זעיר שאנחנו נושאים איתנו לכל מקום. הפתרון הפשוט, אם כן, היה להשתמש בהתנהגות המובנית ברוב המכשירים – “החלפת כרטיסי ביקור”: כל מי שעובר בקרבתנו יקבל את כרטיס הביקור עם פרטי הקשר שלנו, ואנחנו את שלו, וכך אם אחד מאיתנו ילקה בווירוס – נדע בדיוק מי זה היה ומתי זה קרה.

אבל טבע האדם רע מנעוריו. אם היינו מתחילים לחלק ולקבל כרטיסי ביקור וירטואלים, מהר מאוד זה היה הופך לאורגיית ספאם ורושעות, וזה לפני שהזכרנו ענייני פרטיות, קריפים רבים מספור שהיו מתקרבים לאוכלוסיות פגיעות על מנת לקבל את פרטי הקשר שלהן, וממשלות, מעסיקים ובני זוג חטטניים שהיו שמחים מאוד לדעת עם מי התרועענו כשיצאנו מהבית.

נשים במסיכות עם סלולרי 🎨 מוחמד חסן
נשים במסיכות עם סלולרי 🎨 מוחמד חסן

אז פרטיות זה חשוב, מסתבר, כי גם אם באמת אין לנו מה להסתיר, כל דביל עם קצת יותר מדי זמן פנוי יכול לעוות את המציאות כך שיראה כאילו דווקא יש לנו מה להסתיר, ומסיבות זדוניות.

כאן נכנסו לפעולה שלל ממשלות וארגונים, הבולטים שבהם הן דווקא החברות גוגל ואפל, שלא ממש ידועות כאבירות הפרטיות למרות מה שהן מנסות למכור לנו – זה כאילו חינאווי, הקצב הידוע מיפו, היה פותח מסעדה טבעונית.

אחד הפתרונות שהוצעו הוא פרוטוקול בשם DP-3T, שפותח על ידי כ-25 חוקרים מובילים משלל אוניברסיטאות בעולם ושוכלל על ידי רבים נוספים. הרעיון הכללי מאחורי DP-3T הוא שבמקום להפיץ פרטי קשר שלנו, כל מכשיר ייצר קוד ייחודי – מזהה אקראי עשוי רצף של תווים שאין דרך לדעת ממנו את זהות בעל המכשיר, מספר הטלפון שלו, ספק הסלולר שלו או כל פרט מזהה אישי (PII). 

כך, המכשיר של בלעם ישדר לסביבה את המזהה הזה כל דקה, נניח, ואם המכשיר של לודה נמצא בקירבתו הפיזית וקולט אותו עשר פעמים ברציפות, בעוצמת אות שמציבה אותו במרחק של פחות משני מטרים, הקוד יישמר מקומית במכשיר של לודה למשך שבעה ימים (או יותר, תלוי במימוש).

נניח שבלעם נדבק בקורונה. מה קורה עכשיו? בלעם מפרסם את הקוד שלו במעין “לוח מודעות” פומבי במערכת מרכזית. כל המכשירים שבהם מותקנת האפליקציה הזו בודקים את לוח המודעות הזה בקביעות, ומשווים את הקודים החולים מול מסד הנתונים המקומי שלהם. המכשיר של לודה יבדוק את לוח המודעות, יגלה את הקוד של בלעם – ואז יקרו שני דברים: (1) המכשיר של לודה ידווח לה שהיא היתה בקירבת נשא, ושעליה לבודד את עצמה ולהיבדק בהקדם; (2) המכשיר של לודה יפרסם את הקוד של עצמו בלוח המודעות הגדול שבענן, וכך יודיע לעוד ועוד אנשים שהם עלולים להיות חולים.

חוץ מהקטע של להידבק בקורונה זה נשמע טוב, נכון? בואו נריץ כמה תסריטים אפשריים.

היום הראשון

8:00 בלעם מתעורר, מצחצח שיניים, זולל טוסט, ויוצא מהבית. הדירה שלו בקומה חמישית, אז הוא מזמין מעלית. הרעיון שמישהו התעטש במעלית לפני שבלעם נכנס אליה כלל לא עלה בדעתו.

10:00 במכולת בלעם לוקח עגלה ומתחיל להכניס לתוכה מוצרים. קישוא גדול תופס את עיניו, אך כשהוא מרים אותו הוא מגלה חור קטן וחשוד בצידו השמאלי. הוא מחזיר אותו לערימה בגועל. מעניין כמה אנשים עשו את אותו הדבר לפניו.

12:00 בלעם צועד ברחוב. קבצן נטול מכשיר סלולרי ניגש אליו, קצת קרוב מדי לטעמו של בלעם, ומבקש תרומה: “אחי יש’ך עשר שקל? אני צריך להגיע לבירת הסייבר של ישראל”. מסתבר שלעמוד קרוב זו טקטיקה נפוצה שאימצה קהילת הקבצנים על מנת לעודד נדבות, ונראה שזה עובד. בלעם ממהר לתת לקבצן כמות יפה של מטבעות, רק שיתרחק.

13:00 בפארק, בלעם פוגש את ידידו רובי. לרובי יש בולדוג גדול בשם יאיר, שמאוד אוהב ללקק פרצופים וידיים. מספר לא ידוע של ילדים וקשישים ליטפו את יאיר במהלך השהייה בפארק, אבל אף אחד מהם לא התקרב לבלעם.

21:00 בלעם יוצא לרוץ, ובמהלך הריצה פוגש עלמה מצודדת שמזדהה רק בשמה הפרטי, מירי. מירי גם יצאה לרוץ, ולא לקחה את הטלפון שלה. הם יושבים על ספסל ומשוחחים במשך כחצי שעה, שבמהלכה מירי לא מפסיקה לדבר על סדרת הספרים הנפוליטנים של אלנה פרנטה. בלעם משתעמם, מפהק, וממשיך בדרכו מבלי לקחת את פרטי הקשר של מירי.

בלעם לקה בקורונה במהלך היום (למרות שהוא עוד לא יודע את זה). אבל ממי? מהאדם שהתעטש במעלית? מהקבצן? מלטפן כלבים אנונימי? מעלמה חובבת ריצה ורומנים רחבי יריעה? מכיוון שמי שמעביר את הווירוס הם אנשים ולא טלפונים, כל אחד מהאירועים האלה שובר את שרשרת ההדבקה ולא נרשם בה כלל.

כמובן, יש שיאמרו שגלאי עשן שמתריע על שריפה אחת מתוך מאה עדיף על לא לשים גלאי בכלל. אבל קל לראות למה להסתמך על אפליקציה זה רעיון פחות מוצלח מאיך שהוא נראה בהתחלה. ובהמשך נבין גם שהאמירה הזו היא לא תמיד נכונה – לפעמים אזעקה מקולקלת גורמת יותר נזק מהיעדר אזעקה.

היום השני

לבלעם יש שכנה, לודה שמה, והיא עובדת כמורה בתיכון. הם לא נפגשו מעולם, כי אורח החיים של לודה שונה באופן משמעותי מזה של בלעם, אך יש להם מספר דברים משותפים: שניהם משתמשים בטלפון כבשעון מעורר, ושניהם מניחים אותו על השידה ליד מיטותיהם, שנמצאות משני צדיו של קיר עבה (ואטום לווירוסים). בשעות הלילה הטלפונים שלהם נמצאים במרחק של כ-30 ס”מ זה מזה בלי שידעו זאת כלל. כמובן שבין שניהם יש קיר, אך מבחינת כל מי שיסתכל על הנתונים מבחוץ – לודה ובלעם מבלים כל לילה יחדיו כאילו ישנו באותה מיטה (שזו בעיית פרטיות נוספת שעלולה לסבך את בלעם גם עם בן זוגו, ויקטור, על לא עוול בכפו).

למרות שלא נפגשו מעולם, ברגע שבלעם יסמן את עצמו כחולה, גם לודה תקבל את ההתרעה. מכיוון שלודה היא מורה, כל תלמידיה מקבלים התרעה (נזכיר, לא לודה ולא תלמידיה יודעים מי הגורם להדבקה), ואז בני משפחותיהם, וכו’.

בז’רגון המקצועי, לודה נקראת “מכפיל” (Multiplier), כי היא נמצאת במגע עם הרבה אנשים, ובלעם נקרא “גשר” (Bridge), כי הוא מפיץ למספר מועט של אנשים, אך מקבוצות שונות.

היום הרביעי

שמעון הוא אביה של אחת התלמידות המצטיינות בכיתה של לודה. הוא גם סוכן מכירות של סמבוסק כוסמת, פיתוח מקורי שהוא בטוח שישנה את הרגלי הקולינריה של מליונים.

שמעון נפרד מבתו ויוצא לסיבוב מכירות ברמת הגולן. במהלך הסיבוב הוא פוגש אנשים רבים, שבאופן מפתיע מעווים את פניהם בכל פעם שהם משתכנעים לטעום את הפלא הגסטרונומי שיצר שמעון. “מוזר”, חושב שמעון, “אולי כולם חולים ואיבדו את היכולת לחוש בטעם המצוין של ההמצאה שלי”.

היום השישי

בלעם מתחיל להרגיש לא טוב. בהתחלה הוא חושב שזו רק שפעת עונתית, אך אחרי שדיבר עם אמו היא שכנעה אותו ללכת להיבדק. הוא נכנס למרפאה השכונתית, שם אח בחלוק תכלכל תוחב מטוש לתוך אפו וממשיך כמעט עד המוח, לוקח דגימה ומבטיח שהתוצאות יגיעו למחרת.

היום השביעי

התוצאות מגיעות, והן לא טובות. בלעם חולה. הוא פותח את האפליקציה ומקיש בחשש על הכפתור “אני נגוע”. ההודעה נשלחת ממכשירו ללוח המודעות הגדול שבענן, ותוך דקות מסתנכרנת לכל שאר המכשירים בהם מותקנת האפליקציה. 

מכיוון שהמידע פרטי ואיש לא יכול לקשר את המזהה של בלעם לבלעם עצמו, כל מה שיודע מי שהתקין את האפליקציה הוא ש”מישהו” שהיה בסביבתם הוכרז כנגוע. אין להם יכולת לאשר או להפריך את עצם ההדבקה, כי הם לא יודעים מה מקורה. לודה, למשל, בוודאות גבוהה לא נדבקה מבלעם, אך למרות זאת היא נדרשת עכשיו להיכנס לבידוד, וככל הנראה גם כל תלמידיה ומשפחותיהם, ומשם אנשי הקשר שלהם, כמו הקורבנות המסכנים מרמת הגולן של סמבוסק הכוסמת של שמעון, שנאלצו לסבול לא רק את המרקם היבשושי של המאפה, אלא גם להיכנס לבידוד של שבועיים לשווא.

כל הפעלה של אזעקה, במיוחד אזעקת שווא, מעלה את השאלה מי אחראי לה. אני זוכר מקרה של הודעת cell broadcast, שנשלחה לאנשים באזור ירושלים לגבי איזשהו תרגיל בטחוני. כשניסיתי לברר מי אחראי לשליחתה, הגורמים השונים העבירו אותי ביניהם – המשטרה, פיקוד העורף והעירייה – ולא ידעו לענות לי. התפלאתי אז שחברות הסלולר נותנות גישה למערכת הזו, שאפשר בקלות להשתמש בה ליצור היסטריית המונים.

"התרעת חירום: חמורה ביותר" שנשלחה בשידור סלולרי לסלולריים באזור ירושלים, 2.2015
“התרעת חירום: חמורה ביותר” שנשלחה בשידור סלולרי לסלולריים באזור ירושלים, 2.2015

כשהכל אנונימי, אף אחד לא אחראי, והנזקים של אזעקת שווא כזו יכולים להיות כבדים מאוד, כפי שנראה מיד.

שחקנים זדוניים

עד כאן הבאנו תרחיש סביר, שבו אין שחקן זדוני – כלומר איש לא מבקש לנצל או לשבש שום דבר. מכיוון שהמציאות מורכבת יותר, בואו נבחן כמה תרחישים אחרים, שעלולים להביא לתוצאות פחות מאופטימליות.

אורגד, המחזר הנבגד

אורגד, מורה לנגרות בבית הספר של לודה, מחזר אחריה כבר תקופה, אך אופיו הבכייני ורפיסותו המוסרית אינן תכונות מושכות בעיניה והיא דוחה את חיזוריו, ונהנית מחברתו של איימן, לוחם צדק מסוקס וטבח מחונן.

אורגד האפרפר לא אוהב את הקשר החדש הנרקם בין מושא אהבתו לבין איימן, והוא מחליט שבידוד של שבועיים זה בדיוק מה שלודה צריכה כדי להתגבר על איימן ולהבין סוף סוף שהיא צריכה לבלות את ימיה איתו, הגרסה העצובה של בובספוג.

למרות שהוא לא סובל משום תסמין, הוא מדווח על עצמו כנגוע, מה שמתניע שרשרת ארוכה של בידודים יקרים שמקורם באהבה נכזבת של נגר מתוסכל.

זוג במסיכות מתנשק 🖼️ TheDigitalArtist
זוג במסיכות מתנשק 🖼️ TheDigitalArtist

צביאל, התלמיד העצל

החומר למבחן במתמטיקה רובץ על צביאל, שמעדיף לשחק במשחק המופתי “זלדה” בנינטנדו סוויץ’ שקיבל ליום הולדתו. השעה קרובה לאחת עשרה בלילה כשצביאל מביס את ההתגלמות של גאנון שהתבצרה בגמל החשמלי, וסוף סוף מבין שאין לו שום סיכוי לצלוח את המבחן עם ציון עובר. הוא מביט במכשיר הטלפון שלו ולפתע נדלקת לו נורה מעל הראש. הוא פותח את יישומון ההדבקה ומקיש “נדבקתי”. בתוך דקות, כל האנשים שאיתם היה בקשר, בהם המורה שלו למתמטיקה, מקבלים התרעה שעליהם להיכנס לבידוד, וכך, בצער רב, המבחן נדחה למועד מאוחר יותר. מכיוון שאיש לא יודע מי דיווח על הידבקות, אף אחד לא יהיה אחראי למחדל הזה.

זה הזכיר לנו שלא מזמן, תלמידים בסין שהיו בהסגר קורונה נדרשו להמשיך בלימודיהם באמצעות יישומון. אז הם פתחו במתקפת דירוגי כוכב אחד על היישומון בחנות האפליקציות וגרמו להעפתו משם. לעולם אל תזלזלו ביכולות של תלמידים עצלנים.

עלמה, החולה המדומה

המדחום הראה 38.3, והשיעול הקשה על עלמה לנשום כהלכה. היא בילתה כמעט שלוש שעות בקופת החולים על מנת להיבדק, וכשחזרה הביתה וראתה את הטמפרטורה במדחום היתה בטוחה שזהו, נגמר: היא זכתה בווירוס הקורונה הנורא. בשיחת טלפון עם אביה הוא ניחם אותה, וכשניתקה נזכרה באפליקציה. היא השתעלה, לקחה עוד לגימה מכוס התה שליד המיטה שלה והקישה “נדבקתי”. תוך דקות כל מכריה קיבלו התרעה ש”מישהו” שהיה איתם בקשר נגוע ושעליהם להיכנס לבידוד.

למחרת בבוקר הגיעו תוצאות בדיקת המעבדה: עלמה לא נדבקה בקורונה, זו שפעת עונתית רגילה. עם זאת, מכיוון שהכל אנונימי אי אפשר לדעת מי קיבל את הדיווח, לכן מי שנכנס לבידוד בגלל הלחיצה המוקדמת הזו יאלץ להמשיך ולהסתגר למשך כל התקופה הקבועה בהוראות.

אפשר היה אולי לפתור את זה אם היה ביישומון כפתור “אופס, לא נדבקתי”, ואז המזהה של אותו טלפון היה מפרסם את עצמו מחדש בלוח המודעות המרכזי ויוצר שרשרת חדשה של אי-הדבקה. יש עוד אפשרות להתמודד עם הבעיות שאנחנו מעלים פה, אבל כל אחת מהם פותחת פתח לשנניגנז נוספים.

זאב, החושש והרעב

איבוד מקום העבודה לא היה קל לזאב. השכירות מעיקה והמדינה לא ממש עוזרת. שורה של ראיונות עבודה כבר קבועה לשבוע הקרוב, האוכל במזווה כבר נגמר ואין ברירה אלא לקפוץ לרכוש כמה מצרכים. אבל מה יקרה אם יצטרך להיכנס לבידוד?

עם כמות המקרים השגויים (false-positives) שהכניסו אנשים לבידוד, זאב מחליט להשאיר את הטלפון בבית כדי לא ליפול קורבן לשגיאות המובנות בתהליך. כל המפגשים של זאב בדרך לסופר ובחזרה ממנו לא ירשמו באפליקציה. החשש מאמינות התהליך גורם לאנשים “לעגל פינות”, מה שהופך אותו לפחות יעיל.

רועי, הסוכן החשאי

הבניין המשעמם למראה שבו שוכן המשרד של רועי לא מתיר הכנסת טלפונים סלולריים, וכל מי שנכנס צריך להשאיר את הטלפון בלוקר מיוחד בכניסה. רועי סגור במשרדו כל היום, אבל הטלפון שלו “פוגש” המון מכשירים חדשים כל היום. מכיוון ש”הדבקה” היא בוליאנית, זאת אומרת “היתה” או “לא היתה” בלי קונטקסט של מי, איפה, ומתי, רועי לא יכול לדעת אם מי ש”נדבק” זה הוא או רק המכשיר שלו. 

אותו הדבר נכון גם למכוני כושר בהם משאירים המתאמנים את מכשיריהם בחדר ההלבשה. מי שרואה “הדבקה” אלה המכשירים ולא האנשים.

שונית, החתרנית המדינית

ארגון זר, שפגיעה בכלכלה הישראלית היא אחת ממטרותיו, משלם לשונית לשאת מספר מכשירים ולהסתובב במרחב הציבורי. היא מסתובבת בקניונים, בשווקים, בבתי ספר, בבתי מרקחת, בכנסת, בבית המשפט העליון, ובשלל מקומות נוספים. אחרי שנרשמו המכשירים האלה בכמות גדולה של מכשירים אחרים, שולחים מפעיליה של שונית הודעת הדבקה שמיד שולחת מאות אנשים בריאים לבידוד. מכיוון שהמערכת אנונימית לחלוטין, איש לא ידע לעולם על הפעילות החתרנית של שונית.

11001, הבאג המיוחד

בתוכנות יש באגים, תמיד היו ותמיד יהיו, ובמיוחד בפיתוח מהיר. הצפי הוא שלפחות בחלק מהמכשירים, או אצל חלק מהאנשים, יופיעו תופעות לא צפויות שעלולות לפגוע בהתנהלות המכשיר, כמו לזלול סוללה או למחוק תמונות, ויפחיתו עוד את האמון באפליקציה ובתהליך, שכפי שראינו בשלל הדוגמאות מעלה הוא לקוי בבסיסו.

זה יכול לעבוד?

התנאים הבסיסיים לכך שיישומון כזה כן יעבוד הם כיסוי נרחב ואפס אזעקות שווא.

1) כיסוי נרחב: האפליקציה צריכה להיות מותקנת אצל רוב האוכלוסיה.

אם האפליקציה מותקנת אצל כמות מועטה של אנשים, היא חסרת ערך כמעט לחלוטין. כל מגע עם אדם שאין לו את האפליקציה יהיה “שקוף” מבחינתה, כאילו לא התקיים מעולם. אם 80% מהמגעים שלנו לא קיימים, איזה ערך יש לזיהוי שרשראות הדבקה?

וכאן אנחנו נכנסים למדרון חלקלק מאוד, בו תנסה המדינה לכפות את השימוש באפליקציה על ידי, למשל, איסור שימוש בתחבורה הציבורית למי שלא התקין את האפליקציה כדי להראות שהוא “נקי”, או איסור כניסה לקניונים ולמרכזי קניות, או למוסדות ממשלתיים.

ולמה זו בעיה? כי התקנה של קוד ממשלתי על מכשירים של אזרחים שילווה אותם במהלך כל שעות היממה זה החלום הרטוב של כל שירות ביטחון אורווליאני. רוצים להאזין למה שנאמר בחדר מסוים? מכשיר ההאזנה הנפוץ בעולם נמצא בכמעט כל חדר; רוצים לדעת בדיוק איפה היה כל אזרח ברזולוציה טובה בהרבה ממה שחברות הסלולר יכולות לתת? מכשיר הניטור הנפוץ בעולם מוחזק על ידי כמעט כל אזרח; רוצים לדעת בדיוק עם מי נפגש כל אדם? פיסת הקוד הכפויה ממילא מנטרת מגעים בין אזרחים, אז למה לא לחלוק אותם עם המדינה? 

מה, אתם לא אוהבים את המדינה? 

הרעיון לחייב אנשים להתקין את אפליקציית המגן של משרד הבריאות, או אפליקציית קניונים כתנאי לכניסה לקניון, אכן עלו פה בישראל, ולמרבה המזל יורטו. אבל מי מבטיח לנו שהם לא יחזרו כמו בסרט אימה טראשי? 

אנחנו מקווים שיכולות כאלה לא נמצאות באפליקציה (ולא, העובדה שהמדינה מצהירה שהאפליקציה הישראלית היא בקוד פתוח ומפרסמת את הקוד בגיטהאב זה לא מספיק טוב. זה שיש קוד בגיטהאב לא אומר שזה אותו קוד שמגיע לחנות האפליקציות).

אז נכון, היום זה לא קורה, כנראה. אבל מחר? ומחרתיים? ואולי איזה “שעת חירום” חדשה שתחייב אמצעים קיצוניים? גם אז לא? 

ברגע שפותחים את הדלת הזו – כל מיני מרעין בישין עם דרגות נוצצות ופנסיה תקציבית ימצאו את דרכם לתוך המכשירים שלנו, ואנחנו גם לא נדע את זה, וגם נוכל לכבות את האור על שאריות הפרטיות שעוד יש לנו.

2) אפס אזעקות שווא: אנשים צריכים להתייחס לכל “אזעקה” כאל אזעקת אמת.

כלומר לקחת ברצינות את ההתראות של האפליקציה ולא להגיד “אה, זה בטח false positive”. זאת אומרת שצריך פיקוח על הדיווחים כדי למנוע דיווחים שגויים במזיד או בשוגג. הבאנו כאן שורה של דוגמאות שמראות איך אפשר לנצל את המערכת בקלות רבה וללא חשש מהשלכות. העובדה המצערת היא שאין פתרון שמבטיח פרטיות ובה בעת הוא גם אפקטיבי מספיק כדי להיות גורם משמעותי במניעת התפשטות וירוסים לבני אדם. תכנון מונע פרטיות, במקרה הזה, מאפשר ניצול של המערכת ליצירת כאוס ולפגיעה אנושה באמינות ובאפקטיביות שלה.


<חסות>

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.

אם אתם מחפשים אחסון לפודקאסט, אנחנו ממליצים ללקוחות שלנו על פודבין. יש חבילה בסיסית בחינם שמאפשרת להתנסות בשירות, ואפשר לשדרג לחבילה בתשלום. אם תירשמו דרכנו כאן podbean.com/podcastico – אנחנו נקבל כמה שקלים, ואתם תקבלו מפודבין חודש במתנה.

<\חסות>


פרטיות כקורבן

שמירה על פרטיות המשתמשים סביב כל מה שקשור לניטור המוני היא נקודה בעייתית, אך קשה להפריז בחשיבותה. בלי שמירה על פרטיות, אדם שהוריו המבוגרים לקו בוירוס יוכל לחפש את האדם שהדביק אותם ולתבוע אותו על נזקים או לקצר תהליכים ולפגוע בו ישירות – וברגע שזה יקרה, אנשים יחששו לדווח שהם נשאים/חולים, וזה סוף האפליקציה. בלי שמירה על פרטיות אפשר להיפרד מחושפי שחיתויות (וכאלה ישנם בשפע בעיתות משבר), כי כל מה שיהיה צריך לעשות זה להתחקות אחרי המגעים של העיתונאי ולמצוא את המדליף.

בלי שמירה על פרטיות אנחנו פותחים דלת לשימוש באמצעים חמורים בהרבה, שכבר יהיה קשה יותר להתנגד להם. כי בינינו, מה כבר ההבדל בין איסוף מגעים של אנשים לבין ניטור מתמיד של מיקומם? ואם כבר אוספים את המגעים, לא תפתחו מיקרופון כדי לשמוע עם מי הם מדברים? ואם כבר שומעים עם מי הם מדברים, אז מה הם אומרים זה כבר ממש מעבר לפינה, וכו’ וכו’.

ומתי כל זה יגמר? גם את זה לא מספרים לנו, כי הרי איש לא יודע, ומה פתאום שואלים כאלה שאלות במצב חירום.  אז ספוילר: זה לעולם לא יגמר. תמיד תהיה סיבה להשתמש באמצעים האלה, אם הם יהיו קיימים ונגישים. 

כמו שהראינו, האפליקציה הזו לא באמת פותרת באופן משמעותי את בעיית זיהוי שרשראות ההדבקה, ולא מצמצמת את מספר הנדבקים. אז מה היא כן עושה? פותחת דלת לניטור הולך ומכביד שלעולם לא יוקל, ולכן יש לנו חובה להתנגד לה.

וזה הזמן לחזור לתחילת הפרק, שם אמרנו: “חשוב לנו להגיד שאנחנו לא אנשים רעים, באמת”. אנחנו לא אנשים רעים שרק מוצאים סיבות להתנגד למאמצים של אחרים, אנחנו רק חושבים כמו אנשים רעים, שחלקם עובדים בשביל המדינה וחלקם עבור מדינות וארגונים אחרים. אנחנו חושבים כמוהם כדי להאיר על הבעיות בפתרון הזה. 

יש המון אנשים טובים, מצוינים אפילו, שמעורבים בפרויקט פיתוח אפליקציית הניטור הישראלית תחת כסות הקורונה, אבל כמו במשל הפיל והעיוורים, כל אחד מהם רואה רק את החלק שלו בפרויקט: האם הנתונים יהיו מוצפנים מספיק? האם אבטחת הקוד טובה מספיק? האם השרתים יחזיקו את העומס הצפוי? כל אלו שאלות טובות אבל לא רלוונטיות, ואיש מהם לא מביט בתמונה הכוללת, זו שתהווה את הבסיס לניטור של מחר.

ואנחנו לא היחידים שחושבים ככה. לפני כחודש, החוקרים המכובדים בפרויקט DP-3T, זה של זיהוי שרשראות הדבקה באמצעות בלוטות’, הודיעו על פרישה מהמאמץ של האיחוד האירופי לפיתוח טכנולוגיה כזו (PEPP-PT – Pan-European Privacy-Preserving Proximity Tracing). הם עשו זאת כי הבינו שהעבודה שלהם נגררת למקום שהם לא כיוונו אליו. לדבריהם, האמצעים שהאירופאים מכניסים פנימה בחסות שעת החירום הם ממוקדים הרבה יותר, ובעלי פגיעה משמעותית הרבה יותר, בפרטיות האזרחים.

בשעת חירום, אמיתית או מהונדסת, הפרטיות היא תמיד מהראשונים ליפול. כשהיא נעקדת אל המזבח עבור פתרון לקוי מיסודו – כדאי לחשוב שבע פעמים לפני שמסכימים להשתתף בניסוי.


אם אתן רוצות להמשיך להפיק את הפודקאסט שלכן גם בימי הריחוק החברתי, אם אתם רוצים לנצל את הזמן הפנוי להתחיל את הפודקאסט שדחיתם עד עכשיו – דברו איתנו באימייל (Go@podcasti.co) או בטלפון (053-7337419), או בקרו באתר לפרטים נוספים Podcasti.co

פינת המאפה הטוב

סילאן דיברה בפרק על סמבוסק עיראקי אמיתי, והמליצה על הסמבוסק של נעמה מאפיה עיראקית, יוסף חיים 20, אור יהודה.


מזכים

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן; נעם רותם 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404

משתתפות.ים

🐈 אות הקו החם והפריך של סייברסייבר: נועה ארגוב 🎭 שחקנים: רן בר-זיק מ”אינטרנט ישראל“, שיר פלד מהפודקאסט “מתמטיקה שמתמטיקה” 🥐 פינת המאפים: סילאן אשת המאפים

מוזיקה

🎹 עטיפה מוזיקלית: Fauna vs. Killah B – Los Piratas Del Reggaeton (Futuristic Dance Squad Viaba Mashup) by Futuristic Dance Squad (רשיון cc-by) 💵 פרסומות: 80s by Fryc (cc-by) 🥯 אות פינת המאפים: פּוּצִיםפּוּצִים 🎛️ מיקס: עומר סנש

קולות

🔔 מווו! / דוג’ה קאט; השפן הקטן / ציפי שביט; פרסומת של פלאפון; שעונים מצלצלים / בחזרה לעתיד; מעלית / Zapsplat.com; קטע ג’ז על פסנתר; מטבעות / Taira Komori cc-by; זכרון גורלי עם ארנולד שוורצנגר / פול ורהובן; פסנתר / Hoerspielwerkstatt_HEF cc-by; לג’נד אוב זלדה; בנימין נתניהו מדבר על הקורונה

שימרו על קשר

📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cyber@podacsti.co 🗝️ הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר) 📞 הודעות קוליות שילחו אל הקו החם והפריך של סייברסייבר: 055-2-776766 💸 תרומות בפייבוקס למספר 055-2-776766


🕵️ השב”כ בכלל יכול על הקורונה? 🐱‍💻 סייברסייבר ע02פ26

קליק לארכיון סייברסייבר

👂 להאזנה ומנוי לסייברסייבר באפליקציות השונות 🔊


חדש! הקו החם והפריך של סייברסייבר!

תגובות לפרק? דיווחים על פירצות ופריצות? מתכוני מאפים? שילחו הודעה קולית

🍕 055-2776766 🐱

(אפשר גם לשלוח תרומות בפייבוקס למספר הזה)


היום בסייברסייבר עם נעם רותם ועידו קינן: האיכון הסלולרי של השב”כ לאיתור מגעי קורונה בעייתי מבחינה דמוקרטית, ולפי בג”ץ גם מבחינה חוקית. אבל האם הוא עושה את העבודה? מדען המידע דרור גולדין מספר לנו על הניתוח שעשה ליעילות האיכון הסלולרי.

שר הבטחון נפתלי בנט במסיכת קורונה לצד הרמטכ"ל אביב כוכבי 📷 הפייסבוק של בנט
בנט במסיכת קורונה לצד הרמטכ”ל אביב כוכבי 📷 הפייסבוק של בנט

הקורונומטר, תוכנה ששר הבטחון היוצא נפתלי בנט כינה “הווייז של הקורונה”, אמורה היתה לקבל מידע עלינו מהמדינה ולתת לכל אזרח ציון הדבקה בכל זמן נתון. הקול הקורא שהמדינה פרסמה להפעלת תוכנה כזאת נתן דדליין של חודש – לא מספיק זמן בשביל להשיג את היכולות הנדרשות. אבל יש כמה חברות שכבר יש להן יכולות כאלו – ואחת מהן היא חברת הריגול האזרחי NSO. מי החברה שעומדת מאחורי הקורונומטר? בנט סירב לומר, אבל רפאלה גויכמן חשפה שמדובר באותה NSO בדיוק.

קול קורא – חמ”ל קורונה 🧻 הורדת פדף

וגם: נעם נותן מתכון למאפה. אוםנוםנום.



<חסות>

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.

<\חסות>


פחמימות לפני הכל

כפודקאסט על סייבר ומאפים, המחוייבות הראשונה שלנו היא למאזינות ולמאזינים לסייבר למאפים. באחרונה השקנו את פינת המאפים, והיא קיבלה אות משלה, שהולחן ובוצע על ידי פוציםפוצים ומוקסס על ידי עומר סנש.

פוציםפוצים יופיעו לייב-אונליין בפייסבוק וביוטיוב שלהם, 27.5.2020, 20:00, פתיחת דפדפנים 19:45. כולם.ן מוזמנות/ים.



אם אתן רוצות להמשיך להפיק את הפודקאסט שלכן גם בימי המצור, אם אתם רוצים לנצל את הזמן הפנוי להתחיל את הפודקאסט שדחיתם עד עכשיו – דברו איתנו: באימייל (Go@podcasti.co), בטלפון (053-7337419) או בטופס:


מזכים

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, חדר 404; נעם רותם, מעבדות סייברסייבר 🔔 קולות: תדרוכי שר הבטחון נפתלי בנט 25,2930.3.2020; הכתבה על NSO ב-60 Minutes; אקספוננציאלי: NBC – צ’אק טוד, ד”ר פאוצ’י, אנדרו קוומו, מואב ורדי, הצ’ייסר; אוכלים את אדי 1, 2 / מופע הקולנוע של רוקי; ראש הממשלה בנימין נתניהו מדבר על חמוצים; הדיון בבג”ץ 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Fauna vs. Killah B – Los Piratas Del Reggaeton (Futuristic Dance Squad Viaba Mashup) by Futuristic Dance Squad (רשיון cc-by), 🥯 שיר פינת המאפים נכתב ובוצע ע”י פּוּצִיםפּוּצִים ומוקסס על ידי עומר סנש 💵 מוזיקת אייטיז בפרסומות: 80s by Fryc (cc-by) 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404


📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cyber@podacsti.co 🗝️ הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר) 📞 שילחו לנו הודעות קוליות אל הקו החם והפריך של סייברסייבר 055-2-776766 💸 תרומות בפייבוקס למספר 055-2-776766

🌊 הסייברמתקפה על המים בישראל היא רק קצה הקרחון 🐱‍💻 סייברסייבר ע02פ25

קליק לארכיון סייברסייבר

מכשירים תעשייתיים רבים מבוססים על מערכות שליטה מיושנות וקלות לפריצה ולמניפולציה. בחלק מהמקרים זה מסוכן ואפילו קטלני. על הכוונת של ההאקרים: מקררים תעשייתיים, תחנות דלק וסכרים

👂 להאזנה ומנוי לסייברסייבר באפליקציות השונות 🔊

בסוף השבוע ערכו האקרים אנונימיים סייברמתקפה על מתקני מים וביוב ברחבי ישראל. מנהל אגף מים, ביטחון חירום וסייבר ברשות המים, דניאל לקר, כתב לאבי עזר מ🎵מערך הסייבר🎶: “קיבלנו מספר דיווחים על חשש לתקיפות סייבר במערכות O.T בקרב ספקי המים והביוב. אציין כי באף אחד מן האירועים לא אירע נזק תפעולי המשפיע על אספקת המים או סילוק הביוב לצרכנים”. לפי דיווחו של העיתונאי אחיה ראב”ד, 🎵מערך הסייבר🎶 זיהה את נסיונות הפריצה, ותאגידי המים והביוב קיבלו הוראה להחליף סיסמאות, “בדגש על מערכות תפעוליות ובפרט במערכות הוספת כלור לבארות”, ובמקרה שאי אפשר להחליף סיסמה, לשקול לנתק את המערכות מהאינטרנט. 

מתקני המים הם רק קצה הקרחון: ריגול תעשייתי, כיבוי מקררים ברשתות שיווק ומעבדות, ריגול אחרי תחנות דלק, קילקול סכרים, השבתת מכונות ייצור במפעלים חיוניים ופיצוצים הם חלק מהסכנות של פירצות הסייבראבטחה במערכות ICS (ר”ת של industrial control system). המערכות הללו משמשות לניהול תשתיות ומפעלי תעשייה. בחלק מהמקרים מדובר במערכות בנות עשרות שנים, לפני פריצת האינטרנט, ולכן הסייבראבטחה שם התבססה על כך שרק מי שרשאי להשתמש במערכת בכלל יוכל להגיע אליה.


<חסות>

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.

<\חסות>


השנים עברו, הטכנולוגיה התקדמה, יש אינטרנט בכל מקום, אבל מערכות ה-ICS נשארו מאחור: סיסמאות ברירת מחדל שמופיעות בספרי ההדרכה שלהן, אשר זמינים ברשת, קושי לשנותן והיעדר עדכוני אבטחה. כשכבר מגלים פירצה, במקרים רבים אי אפשר לכבות את המכונות כדי להטמיע טלאי אבטחה, וצריך למצוא דרכים עקיפות להגן על המערכת.

בפרק זה של סייברסייבר, נעם רותם ועידו קינן מראיינים את מייסדי חברת אוטוריו – המנכ”ל דניאל ברן, תא”ל במיל’ ולשעבר ראש חטיבת הסייבר בצה”ל, וה-CTO יאיר עטר, לשעבר קצין בכיר ביחידת סייבר. השניים מספרים על סכנות ופתרונות הסייברסייבר לתעשייה, ממפעלי נייר טואלט ועד כורים גרעיניים, ועל המחקרים שלהם, אחד שחשף את סנייק, כופרה לשיתוק מכונות ייצור, והשני שחשף פירצות אבטחה במכשירי סימנס המשמשים בתשתיות קריטיות.


אם אתן רוצות להמשיך להפיק את הפודקאסט שלכן גם בימי המצור, אם אתם רוצים לנצל את הזמן הפנוי להתחיל את הפודקאסט שדחיתם עד עכשיו – דברו איתנו: באימייל (Go@podcasti.co), בטלפון (053-7337419) או בטופס:  

מזכים

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, חדר 404; נעם רותם, מעבדות סייברסייבר 🔔 קולות: יום הולדת שמח / Crankymonk cc-by, אריק ובנץ סופרים / רחוב סומסום, כומר ספרדי; שר התחבורה בצלאל סמוטריץ’ מודיע על ביטול נסיעות תחבץ; מצעד צבאי באיראן; מכונה נכבית / zimbot, mega-x-stream, stun, Idok (cc-by); עדות של איש צוות של הטיטאניק ב-BBC; מתקפת סייבר מפוברקת במהלך נאום נתניהו; גנץ מגיב: “ביבי, מה קרה? אתה לחוץ?”; בנימין נתניהו חושף מסמכי גרעין של איראן; increasing dramas – dramatic 0V15m, by Setuniman (cc-by-nc); צ’אק טסטה 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Fauna vs. Killah B – Los Piratas Del Reggaeton (Futuristic Dance Squad Viaba Mashup) by Futuristic Dance Squad (רשיון cc-by) 💵 מוזיקת אייטיז בפרסומות: 80s by Fryc (cc-by) 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404


📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cyber@podacsti.co 🗝️ הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר)

🤳🏾 האקר מצרי ניסה לסחוט חברת תקשורת ישראלית 🐱‍💻 סייברסייבר ע02פ24

קליק לארכיון סייברסייבר

👂 להאזנה ומנוי לסייברסייבר באפליקציות השונות 🔊


הערותוכנית


בפרק זה של סייברסייבר עם נעם רותם ועידו קינן: האקר בשם חוסאם, לטענתו מצרי שפועל מסין באמצעות חיבור אינטרנט פלסטיני, פנה בצ’ט לחברת התקשורת הישראלית לב אנאטל והודיע שיש להם פירצת אבטחה שחושפת פרטי לקוחות. הוא אמר שיאסגר את הפירצה ויעזור לסגור אותה אם רק יתנו לו 1500$.

לצד מניעים כלכליים, נראה שחוסאם תקף את אנאטל גם ממניעים פוליטיים. בשלב אחד בשיחה הוא טען לסולידריות עם פלסטין. בהקשר זה, לא מפתיע שהאקר מצרי החליט לתקוף חברה ישראלית. אנחנו לא יכולים לאשר את פרטי השיחה, או איך אנאטל טיפלה בסוגיה, שכן השיחה עברה במהירות לאימייל.

עם או בלי קשר למה שחוסאם מצא, במערכת של אנאטל אכן היתה פירצה – הם השאירו את הפיירבייס שלהם פתוח עם הרשאות אדמין. אחד הצ’טים שדלף משם מתעד את נסיון הסחיטה שחוסאם ביצע, לגירסת החברה ב-2016 ובאופן כושל, שהם עלו עליו וחסמו אותו מיד. את הפירצה שממנה דלף הצ’ט לקח להם קצת יותר זמן – הם לא ענו לאסגרה במשך ארבעה ימים, וכשפנינו למערך הסייבר היא נסגרה תוך שעה.

לקחנו את הצ’ט, קיצרנו, תרגמנו את האנגלית הקלוקלת לעברית קלוקלת והמחזנו את הרב-שיח בעזרת תומר שרון, איריס בוקר, דוד דמרי ורפאל אלישע. המחזה הקצר שלנו – מיד אחרי הפרסומת.


חסות

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.


חוסאם: השרת שלך סבל מכמה חולשות והעבודה שלי למצוא את החולשות הזה ולמכור את זה לתיקון על ידי האדמין שלכם. אני יכול לאבטח את השרת שלכם כנגד קצת כסף אם אתם צריכים. אם אתם לא צריכים אני לא אלמד אתכם על זה, אבל אני לא אעשה רעש בשרת שלכם

אנאטל: ראיתי את החולשה בקובץ העלאת ה-PHP באפלואודר של הלוגו שלי אבל לא ראית שמצאת משהו נוסף.

חוסאם: אבל מישהו יכול לפרוץ אותך ומחק את כל הקבצים שלך והגיבוי.

אנאטל: כן אבל הנתיב הזה זמין רק לכמה לקוחות. למעשה יש ל-4 לקוחות גישה לנתיב הזה אז איך מצאת אותנו? מישהו ביקש?

חוסאם: אין בעיה פה. הבעיה היא לא היכולת להעברה אפשרית של שאר החברים. אם אתם צריכים לתקן את זה אני יכול לעשות את זה אבל כנגד קצת כסף. אולי מישהו אחר יפרוץ לכם את האתר מה לגבי המוניטין שלכם מול לקוחות? 1500 דולר

אנאטל: אם נעשה עסק, תוכל לתת לנו קבלה אמיתית? (כלומר, יש לך חברה?)

חוסאם: כן יש לי חשבון בנק של החברה שאני עובד. ZL TRADING CO LIMITED

[…]

חוסאם: כל מה שאני עושה זה לבדוק אתרי של חברות ולהראות להם כנגד כסף. אחי, לא משנה מה תהיה התגובה שלך לבקשת הכסף שלי, בסופו של דבר אני לא אזיק לשרת שלך

בוס: איך מצאת את השם/סיסמה להיכנס לעמוד? המפתחים שלי הבינו איך נכנסת להעלות את הקובץ שלך. אבל איך ידעתי שהלוגין הזה יקבל גישה למודול העלאת הקבצים?

חוסאם: אני לא יכול ללמד אותך על שום דבר בלי כסף. פשוט באמצעות גוגל. אני בוחר את חברות התקשורת.

בוס: מצאת חולשות כלשהן ב-golantelecom.co.il? אתה משתמש בפרוקסי מפלסטין?

חוסאם: לא אבל אנחנו ליד פלסטין וחיבור האנטרנט שלי מפלסטין. בבקשה, אתם חברה ישראלית ועכשיו אתם מכירים אותי, זה אומר שאני לא יכול להזיק לכם אבל אני לא יכול לעשות שום דבר בלי כסף

בוס: אני בסדר עם 100 דולר

חוסאם: לא לא, לא הייתי צריך את זה. בשרת שלכם יש מידעים רגישים עצומים, כמו כרטיסי אשראי וכתובות של לקוחות ומידע אישי על כל המשתמשים שלכם

בוס: עשית דאמפ של הדאטהבייס?

חוסאם: לא אבל מישהו אחר כמוני יעשה את זה. אחי, אתה מרוויח מזה. אני יודע מה המחיר של זה. אל תתקמצן, יש לך הרבה כסף לפי החשבונות של הלקוחות שלך, ראיתי את התשלומים

בוס: אתה צודק, אבל לא ראית את החשבונות מהספק שלי. אתה צודק וזה מה שאני יכול לחשוב עליו, אני יכול לשלם לך משהו אבל לא 1500 דולר

חוסאם: אתה יכול להפחית את זה אבל לא תוכל לשלם לחשבון של החברה שלי, אתה חייב לשלם לי אישית בצורת תשלום כלשהי

בוס: אוקיי

חוסאם: החברה שלי תיקח חצי מהסכום אבל אני לא אסוג מהסכום הזה. מה אתה אומר?

[…]

אנאטל: הבוס שלי כרגע בטלפון, חכה דקה והוא ישוב. המנכ”ל שלי גם רוצה לדבר איתך, הוא לא מבין בטכנולוגיה אז תהיה עדין חחחח

דוד: מחלקת ה-IT שלי אמרו שאתה מבקש 750$ כדי להסביר לנו איך חדרת למערכת, אם הבנתי נכון

חוסאם: כן, הבעיה היא איך השגתי את שם המשתמש והסיסמה למשתמש mortchm ואיך ידעתי שיש שם הרשאות להעלות קבצים. כל אחד שיקבל את ההרשאות האלה יכול לקבל את הסיסמאות של כל המשתמשים שלכם

בוס IT: צוות הפיתוח שלי אמר לי שלמשתמש היתה סיסמה חלשה, 1234

חוסאם: ואיך השגתי את שם המשתמש mortchm?

דוד: אולי גוגל?

חוסאם: אני מצטער אבל אני הולך עכשיו

דוד: אוקי אני אחשוב על זה. רק שאלה אחת בבקשה: אתה יכול לבדוק אם צוות הפיתוח שלי באמת תיקן את הבעיה? בלי קשר לאם אני אשלם לך.

דוד: אתה עוד פה?

איש עסקים וסלולרי של אנאטל 📸/🎨 Wilfried Pohnke + עומר סנש

פרסמנו את הסיפור ביחד עם עומר כביר מכלכליסט. תגובת אנאטל:

אנחנו מתייחסים ברצינות למידע ולפרטיות הלקוחות שלנו והסרנו את כל הגישה למידע המדובר. הצ’ט עם ההאקר הוא מה-16 בספטמבר 2016, לפני יותר משלוש שנים. למעשה, ‘האקר’ ניסה לגשת לאחד השרתים מאזור הלקוחות באתר. מיד הפנינו את כל הניסיונות שלו לאותו URL: הצ’ט הקודם שלנו (שלא נמצא בשימוש זה שנים רבות), על מנת לשוחח איתו. לכן, כפי שאתם יכולים להבין, הצ’ט היה יוזמה שלנו, לא שלו. במקביל נדרשו לצוות שלנו דקות ספורות כדי לתקן את הפירצה שבה הוא ניסה להשתמש, ואז הורדנו אותו מהשרתים שלנו. לכן לא הגבנו לניסיונות הסחיטה שלו, כפי שניתן לצפות. בנוסף, כאמצעי זהירות, ביקשנו מכל הלקוחות שלנו שהתחברו אחרי השיחה הזאת להחליף את הסיסמאות שלהם לפני שהם ניגשים לאזור הלקוחות (+ אישרור על ידי שליחת לינק לאימייל הרשום).


מזכים

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, חדר 404; נעם רותם, מעבדות סייברסייבר 🔔 קולות: “יום שישי ה-13” / שון ס. קנינגהם, אלתוריג’אזבחצוצרה / sorohanro CC-BY, צלילי טלפון / Adam_Joseph cc-by, mickmon cc-by-nc, פינג / Kion001 cc-by, קהל מריע / GregorQuendel, cc-by, גיא פלג מקריא תמלילי חקירה / N13, סילבסטר סטאלון בסרט רוקי, מוזיקת הנושא של הסרט רוקי 🎭 שחקנים: איריס בוקר, תומר שרון, דוד דמרי, רפאל אלישע 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Fauna vs. Killah B – Los Piratas Del Reggaeton (Futuristic Dance Squad Viaba Mashup) by Futuristic Dance Squad (רשיון cc-by) 💵 מוזיקת אייטיז בפרסומות: 80s by Fryc (cc-by) 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404


📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cyber@podacsti.co 🗝️ הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר)

ימי קורונה: מדבר סקר תרחק 🐱‍💻 סייברסייבר ע02פ23

קליק לארכיון סייברסייבר

👂 להאזנה ומנוי לסייברסייבר באפליקציות השונות 🔊

🧑‍⚕️ סקר הקורונה של פרופ’ ערן סגל והצ’טבוט שהסדנא לידע ציבורי יצרו עבורו בנויים להיות אנונימיים. אבל בגירסה של משרד הבריאות ודיאגנוסטיקס רובוטיקס חיברו אותו למערכת מעקב שעלולה לזהות משתתפים 🦠 גורמים עויינים עלולים להציף את הסקר בתשובות שקריות ולשבש את התוצאות 🐱‍💻 סייברסייבר עם נעם רותם ועידו קינן. אורחים: מנכ”לית הסדנא לידע ציבורי דורית חיזי והמשקיע ומייסד אלומה יאיר וינברגר.

וקבלו בבירכת סייברסייבר את הסאונדבורד החדש שלנו, עם מיטב הצלילים שכולנו אוהבים

הערותוכנית

https://twitter.com/yairwein/status/1244619406128406531
שר הבריאות יעקב ליצמן חובש קורונה ומנכ”לו משה בר סימן טוב 📸 משרד הבריאות 🎨 תומר ספירשטיין ועומר סנש


חסות

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.



מזכים

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, חדר 404; נעם רותם, מעבדות סייברסייבר 🔔 קולות: ג’וני 5: עוד קלט! / Short Circuit 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Fauna vs. Killah B – Los Piratas Del Reggaeton (Futuristic Dance Squad Viaba Mashup) by Futuristic Dance Squad (רשיון cc-by) 💵 מוזיקת אייטיז בפרסומות: 80s by Fryc (cc-by) 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים


📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cyber@podacsti.co

הפתרון למעקב בחסות הקורונה: קריפטופארטי 🐱‍💻 סייברסייבר ע02פ22

קליק לארכיון סייברסייבר

👂 להאזנה ומנוי לסייברסייבר באפליקציות השונות 🔊


הערותוכנית

הסמארטפון מספר לתא הסלולרי את מיקומך, ה-GPS מאכן אותך, הווייפיי ממקם אותך והדפדפן מגלה לספק האינטרנט לאן גלשת ומה ראית. בקריפטופארטי, תנועה שקמה באוסטרליה כתגובת-נגד להתגברות המעקב הממשלתי, מלמדים איך למנוע זאת באמצעים פשוטים 🐱‍💻 סייברסייבר עם יובל אדם, נעם רותם ועידו קינן.



חסות

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.



מעקב בחסות וירוס הקורונה 🎨 Syaibatul Hamdi

מזכים

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, חדר 404; נעם רותם, מעבדות סייברסייבר 🔔 קולות: הרצאה של אדוארד סנואודן / אורנשטיין חושן;, כושר / FBI; ראש ה-NSA לשעבר מייקל היידן; בני גנץ, שלא ייכנס לממשלת בנימין נתניהו, נכנס לממשלת בנימין נתניהו: N12, ערוץ הכנסת; פרשת נועה אייל – מציאת הרוצח דניאל נחמני: רשת, וויינט, גלצ, כאן; תדהר הירשפלד נגד המחבלים מיצהר / רועי שרון 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Fauna vs. Killah B – Los Piratas Del Reggaeton (Futuristic Dance Squad Viaba Mashup) by Futuristic Dance Squad (רשיון cc-by) 💵 מוזיקת אייטיז בפרסומות: 80s by Fryc (cc-by) 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים


📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cyber@podacsti.co

🛴קורונה וקורקינטים 🐱‍💻 סייברסייבר ע02פ21

קליק לארכיון סייברסייבר

🛡️ התקנתם את אפליקציית “המגן” של משרד הבריאות? 🛴 רכבתם על קורקינט שיתופי? 🐱‍💻 אתם בסכנת מעקב

👂 להאזנה ומנוי לסייברסייבר באפליקציות השונות 🔊


יש לנו הרבה מילים חמות למשרד הבריאות על הדרך שבה פיתח את יישומון “המגן”, על האנשים שייעצו בנושא ועל שחרורו בקוד פתוח. אבל אנחנו ממליצים להימנע ממנו עד שבעיות הפרטיות המובנות בו ייפתרו.


חסות

מחקר של SentinelOne גילה קשר בין הפושעה TrickBot לבין קבוצת ההאקרים לזרוס, המקושרת לצפון-קוריאה ובין השאר לפריצה לסוני. החברה גייסה לאחרונה 200 מיליון דולר, ועכשיו מחפשת עובדים. להגשת קו”ח >>



רוכבים במסיכות פנים 📸 עידו קינן
רוכבים במסיכות פנים 📸 עידו קינן

הקורקינטים השיתופיים שיתופיים מדי. אמיר שלדובסקי מחברת אימפרבה חקר וגילה שהם חושפים מידע על עצמם, על המפעילים ועל הרוכבים.

תחקיר הקורקינטים של אימפרבה

סרטון הדגמת פירצת הקורקינטים:

קורקינטים של שיאומי היו חשופים לפריצה שמאפשרת האצה ובלימה



חסות

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.



מזכים

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, חדר 404; נעם רותם, מעבדות סייברסייבר 🔔 קולות: קורונה וירוס / קרדי בי, אליה גרינפלד: הכל קורונה / יותם קונסטנטיני, גמל / acclivity, cc-by-nc, גוגל מאפס,טוסט סיילון / המפץ הגדול; פריצת סאונד לקורקינטים של ליים (כתבה); הדגמת פירצת קורקינטים / אימפרבה; פרסומות ליים, ווינד, בירד; רבע עוף או בורקס / רבקה מיכאלי ויוסי בנאי, איש המרשמלו / מכסחי השדים 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Fauna vs. Killah B – Los Piratas Del Reggaeton (Futuristic Dance Squad Viaba Mashup) by Futuristic Dance Squad (רשיון cc-by) 💵 מוזיקת אייטיז בפרסומות: 80s by Fryc (cc-by) 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים


📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cyber@podacsti.co

😷 סייבר-קורונה ודליפות רפואיות 🐱‍💻 סייברסייבר ע02פ20

קליק לארכיון סייברסייבר

👂 להאזנה ומנוי לסייברסייבר באפליקציות השונות 🔊

🧫 עשרות אלפי צילומי רנטגן, MRI, לייזר ו-CT עם פרטים אישיים של מטופלים ישראלים ואחרים דלפו בגלל אי-אבטחת תקן העברת התמונות הרפואיות DICOM 🦠 גם יישומון קורונאפ של משרד הבריאות דלף, גוגל העיפו יישומון איראני מקביל מהחנות, וסייברנוכלים מנצלם את המגיפה להונאות 🌠 תלמידים סינים הפילו יישומון לימוד מהבית באמצעות מתקפת דירוגי כוכב אחד 🐱‍💻 נעם רותם ועידו קינן מדברים על כך עם רן בר-זיק, פרופ’ מיכאל בירנהק וד”ר תמר עילם גינדין בפרק זה של סייברסייבר.

פרטי מטופלים ובדיקות שדלפו בפירצת ה-DICOM (טשטשנו מידע מזהה)
https://twitter.com/EyalRo/status/1236151655768317953?s=19
https://twitter.com/azarijahromi/status/1237035309885521920
איראן איכנה יותר מ-4 מיליון איראנים באמצעות האפליקציה. ציוץ של שר התקשורת והמידע האיראני, אזרי ג’הרמי



חסות

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.



מזכים

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, חדר 404; נעם רותם, מעבדות סייברסייבר 🔔 קולות: שיר הקורונה / משרד הבריאות של וייטנאם, ראש הממשלה בנימין נתניהו / כנס סייברטק, Resistance is Futile / סטאר טרק, Danger, Will Robinson! / אבודים בחלל (1, 2, 3), נערת מקופלת החדשה / עלית, אורלי לוי-אבקסיס, אוסטין פאוורז, מסיבת קורונה עם שר הבריאות יעקב ליצמן, פרסומת לטעמי, המוסד הסגור / היפופוטם 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Fauna vs. Killah B – Los Piratas Del Reggaeton (Futuristic Dance Squad Viaba Mashup) by Futuristic Dance Squad (רשיון cc-by) 💵 מוזיקת אייטיז בפרסומות: 80s by Fryc (cc-by) 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים


📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cyber@podacsti.co

⛓️ האסירים כלואים, אבל המידע שלהם חופשי 🐱‍💻 סייברסייבר ע02פ19

קליק לארכיון סייברסייבר

👂 להאזנה ומנוי לסייברסייבר באפליקציות השונות 🔊

הערותוכנית

מערכת ג’יילקור לניהול בתי סוהר בארה”ב דלפה מידע מפורט על אסירים, בריאותם, סדר יומם ועוד; גם הסוהרים נחשפו 🧖 ההודעה שהרגלי הפורנו שלכם נחשפו? הונאה 🐱‍💻 סייברסייבר עם נעם רותם ועידו קינן


איך עושים סייברסייבר?

רבים שואלים אותנו: תגידו, מהו סוד הסאונד המיוחד של סייברסייבר, פודקאסט הדגל שלכם? ואנחנו עונים: הגזמה פראית. אם אתם מתעקשים לדעת עוד, הנה הסבר קצת יותר מעמיק, שהכין במיוחד עבורכם האיש הטכני שלנו, עומר סנש.



חסות

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.



מזכים

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, חדר 404; נעם רותם, מעבדות סייברסייבר 🔔 קולות: Born in the USA 8-bit / Bruce Springsteen + Omnigrad, אוז, קן הקוקייה, שב”ס, שיחה מהכלא, קולנועפון / היפופוטם 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Fauna vs. Killah B – Los Piratas Del Reggaeton (Futuristic Dance Squad Viaba Mashup) by Futuristic Dance Squad (רשיון cc-by) 💵 מוזיקת אייטיז בפרסומות: 80s by Fryc (cc-by) 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים


📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cyber@podacsti.co

✡️ דליפות כחול-לבן: תחי מדינת ישראסייברסייבר! 🐱‍💻 סייברסייבר ע02פ18

דליפות חדשות: 70 אלף תעודות זהות, חוגר וקצין מיישומון 1824 • מידע מהסלולרים של משתמשי שירות הסינון פיורסייט • 4000 עובדי מגה 🤑 פרק זה בחסות סנטינל1

קליק לארכיון סייברסייבר

👂 להאזנה ומנוי לסייברסייבר באפליקציות השונות 🔊


חסות

מחקר של SentinelOne גילה קשר בין הפושעה TrickBot לבין קבוצת ההאקרים לזרוס, המקושרת לצפון-קוריאה ובין השאר לפריצה לסוני. החברה גייסה לאחרונה 200 מיליון דולר, ועכשיו מחפשת עובדים. להגשת קו”ח >>



הערותוכנית

הפרק הזה מוקדש לפירצות אבטחה כחול-לבן, שרן לוקאר ונעם רותם חשפו באמצעות סורק הסייברסייבר שלנו.

אפליקציית 1824, “מועדון צרכנות דיגיטלי”, דלפה 76 אלף תעודות זהות, דרכונים, רשיונות נהיגה ופנקסי חוגר וקצין של ישראלים, כולל מטאדאטה של מיקום, כלומר מידע היכן הם צולמו (למשל, בבסיסי צה”ל). הקבצים היו נגישים לכל אדם בעל כלי הפריצה המתוחכם דפדפן ללא צורך בהזדהות או בסיסמה, דרך דלי בשם “1824-files” באמזון.

נקודת אור בפירצה הזאת: חלק מהמשתמשים מחקו פרטים לא רלוונטיים מצילום התעודה לפני ששלחו אותה.

תעודות שדלפו מיישומון 1824 (הסתרנו את הפרטים המזהים) 🎨 פודקאסטיקו
מטאדאטה איכון בתעודה שדלפה מיישומון 1824 (הסתרנו את הפרטים המזהים) 🎨 פודקאסטיקו

ממפעילי 1824 נמסר לסייברסייבר:

לאחרונה, קיבלנו התרעה מרשות הסייבר הלאומית על תיקיית נתונים שהייתה מוגדרת ב aws כציבורית ולא כפרטית. כתוצאה מכך רוקנה התיקייה מתוכנה על ידינו וההגדרות שונו. כמו כן, בוצעה חסימה הרמטית ופרצת האבטחה טופלה באופן מהיר ומיידי. חשוב להדגיש כי לא נחשפו פרטי לקוחות או פרטים אישיים כלשהם לגורם חיצוני.

אנו מודים על ההתרעה שבעצם מנעה זליגת מידע. נציין שהמידע לא דלף ומאובטח ברמה הגבוהה ביותר.

חברת PureSight מספקת שירות סינון אתרים/”בקרת הורים” בווייטלייבל לאלפי משתמשים דרך ספקי אינטרנט בישראל (בהם פרטנר, בזק, בזק בינלאומי, סלקום ואקספון) וליותר מ-15 מיליון ילדים ב-32 מדינות בסך הכל, לפי נתונים באתר החברה. פיורסייט דלפה יותר מ-700 אלף קבצים, שאוחסנו על באקט אמזון פתוח, עם מידע שנלקח מטלפונים שעליהם הותקנה התוכנה, ואשר כלל תמונות ילדים, התכתבויות, אנשי קשר וצילומסכים מאתרי פורנו (ואפילו פורנו פדופילי).

מידע שדלף מתוכנת פיורסייט (הסתרנו את הפרטים המזהים) 🎨 פודקאסטיקו

מפיורסייט נמסר לאמיתי זיו מדה-מרקר:

טיפלנו בפירצה ברגע שהדיווח הגיע אלינו אתמול אחר הצהריים. נכון לאתמול ב-17:00 נחסמה הגישה למידע. במהלך הלילה ביצענו בדיקות מקיפות כדי לוודא שאכן נחסמה הגישה לתכנים. נמשיך לפעול במטרה להגן על המידע של לקוחותינו, ובמקרה של תקלה נטפל בה באופן מיידי.

אתר ועד העובדים של מגה (כיום בבעלות יינות ביתן) דלף פרטים על יותר מ-4000 עובדים. מלבד פירצת הזרקת SQL, אפשר היה להיכנס לאתר באמצעות שם משתמש שמורכב מחמש ספרות (מספר העובד) ובלי סיסמה, ולבצע חיפוש ברשימה המלאה של העובדים.

פרטי עובדים שדלפו מאתר ועד עובדי מגה (הסתרנו את הפרטים המזהים) 🎨 פודקאסטיקו

מוועד עובדי מגה נמסר לסייברסייבר

מדובר בפורטל עובדים ישן, שאינו פעיל ושימש בעיקר לשליחת ברכות יום הולדת לעובדים. את המידע בפנייתכם העברנו לאנשי ה-IT בחברה, שמצאו כי בעקבות תקלה שאירעה לאחרונה, הפורטל המשובת [כך במקור, ע”ק] עלה שוב. הפורטל הושבת בימים האחרונים באופן סופי והשרת הושמד. מחלקת ה-IT בחברה עדכנה את הוועד כי הופקו לקחים בכדי למנוע הישנות מקרה דומה.



חסות

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.



מזכים

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, חדר 404; נעם רותם, מעבדות סייברסייבר 🔔 קולות: נועה / אריק לביא, ספלאט / foolboymedia cc-by, התפוז המכני / סטנלי קובריק, האקדח מת מצחוק, תשדיר שירות שיחה ממתינה / בזק, רכבת לילה לקהיר / משינה, Night Boat to Cairo / מאדנס, ריק ומורטי, ABC / חמישיית ג’קסון, The Interview (1, 2), הוא הבוס – גיבורי הציונות / היפופוטם, המנון צה”ל, מאה מיליארד דולר, מיליון דולר / אוסטין פאוורז יש חור בדלי / Sesame Street; היום יום הולדת (369147) / InspectorJ cc-by; מפלצת (249686) / cylon8472 cc-by 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Fauna vs. Killah B – Los Piratas Del Reggaeton (Futuristic Dance Squad Viaba Mashup) by Futuristic Dance Squad (רשיון cc-by) 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים


📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cyber@podacsti.co

לדף הבא →