משתמשות אייפון משועזעות לגלות שהוא אוסף תמונות של החזיות שלהן, יותר משנה אחרי שהוא התחיל לעשות את זה
חיפוש באפל פוטוז 
אתר אפל
בכנס WWDC ביוני 2016 הכריזה אפל על שדרוג באפליקציית התמונות שלה, Photos, שתכלול מעתה זיהוי אנשים לפי הפנים שלהם, ומספר הבעות פנים. המפתח קיי יין חפר בתוכנה וגילה שהאפליקציה יודעת גם לזהות בתמונות מקומות, חיות, פעילויות, נופים, חפצים ועוד, מתוך מרשימה מוגדרת של 4432 פריטים – מאקורדיון דרך שושבינה וכושר ועד תולעים. חיפוש של מילת מפתח – למשל, “כלב” – תציג למשתמשים את כל התמונות ששמורות אצלם אשר מכילות כלב.
חלק מרשימת הפריטים של אפל פוטוז הפוסט של קיי יין
יותר משנה אחרי הפרסום, הטוויטראית ell (@ellieeewbu) פרסמה ציוץ נחרד בנושא לכ-19.5 אלף עוקביה: “לתשומת לב כל הבנות!!! חכו לתמונות שלכן והקלידו את ה’חזייה’ למה אפל שומרים את אלו והפכו את זה לתיקייה!!?!!?
”. בדיקת הרשימה שפרסם יין מעלה שאכן מופיעות בה מילות המפתח לחזייה וחזיות – Brassiere, Bra, Bras, Brassieres. אבל כמו בקלישאה, תמונה שווה 4432 מילים – ורבות מהמגיבות ל-ell חיפשו חזייה בפוטוז והעלו סטטוס משועזע עם צילומסך מצונזר.
הציוץ של @ellieeewbu על תמונות החזיות באפל פוטוז
@statueofleah כתבה: “זוג סלפים וכמה תמונות שלי עושה מין. מה לעזאזזזזזללל”. @Pr1ncessSyd כתבה: “היה יכול להיות יותר גרוע”. @rnoomin הודתה: “לא ידעתי שחצי מתמונות ההלבשה התחתונה האלו קיימות, אייפונים מזהים ומסדרים את רוב הדברים שאפשר לחשוב עליהם”. @nadinmousa תהתה: “מה זה איך @Apple יודעים שאני משתוללת ככה אומג”
הציוץ של @statueofleah
הציוץ של @Pr1ncessSyd על חיפוש חזייה באפל פוטוז
הציוץ של @nadinmousa
@ohanaleau היתה משועשעת: “בכנות, מתתי מצחוק כשראיתי את זה! אפל חושבים שהזרועות שלי נראות כמו ציצים! 
”. @ChocoMetaphor, שקיבל בעיקר תמונות של חזהו הגברי, כתב: “אני זונה”. @jewstein3000 הסבירה ביובש את שלוש התמונות שפוטוז מצאה: “היתה לי פריחה”.
הציוץ של @ohanaleau
הציוץ של @ChocoMetaphor
הציוץ של @jewstein3000
הציוץ שהתחיל את הסערה, ושכאמור מגיע שנה לאחר השקת הפיצ’ר, מדגים לנו את ההבדל בין לדעת שטכנולוגיה עושה משהו שעלול להרגיש לנו לא נוח לבין לחוות את הדבר הזה בפועל. מעניין גם לשים לב שאפל עלתה על המוקד, ולא גוגל או פייסבוק, שמספקות פיצ’רים דומים עם יותר פגיעה בפרטיות. בהשקת זיהוי הפריטים הדגישה אפל שפיצ’רי הזיהוי לא פוגעים בפרטיות, משום שהם מבוצעים מקומית על המכשיר ולא בענן. בעמוד של פוטוז באתר אפל נכתב: “אחד הדברים הכי טובים לגבי פוטוז הוא איך שהיא שומרת על הפרטיות שלכם. iOS נבנתה כך שתנצל את המעבד העוצמתי שנמצא בכל אייפון ואייפד. אז כשאתם מחפשים בתמונות שלכם, למשל, כל זיהוי הפנים והנופים והחפצים מבוצע כולו על המכשיר שלכם. מה שאומר שהתמונות שלכם הן שלכם, ושלכם בלבד”. גוגל מבצעת ניתוחים דומים לתמונות לפחות מאז 2013 ובשירות אחסון התמונות המקוון שלה גוגל פוטוז מ-2015, ובשנה שעברה פייסבוק שחררה את הקוד שמזהה מה מופיע בתמונות, שהיא מפעילה על התמונות שמשתמשים מעלים לרשת החברתית שלה. בניגוד לאפל, שתי החברות מבצעות את הניתוחים בענן ולא על המכשיר המקומי.
בשווייץ יש ערים שמקבלות תשלומים בביטקוין אבל בבירת-ההייטק תל אביב צריך למלא פדף [עדכון: יש טופס מקוון!]
“חילופי מחזיקים” זה כשאתם נכנסים לדירה וצריכים להעביר את הארנונה והמים על שמכם. כדי לבצע זאת בעיריית תל אביב אתם מתבקשים למלא טופס. מקוון? מה פתאום*. פדף. הפקס של המאה ה-21.
אחרי זה, כתוב באתר, אפשר להגיש את הבקשה בין השאר “באמצעות פניה מקוונת”, אבל אין שום הסבר איך לעשות את זה, לא באתר ולא בטופס עצמו (אלא אם זה נכס לא למגורים; לזה יש טופס מקוון).
איפה הטופס המקוון לביצוע החלפת מחזיקים של דירה?
* הבהרה: פדף אינו טופס מקוון. טופס מקוון אפשר למלא ולהגיש בדפדפן.
** …
Posted by Ido Kenan on Monday, October 30, 2017
כשביקשתי להגיש תלונה על היעדר האפשרות להגיש בקשה מקוונת בשלהי העשור השני של המאה העשרים ואחת, הופניתי לטופס מקוון (לזה יש טופס מקוון). אני צריך למלא בו פרטים אישיים, ובהם רחוב ועיר מגורים. נסיון לשלוח את הטופס הקפיץ שגיאה: במקום לבחור את שם הרחוב והעיר מהרשימה, העזתי להקליד אותם בעצמי וללחוץ אנטר בלי לבחור מהרשימה!
בסיום ציפיתי לקבל עותק של התלונה באימייל, או לכל הפחות אפשרות לשמור אותה בפורמט מודרני כלשהו. פחחח. האתר של עיריית תל אביב מציע לי להדפיס את התלונה.
בצוג וקיאסו אשר בשווייץ אפשר לשלם מסים ושירותים עירוניים שונים בביטקוין. בתל אביב עדיין צריך להדפיס מסמכים על נייר שעשוי מעצים מתים.
תיקון: יש טופס מקוון!
מעיריית תל אביב השיבו לי בפייסבוק ואמרו שלמעשה יש טופס מקוון, רק שהוא מוסתר היטב. ובמילותיהם:
היי עידו, אתה יכול להגיע אל הטופס המבוקש מהעמוד הבא: http://bit.ly/2zZgxLH. אמנם כתוב בראש הדף “זימון תורים”, אבל תבחר את ההגדרות שמתאימות לך (לדוגמה: כניסה לנכס קיים –> שוכר) ואח”כ תלחץ על “פנייה מקוונת”. אם אתה אכן שוכר שנכנס לנכס קיים, קבל כבר לינק לטופס המבוקש: http://bit.ly/2xyBNXh. מקווים שעזרנו :)
בהונולולו קונסים הולכי רגל שמתעסקים בסלולרי בחציית כביש – במקום לתת להם אנשי נחייה 
”הבמה המרכזית” בכאן תרבות
הונולולו, הוואי היתה לעיר הגדולה הראשונה שמטילה קנסות על הולכי רגל שמסתכלים על הסלולרי, טאבלט או כל גאדג’ט אחר, תוך כדי חציית כביש. החוק (פדף) מכונה “חוק ההליכה מוסחת הדעת”. מי שייתפס יהיה חשוף לקנס של בין 15-35$, ועבריינים חוזרים ישלמו בין 35-99$. בניו יורק, ניו יורק עלתה בשנה שעברה הצעת חוק להטיל על חוצים-מסמסים קנס או מאסר של 15 יום, ובסטמפורד, קונטיקט שוקלים חוק דומה לזה של הונולולו.
דיברתי על החוק עם בר בלפר וענת שרון בלייס ב”הבמה המרכזית” ב”כאן תרבות”:
נגן אודיו
קנסות הם לא תמיד הפתרון הכי חכם או יעיל לבעיה. במקרה הזה, התשובה עשויה להיות חינוך לשימוש נבון בסלולרי, ולא רק בהקשר של סכנת ההידרסות. פתרון טכנולוגי יכול להיות שימוש באפליקציה שהופכת את המסך ל”שקוף” – כלומר מאפשרת להשתמש בטלפון ובו זמנית מצלמת ומציגה על המסך את מה שקורה בכביש שמלפניו. אפליקציה אחת כזו היא Type n Walk, שמיועדת לסימוס תוך כדי הליכה.
ואפשר גם להשתמש באיש נחייה:
התוכנית המלאה:
אישה מסתכלת על הסלולרי תוך כדי הליכה. תמונה: Ernesto De Quesada (cc-by-nc-nd)
בפעם הקודמת ב”הבמה המרכזית”:
סלפי של קוף, ציוץ נגד טראמפ וחופש הביטוי ברשתות חברתיות
הכבישים לקברו של אבי האומה האיראנית חסומים, הנהגים מתבקשים לנסוע לקבר אבי המהפכה האסלאמית 
מהנעשה באיראן
ב-ג’ במרחשוון שנת ג’רכ”ב (539 לפנה”ס) כבש כורש הגדול את בבל והקים את האימפריה הפרסית המפוארת שאנחנו מכירים מהתנ”ך. כורש היה מלך אהוב על כל העמים הנכבשים (בבבל כינו אותו “המושיע”); הצהרת כורש נחשבת להצהרת זכויות האדם הראשונה בהיסטוריה, וגם ביהדות הוא נחשב סוג של משיח. ולזכר אותו כיבוש/שחרור, ה-7 בחודש אבאן (28 או 29 באוקטובר, תלוי בשנה), יום חג הוא ללאומיות האיראנית – “יום כורש הגדול”.
זהו יום בלתי רשמי, למרות שכל שנה מבקשים מהנשיא להפוך אותו לרשמי, ובתקופת הנשיא מחמוד אחמדי-נז’אד גם נעשו כמה ניסיונות כאלה מצד הנשיא ועושי דברו, אך הם לא צלחו. למעשה, אחת הסיבות למתיחות בין אחמדי-נז’אד לבין המנהיג העליון עלי ח’אמנהא’י היתה הדגש המיותר, שלא לומר המסוכן, שהנשיא שם על הזהות האיראנית. המרכיב האיראני והמרכיב האסלאמי בזהות העם נמצאים בהתנגשות תמידית: אנשי הדת וצמרת השלטון שואפים להצניע או להעלים את הזהות האיראנית, וככל שהם מנסים יותר – כך שואף העם להדגיש ולהבליט אותו יותר. ובעוד אנשי הדת הבכירים מותחים ביקורת על ההתכנסויות האלה, הנשיא הנוכחי, חסן רוחאני, העלה ביום כורש בשנה שעברה תמונה שלו בפרספוליס, סמל הזהות האיראנית הקדומה, עם כיתוב המשבח את התרבות ההיא ואת חוכמת שליטיה. השנה הוא לא עשה זאת.
תמונה שנשיא איראן חסן רוחאני העלה לאינסטגרם ביום כורש 2016, שבה הוא מצולם בפרספוליס עם כיתוב המשבח את תרבות איראן הקדומה ואת חוכמת שליטיה
בקורס איראן שאני מעבירה במרכז האקדמי שלם, שואלים אותי לא פעם – במדינה טוטליטרית, שרוב הידע שלנו עליה הוא מהמרחב הווירטואלי, שיש בו כל כך הרבה חסימות, שבו לך תדע מי פייק ומי אמיתי, מי מגיב מהלב ומי מגיב בשכר – איך אפשר לדעת מה באמת חושב העם?
ובכן, התשובה טמונה בכבישים.
ביום השנה להסתלקותו של אמאם ח’מיני, כאשר מקומות עבודה ממשלתיים מארגנים אוטובוסים ומחייבים עובדים לעלות לקברו המפואר של אבי המהפכה ומייסד הרפובליקה האסלאמית, רוב האנשים לוקחים יום חופש, והפקקים הם יותר בדרך לצפון המדינה (גם אצלם הצפון זה המקום שנוסעים אליו לחופשה). לעומת זאת, ביום כורש, שאינו יום חג רשמי, עולים אלפים רבים לקברו המוזנח של אבי האומה האיראנית. ואנחנו מדברים על קבר שנמצא במרחק עשרות קילומטרים מהעיר הקרובה ושלושה ק”מ מדרך האספלט הקרובה ביותר.
בשנה שעברה, למשל, כאשר 7 באבאן היה יום שישי – יום החופש השבועי – הגיעו אירועי יום כורש לשיא, עם פקקים של 30 ק”מ ויותר בדרך לקבר כורש בפאסרגאד אשר במחוז פארס, כ-157 ק”מ מבירת המחוז, שיראז. בקבר התקיימה התאספות המונית מאולתרת (לכאורה) עם מאפיינים דתיים וסיסמאות בעד כורש ונגד השלטון הנוכחי (“כורש אבינו, איראן מולדתנו”, “כורש אנחנו אוהבים אותך”, ברכות יום הולדת ליורש העצר רצ’א פהלוי, יליד 9 באבאן, ועוד, כולל הקלאסיקה “לא עזה, לא לבנון, נשמתי קודש לאיראן”). מספר ימים לאחר מכן נעצרו חלק מהמארגנים (והנה תמונה מיום כורש בשנה שעברה).
הכרזת כורש על הגליל של כורש. תמונה: Mike Peel (cc-by-sa)
השנה נערכו השלטונות מבעוד מועד כדי למנוע את “טקסי יום כורש”, כלומר ההפגנה נגד המשטר, הגדלה והולכת מדי שנה: אנשי דת פרסמו מאמרים בתקשורת ונשאו נאומים במסגדים נגד יום כורש, שהוא בכלל לא יום היסטורי אמיתי אלא מזימה של ההתנשאות העולמית (ארה”ב והמערב), שמנצלת את רגש הלאומיות האיראני.
כבר מתחילת אבאן נחסמו הדרכים לפאסרגאד, או נחסמו חלקית, ותושבי האזור קיבלו תעודות מיוחדות המאפשרות להם לנוע באזור עם מכוניותיהם. על נהגים שאינם מקומיים נאסרה הכניסה. לפי הודעת משרד התחבורה, זה משום שיש במקרה עבודות בכביש בדיוק ב-6 וב-7 באבאן, והבסיג’ ערך תרגיל צבאי באזור. עולי רגל דיווחו על נוכחות מסיבית של כוחות ביטחון לאורך הכבישים המובילים לקבר כורש, וברשתות החברתיות עלו סרטוני וידאו של ניידות דיכוי-הפגנות של המשטרה, שנשלחו לאזור. דיווחים נוספים הצביעו על הקמת גדרות סביב הקבר כדי למנוע גישה אליו והתכנסות סביבו.
#Iran mullahs regime has sent voice messages threat ppl & beg not attending the protest in #CyrusDay. #Cyrus #CyrusTheGreat #پاسارگاد pic.twitter.com/paWkJtK7V4
— mostafa.mohamadi (@MostafaMe4) October 29, 2017
many motorcyclists have come to #Pasargadae to suppress ppl's demonstrations. regime is so scared.#Cyrus #CyrusTheGreat #CyrusDay #پاسارگاد pic.twitter.com/Hiv0gUtpKL
— mostafa.mohamadi (@MostafaMe4) October 29, 2017
בימים האחרונים נשלחו גם מסרונים אנונימיים לאנשים, ובהם נאמר שהתכנסות בפאסרגאד אינה חוקית, ומפרי החוק יטופלו משפטית. הודעות סותרות התפרסמו מטעם מחלקת המורשת התרבותית של מחוז פארס – לפי חלקן קבר כורש יהיה סגור למבקרים, ולפי חלק אחר הביקור בו יוּתַר.
סמס אזהרה מהשלטונות האיראניים מפני התכנסות בקבר כורש ביום כורש. תמונה: TaheriKaveh
לפי דיווחים של חלק מאתרי החדשות, אתמול, יום כורש, עצר משרד המודיעין האיראני קבוצה אנטי מהפכנית שפעלה במרחב הווירטואלי, ויצרה קמפיין לטקסי יום כורש, וקמפיין להחזרת יורש העצר, הנסיך רצ’א פהלוי. לפי אותם דיווחים, המארגנים זממו להסב נזקים לרכוש ציבורי, והונחו על ידי גורמים זרים. לפי סוכנויות אחרות, מדובר בחדשות ממוחזרות מהשנה שעברה.
אז מה קרה שם בסוף? הצליחו לחגוג? הדרכים לקבר היו סגורות, תרגיל צבאי התקיים באזור, ועולי רגל שניסו להגיע בכל זאת – נעצרו. עם זאת, את העם האיראני לא עוצרים כל כך בקלות: עצרות מאולתרות התקיימו לצד מחסומי הדרכים, הרגש הלאומי, בתגובה האיראנית האופיינית לכל סוג של דיכוי – בוער ביתר שאת, והשלטונות הוכיחו שהם מ-פ-ח-דים
Today 29th of Oct. 2017, People still try to reach the #Pasargad from all possible paths. #پاسارگاد #CyrusDAY #FreeIran #Iran #RegimeChange pic.twitter.com/3uoku65mrV
— Iran Freedom (@4FreedominIran) October 29, 2017
נוכל חיזר אחרי אמה פרייה תוך שימוש בתמונות של הדוגמן אדם גוזל, שהפך להיות בן זוגה האחראי על האינטרנט
להאזנה לתוכנית 
לב מקיא. איור: רינה מימון
נבחרת בוליביה ניסתה לגייס כדור-רגלן צרפתי בעקבות טעות במשחק ניהול קבוצות האחראי על האינטרנט בגלצ
רובן אגילר הוא כדור-רגלן צעיר שמשחק בתפקיד מגן בקבוצת מונפלייה בליגה הראשונה בצרפת. הביצועים שלו בעונה האחרונה משכו את תשומת לבם של אוהדי כדור-רגל בוליביאניים, שרוצים שאגילר יעבור לשחק בקבוצה הלאומית שלהם.
“בשנה האחרונה כבר קיבלתי הודעות מבוליביאנים אחרי משחקים שלי. אחרי המשחק נגד PSG, זה גדל פי מאה”, סיפר אגילר למגזין הצרפתי “גול”. “בטלוויזיה בבוליביה” – שהציגה את הישגיו והגדילה עוד יותר את הפופולריות שלו שם – “אמרו שאני זכאי להצטרף לנבחרת הלאומית”.
לבסוף הגיעה גם פנייה רשמית. “בוליביה פנו אלי”, הוא סיפר, בכוונו לאיגוד הכדור-רגל הבוליביאני. “נאלצתי לפרסם הודעה בדף [הפייסבוק] שלי ולהסביר שאני לא בוליביאני ולכן לא זכאי להיבחר [לנבחרת]. אני צרפתי מצד אמא וספרדי מצד אבא. אין לי אזרחות כפולה”.
“הכל התחיל מ’פוטבול מנג’ר‘”, הסביר אגילר את מקור הטעות – משחק וידאו לניהול קבוצות כדור-רגל. “הם העניקו לי אזרחות בוליביאנית בנוסף לאזרחות הצרפתית”. באתר חדשות המשחקים קוטאקו הסבירו שמאחר שבפוטבול מנג’ר יש עשרות אלפי שחקנים, טעויות כאלו הן בלתי נמנעות. אבל העובדה השגויה הזאת התקבעה בגלל שהאוהדים, ומביך מכך, איגוד הכדור-רגל, הסתמכו עליה כשביקשו לגייס את אגילר מבלי לאמת אותה.
הפייסבוק של אגילר
אגילר פרסם בסוף ספטמבר בפייסבוק שלו הודעה, בצרפתית ובספרדית, שמבהירה שהוא לא בוליביאני. בשבוע שעבר הגיב שם דניאל דיוניסי, שהציג את עצמו כמנהל מאגר-הנתונים הבוליביאני של פוטבול מנג’ר: “רק היום הבנתי שבמשחק אתה משחק עם בוליביה כאזרחות שנייה ואנחנו מתנצלים. האיש שאמור היה להבחין בטעות זו הוא זה שאחראי על מאגר-הנתונים הצרפתי, ולא אני ישירות. אני רוצה לעדכן אותך שגם אם אני לא אחראי, כבר ביקשתי שיסירו את בוליביה כאזרחות שנייה מהגירסה החדשה של המשחק, שתצא בעוד חודש (פוטבול מנג’ר 2018). אני מקווה שזה ישים קץ לספקולציות”.
אגילר מודיע שאין לו אזרחות בוליביאנית. קליק להודעה המלאה ותגובת דיוניסי
עוד ספורט: מרמים בבייסבול עם אפל וואץ’
האלבום החדפעמי של וו טאנג קלאן למכירה פומבית
מרמים בבייסבול עם אפל וואץ’
פירצת פרטיות חשפה שמות, טלפונים וכתובות של לקוחות קבוצת ח.י.
פירצת פרטיות פשוטה באתר קבוצת ח.י. איפשרה לאסוף פרטים של לקוחות החברה – שם מלא, טלפונים וכתובת מגורים – שעלולים לשמש לספאם ולגניבת זהות. הפירצה איפשרה גישה לפרטים באמצעות דפדוף בין מספרי קריאה, שלקוחות קיבלו כשהזמינו התקנת מוצר שקנו בחברה. קבוצת ח.י. סגרה את הפירצה בשבוע שעבר בעקבות פניית חדר 404.
ארנון (שביקש שלא אפרסם את שמו האמיתי) גילה את הפירצה אחרי שקנה מוצר מקבוצת ח.י. הוא קיבל מהחברה סמס לתיאום ההתקנה, שמכיל לינק לעמוד אינטרנט ומספר קריאה שיש להזין בעמוד.
סמס מקבוצת ח.י. לתיאום מועד התקנה
עם הזנת המספר, מוצגים ללקוח פרטיו והוא מתבקש לאשרם, ואחר כך מועבר לעמוד שבו הוא בוחר מועדי הובלה.
דף הנחיתה של קבוצת ח.י. לתיאום הובלה
ארנון הזין בטעות את המספר בלי הסיפרה האחרונה, וקיבל פרטים של לקוח אחר. בדקתי מספרים נוספים באתר, סביב המספר של ארנון ובטווחי מספרים אחרים, והפירצה אכן היתה קיימת ופעילה.
דף פרטי לקוח של קבוצת ח.י. חדר 404 הסתיר את פרטי הלקוח
“מטריד שחברה גדולה כמו ח.י. אלקטרוניקה לא נוקטת באמצעי אבטחה בסיסיים כדי לשמור על פרטיות לקוחותיה”, אמר ארנון. פירצת הפרטיות הזאת עלולה לאפשר גניבת זהות – גורם זדוני יכול להשתמש בפרטים כדי להזדהות בתור הלקוח מול קבוצת ח.י., בתור קבוצת ח.י. מול הלקוח (ובתירוץ של תיאום ההתקנה לשאוב ממנו פרטים נוספים, כמו מספר כרטיס אשראי או מועדים שבהם הלקוח לא נמצא בבית), או להתחזות ללקוח מול גורמים אחרים, כמו בנקים, ספקי שירות ומשרדי ממשלה.
“יש פה בעיה נוראית של הנגשה לא בטוחה של פרטים אישיים”, הסביר לחדר 404 ההאקר ים מסיקה, מנהל קבוצת R&D בסייברביט. “האתר מאפשר לגשת בלי אמצעי הזדהות אמיתי, ואפילו בעזרת shoulder surfing [הצצה מעבר לכתפו של גולש] פשוט של לראות איזה מספר מישהו הקליד בתיבת הטקסט שם, אני יכול לקבל עליו הרבה יותר פרטים ממה שהוא רצה לספק לי. הבעיה השנייה היא שאפילו אמצעי הזיהוי היחיד שכן מבקשים ממני, הוא קצר, לא אקראי וניתן לעשות עליו bruteforce [מתקפת כוח גס, במקרה זה הרצת מספרי קריאה אפשריים, ע”ק] בקלות, באופן שיאפשר לי לכרות את כל המידע שקיים באתר, וליצור לעצמי בסיס נתונים נאה של פרטים אישיים של משתמשים”.
איך היית מונע את זה?
“יש היום המון הגנות מגה פשוטות לאינטגרציה עבור בעלי אתרים, אבל ממש מציקות לאנשים שרוצים סתם לכייף עם Bruteforce, כשדוגמה ממש טובה היא reCAPTCHA של גוגל, מנגנון שכדי לאפשר מעבר לעמוד הפרטים ידרוש הזנת טקסט שמוצג בצורה מעוותת, אשר מחשבים מתקשים לפענח, או רק יבקש ממך לסמן V על האם אתה בנאדם – נשמע מצחיק אבל בפועל עושה המון דברים מאחורי הקלעים כדי לבדוק שאתה לא רובוט. המנגנון הזה מאפשר לרוב בעלי האתרים להטמיע את הטכנולוגיה באתר תוך דקות. אבל מה שהיה צריך לעשות בעקרון הוא תהליך הזדהות שכולל שם משתמש וסיסמה אקראית ושעומדת בסטנדרטים מסוימים, ואם באמת אכפת מהמשתמשים שלך, מאחר וכבר יש לך את הטלפון הנייד שלהם – גם סמס עם סיסמה מוגרלת זמנית, בשביל ה־2FA [ר”ת של 2 factor authentication, זיהוי דו-שלבי] שהופך את זה למנגנון משמעותית יותר בטיחותי”.
במערכת של קבוצת ח.י. כן הוטמע מנגנון סייבראבטחה, אבל רק ללקוחות שכבר תיאמו מועד. נסיון להיכנס עם מספר קריאה של לקוח כזה מחזיר הודעת שגיאה שלפיה “קריאה כבר שובצה, על מנת לשנות את השיבוץ יש להיכנס אל הלינק בהודעה הנוספת שהתקבלה בנושא שינוי מועד השיבוץ”.
הודעת שגיאה באתר קבוצת ח.י.
בלינק הנוסף שבהודעה, הלקוח נדרש להזין מספר קריאה וגם מספר טלפון, מה שמקשה על המנסים לגנוב את הפרטים.
הודעת הסמס הנוספת מקבוצת ח.י.
בקשת שם וסיסמה באתר קבוצת ח.י.
“מידע גלוי הפתוח לציבור”
מקבוצת ח.י נמסר כי החברה “פיתחה בשנה האחרונה ‘שירות התקנה עצמית’ המאפשר ללקוח להזין באתר ייעודי את מספר ההזמנה של המוצר שרכש
ולקבוע את מועד ההתקנה והשילוח המתאים לו. תוכנת השירות נמצאת בשלבים מתקדמים של פיתוח ובחודש האחרון הושקה כפיילוט עבור ליין מוצרי האלקטרוניקה. יודגש כי המידע שעלול היה להיחשף הינו מידע גלוי הפתוח לציבור”.
בניגוד לדברי קבוצת ח.י., המידע הזה גלוי רק לגבי אנשים שמספר הטלפון שלהם אינו חסוי, וכתובתם האמיתית מעודכנת במאגרי המידע של חברות התקשורת; אין ברשומות המודיעין הטלפוני שלהם מידע על כך שביצעו רכישה בקבוצת ח.י.; והפירצה באתר קבוצת ח.י. מקל על איסוף כמות גדולה של מידע כזה, מאחר שהאתר לא מכיל מנגנוני הגנה מפני קצירת המידע על ידי הצפתו בשאילתות.
תמונת לגו: BRICK 101 (cc-by-nc). איור: חדר 404
עוד נמסר מקבוצת ח.י. כי “מיד עם פניית הכתב הועבר הנושא לצוות הפיתוח אשר הוסיף למערכת דרישה נוספת לאימות זהות הלקוח. בתקופה הקרובה תושלם בדיקת הפיילוט והשירות יוחל על כלל מוצרי הקבוצה”.
בדיקה של האתר אחרי קבלת התגובה מעלה שלצד מספר הקריאה נוספה דרישה להזין מספר טלפון.
בהלת “בהלת הליצנים”
מסיכת ליצן בעכו, יוני 2017. תמונה: עידו קינן
בהלת הליצנים בישראל עלתה לדיון בהשתתפות פרופ’ רפי מן ואני בתוכנית “קלמן ליברמן” בכאן ב’.
אזהרה בפייסבוק מפני ליצנים בישראל
בהלת הליצנים שהתקשורת והציבור לקו בה נובעת משילוב של מספר נסיבות: בעת-ליצנים (קולרופוביה) שיש לאנשים; סרטי אימה נוכחיים בכיכוב ליצנים, המפורסם שבהם החידוש ל”IT” של סטיבן קינג, שאולי לווה בקמפיין גרילה של הפגנה נגד ליצנים, והמטריד שבהם Gags, שהבמאי שלו שלח ליצן להפחיד אנשים כדי לקדם את הסרט, והעלה תיעוד שלו לדף פייסבוק שהפך לפופולרי (זהירות, אוטופליי); הווב שהביאה לנו את סיפורי בהלת הליצנים מארה”ב; עונת המלפפונים התקשורתית והעובדה שסיפורי ליצנים מפחידים מוכרים עיתונים ומושכים קליקים; משטרה היסטרית שמלבה את הבהלה בהודעות לעיתונות; הפצת הבהלה ברשתות חברתיות (פייסבוק) ותוכנות מסרים מידיים (וואטסאפ); וחקיינים צעירים שרוצים להשתעשע.
הודעת משטרת ישראל על ליצנים, אוקטובר 2017
בהלת הליצנים במעריב. תמונה: העין השביעית
אף ליצן. תמונה: clown_nose, cc-by-nd
אני פוחד מליצנים מאז שהייתי ילד וההורים שלי הזמינו ליצן וראיתי את התעריפון שלו לאירועים
— עידוק (@idokius) August 27, 2017
עוד בהלה
סכנה: כלי תקשורת פרסמו כתבות יחצנות מטופשות על בתי חולים – בגלל פוקימון
יאהו מגלה: לא 1 אלא 3 מיליארד חשבונות נחשפו בפריצה 
האנטיווירוס של קספרסקי שימש לפריצה ל-NSA האחראי על האינטרנט בגלצ
חדש מקספרסקי: אנטיאנטיווירוס
תוכנת האנטיווירוס של חברת הסייבראבטחה הרוסית קספרסקי לאב שימשה האקרים בשליחות ממשלת רוסיה לגנוב מידע של רשות הביון האמריקאית NSA. המידע שנגנב כלל פרטים על הדרך שבה NSA חודר לרשתות מחשבים זרות ומתגונן מפני סייברמתקפות. 
הפריצה בוצעה ב-2015, התגלתה באביב 2016, והוול סטריט ג’ורנל חשף אותה ($, 
) שלשום (ה’) .
תוכנות של קספרסקי לאב פעלו על מחשבי גופי ממשל אמריקאיים רבים, כולל גופים שמחזיקים מידע רגיש ובהם הצבא, חיל הים וחיל האוויר, מחלקות ההגנה, המדינה, האנרגיה, המשפט, האוצר ובטחון המולדת. אולם בארה”ב החלו לחשוד שהחברה שלו היא חזית של הממשל הרוסי, שמסתייע בה לריגול. החוק הרוסי מאפשר לממשלה לאלץ את החברה לסייע ביירוט תקשורת כשזו עוברת דרך רשתות רוסיות. העובדה שמייסד קספרסקי לאב, יוג’ין קספרסקי, הוא בוגר הפקולטה הטכנית של בית הספר הגבוה של שירות הביון הרוסי קג”ב, תרמה לחששות. בחודש שעבר הורתה מחלקת בטחון המולדת האמריקאית לרשויות פדרליות להסיר כל תוכנה של קספרסקי מכל המחשבים הממשלתיים ().
אולם עובד-קבלן של NSA לקח קבצים בסיווג בטחוני גבוה מאוד מהעבודה למחשבו הביתי, שעליו מותקנת תוכנת קספרסקי. העובד לא חשוד שלקח את הקבצים הביתה למטרות זדוניות, אלא כדי שיוכל לעבוד עליהם בבית מעבר לשעות העבודה, אולם ידע על האיסור לקחת קבצים הביתה. עובדי ה-NSA מלכתחילה לא קיבלו אישור להשתמש בתוכנות קספרסקי על מחשבי העבודה שלהם, ועוד לפני התקרית הנוכחית ב-2015 הומלץ להם שלא להשתמש בתוכנות כאלו במחשביהם הפרטיים.
כדי לאתר וירוסים, תוכנות אנטיוורוס סורקות את הקבצים וההגדרות במכשירים שעליהם הן מותקנות, וכך יכולות ליצור אינדקס של כל הקבצים. קספרסקי מגדילה לעשות ושומרת עותקים של אלו מהקבצים שהיא חושבת שיש בהם עניין, והדבר מותר לה לפי תנאי השימוש של התוכנה, הסביר ל-WSJ בלייק דרשה, לשעבר האקר ב-NSA. ההאקרים, כך נטען בכתבה של הג’ורנל, התמקדו באותו עובד לאחר שהשימוש שלו באנטיווירוס של קספרסקי חשף בפניהם שקבצים שלו עשויים להכיל מידע מודיעיני מעניין. לא ידוע אם עובדי קספרסקי הם שדיווחו לממשל הרוסי על המסמכים הסודיים שנמצאו על המחשב.
אתר קספרסקי לאב ברוסית
ב-NSA סירבו להתייחס לפרסום בטענה ש”מדיניות NSA היא לעולם לא להגיב על עניינים של גורמים מסונפים או כוח אדם”. בגוף הביון אמרו שלמחלקת ההגנה, שאליה NSA משתייך, יש חוזה עם ספק אנטיווירוס שאינו קספרסקי.
דובר הקרמלין, דמיטרי פסקוב, סירב להתייחס לתקרית אבל ביקר את החלטתה של ארה”ב להחרים את התוכנה בסוכנויות ממשל כ”חותרת תחת המיקום התחרותי של תוכנות רוסיות בזירה העולמית”.
בקספרסקי לאב מסרו שהחברה “לא קיבלה כל מידע או עדויות שמבססים את התקרית לכורה, וכתוצאה מכך, עלינו להניח שזו עוד דוגמה של האשמת שווא”. בנוגע לטענות לסיוע בריגול לטובת רוסיה מסרה החברה: “כחברה פרטית, לקספרסקי אין קשרים בלתי ראויים לאף ממשלה, כולל הרוסית, והחברה מעולם לא עזרה, ולא תעזור, לאף ממשלה בעולם במאמצי הסייברריגול שלה”. לדברי החברה, “אנו חוזרים ומציינים את נכונותנו לעבוד בשיתוף הרשויות האמריקאיות להתייחס לכל חשש שעלול להיות להם לגבי המוצרים שלנו, ומבקשים כל מידע רלוונטי שיכול לסייע לחברה להתחיל בחקירה בהקדם האפשרי”.
ואת יאהו יש להחריב
פרטים על 3 מיליארד חשבונות של יאהו וחברות הבת שלה – ובמילים אחרות, כל החשבונות – דלפו בפריצה לשרתי החברה ב-2013. הפרטים כוללים שמות משתמש, סיסמאות, ובחלק מהמקרים מספרי טלפון ותאריכי לידה. חברת האם החדשה של יאהו, ורייזון, דיווחה על כך השבוע (ג’) לאחר שהובא לידיעתה מידע חדש מחוץ לחברה על הפריצה. הגילוי מגיע ארבעה חודשים אחרי סיום תהליך הרכישה של יאהו בידי ורייזון.
הפריצה התרחשה ב-2013, ויאהו דיווחה עליה רק בדצמבר 2016, כשאז היא העמידה את מספר החשבונות הנפגעים על כמיליארד. כעת אומרת ורייזון ש-3 מיליארד חשבונות של יאהו, שכוללים את יאהו מייל, טאמבלר, פליקר ומשחקי ספורט-פנטזיה שבבעלות החברה, נחשפו בפריצה. 3 מיליארד החשבונות מייצגים פחות מ-3 מיליארד אנשים, משום שיש משתמשים שמחזיקים יותר מחשבון אחד, אמר דובר החברה, והוסיף כי החברה תתחיל מיד בהודעה באימייל ל-2 מיליארד החשבונות הנוספים על כך שפרטיהם אולי נחשפו.
יאהו מייל
יאהו ספגה שלוש פריצות משמעותיות למאגרים שלה – ב-2013 נגנב מידע על כל 3 מיליארד חשבונותיה, כאמור; ב-2014 פריצה שנגעה ל-500 מיליון חשבונות; ופריצה שלישית קרתה מתישהו בין השנים 2015-16′. הפריצה השנייה נחשפה בזמן שיאהו ניהלה מו”מ למכירתה לוורייזון, וזיכתה את זו בהנחה של כמה מאות מיליוני דולרים. ורייזון פעלה לדחיית תביעות נגד יאהו שבבעלותה על הפריצות הללו, בטענה שאין חברה שחסינה בפני סייברפריצות, אבל בסוף אוגוסט פסק בימ”ש מחוזי בקליפורניה כי התביעות יוכלו להמשיך.
נוסף על כך, לפני שנה חשפה סוכנות הידיעות רויטרס שיאהו חיטטה באימיילים של משתמשיה באופן ובהיקף חסר תקדים. לפי הפרסום, יאהו קיבלה ב-2015 דרישה מסווגת מרשות ביון אמריקאית, ובעקבותיה סרקה את כל הודעות האימייל הנכנסות של מאות מיליוני משתמשיה בחיפוש אחר מחרוזת טקסט ספציפית שהרשות האמריקאית ביקשה שתחפש. לפי הניו יורק טיימס, יאהו התאימה לשם כך את הכלים ששימשו אותה לסרוק אימיילים נגד ספאם, תוכן פדופילי ונוזקות.
מה זה פה?
רוצה להפיק פודקאסט?
המלצת סייברסייבר (מ)
פרנסה
-
לאחרונה בחדר 404
-
ילד, רובוט התמיכה הרגשית שלך עומד למות האחראי על האינטרנט בגלצ
-
שליחות קטלנית בלי ביטוח רפואי האחראי על האינטרנט בגלצ
-
ה-NFL מזייפים את אלישה קיז, קנדה אייר מאשימים את הצ’טבוט ומפסידים האחראי על האינטרנט בגלצ
-
שתיקטוק האחראי על האינטרנט בגלצ
-
איך מדרגים בעברית?
- שקר הביטקוין, קיץ חם במקרר של שופרסל, הצופן היווני ועוד עדכוני סייברסייבר
-
זום מסתבכת עם העובדים והמשתמשים האחראי על האינטרנט בגלצ
- אילן מאסק ממשיך לחטוף יוזרים בטוויטר
- ברכות לסופרת בינה מ. על כניסתה לרשימת רבי המכר של קינדל
- פסיקה עלולה לתת למו”לים שליטה מוחלטת על השאלת ספרים דיגיטליים בספריות
- תומכי נטלי דדון מבצעים לינצ’טרנט שנמוך דירוג בבית-קפה הלא-נכון
-
זעם נגד תרגום המכונה האחראי על האינטרנט בגלצ
-
מתמונות חתולים לפוליצר – חדשות באזזפיד נסגרים האחראי על האינטרנט בגלצ
-
תיק-תק לחסום את טיקטוק האחראי על האינטרנט בגלצ
-
זו תרבות ביטול על כלום האחראי על האינטרנט בגלצ
-
ילד, רובוט התמיכה הרגשית שלך עומד למות
