😷 קורונה-טק וסייבר-בנט 📻 האחראי על האינטרנט בגלצ 7.3.2020
עולם הטכנולוגיה מגלה את העבודה מרחוק
#WHO warns that #coronavirus can spread through handling money
— Evan Kirstel (@evankirstel) March 7, 2020
https://t.co/mepkgFg9QN #COVIDー19 pic.twitter.com/16S1JlH5yN
מגיפת הקורונה החדשה משפיעה על ההתנהלות היומיומית של תעשיית הטכנולוגיה: טיסות לחו”ל נדחות, כנסים מבוטלים (רשימה חלקית: SXSW, RSA, כנס מפתחי וואווי, כנס מפתחי גוגל (Google I/O) וכנס שיווק גלובלי של פייסבוק), אורחים מתבקשים לא להגיע למשרדים, ועובדים מתבקשים לעבוד מהבית (פייסבוק סגרו זמנית את משרדיהם בלונדון בגלל עובד שאובחן כנשא; אמזון ופייסבוק סגרו משרדים בסיאטל). חלק מהחברות אף מתחייבות להמשיך לשלם גם לעובדים שעתיים שלא יכולים לעבוד בגלל המגיפה והמגבלות. חברת משלוחי המזון פוסטמייטס הודיעה שתתחיל לספק שירות משלוחים ללא מגע – השליחים ישאירו את האוכל ליד הדלת ויעזבו את המקום.
ארגון הבריאות העולמי (WHO) הודיע השבוע שההתנפלות ההמונית על מסיכות פנים וציוד נוסף מובילה למחסור בציוד מגן לעובדי רפואה. בפייסבוק, שמרשים לפוליטיקאים לשקר בפוסטים וגם במודעות, החליטו להסיר מודעות פוליטיות שיש בהן שקרים על מגיפת הקורונה, וביום שישי הודיעו שהם חוסמים מודעות למסיכות פנים בפייסבוק ובאינסטגרם.
יש מחסור, המחירים עולים, ואנחנו מתנגדים לכך שאנשים מנצלים את מצב החירום הרפואי הציבורי הזה.
מנכ”ל אינסטגרם, אדם מוסרי, מודיע בטוויטר על המדיניות החדשה
מגיפת הקורונה 🎨 _freakwave_
תחת מגיפה גלובלית ובהיעדר מוסדות שלטון מתפקדים מזה יותר משנה, משרד הבריאות שלנו מצליח לתפקד אונליין באופן מעורר הערכה. הוא פתח אפליקציה וחשבון טלגרם, והוא מעדכן בהם ברציפות לגבי חשודים ונשאים של וירוס הקורונה החדש – כולל בשישבת. קצת פחות מרשימה ההתמודדות באקסווב – ישראלי שחזר ממדינה שמביאה לבידוד סיפר שבשדה התעופה שלחו אותו לחפש את עצמו בדלפק המודיעין, והוא בחר לקחת מונית אף שיכול היה, עקרונית, לנסוע ברכבת, אם ישראל היתה מדינה מתקדמת שבה גם ביום שישי יש רכבת מתפקדת משדה התעופה העיקרי לעיר העיקרית.
ובינתיים בסין, המדינה שמייצאת לעולם את הצעקה האחרונה בתחום המגיפות: ניסויים טכנו-חברתיים בבני אדם אינם חדשים לסין, ובהם חומת אש סינית לצנזורה של האינטרנט ודירוג חברתי. “עופר סין”, ישראלי שעובד בסין ונמצא עם משפחתו בבידוד כבר 45 יום, מדווח על ניסוי חדש: אפליקציית דירוג רפואי. האפליקציה מתעדכנת במצבו הרפואי-קורוני של כל אדם לפי בדיקות חום שמתבצעות בו במקומות ציבוריים (למשל, בסטארבקס), ומתעדת גם את המקומות שבהם ביקר, למקרה שיתגלה כנשא בדיעבד ויהיה צורך לשחזר את רשימת המקומות שבהם ביקר.
האפליקציה מעניקה לאדם דירוג רמזורי: ירוק = בריא ורשאי להסתובב ברחוב ולהיכנס למקומות ציבוריים; צהוב = בהמתנה, לא רשאי לצאת; אדום = נשא או חולה, חייב להסתגר, לא יכול לנסוע בתחבץ ולא יכול להיכנס למקום העבודה. מי שלא מתקין את האפליקציה ממילא לא יוכל לעשות כלום מלבד להישאר בבית.
“אתה יודע מה קורה עכשיו בסטארבקס כאן בהאנגזו?”, רמי אומר לי בפלאפון ושולח לי מיד כמה תמונות שצילם בבית הקפה הפתוח.
“אתה מגיע לבית קפה ודבר ראשון אתה מראה את אפליקציית הבריאות שיש לך בטלפון”, רמי אומר לי.
“האפליקציה של הבריאות” היא סיפור פה. זה עניין מורכב. מצד אחד יודעים עלייך הכל, מצד שני – חייבים לנהל את האנשים כדי למגר את הווירוס ובסין נחושים להילחם במגיפה ולסיים אותה. אז בטלפון הנייד יש לכולם אפליקציה עם בר קוד בצבעים משתנים. “אם יש לך צבע ירוק באפליקציה זה אומר שנכון לעכשיו אתה בסדר ואתה יכול להיכנס לבית קפה”, רמי מסביר. “הצבע הירוק מאפשר לך גם להסתובב ברחוב, לפגוש אנשים. אם אתה לא ירוק אלא צהוב זה אומר שאתה בהמתנה ולא רשאי לצאת. אם אתה אדום אז אתה חולה או נשא ולא תוכל לנסוע בתחבורה ציבורית, לא תוכל להיכנס למתחם העבודה שלך. אם אתה לא ירוק אתה מסכן את הציבור וחייב להסתגר ולטפל בעצמך”.
ואם מישהו לא מוכן להתקין את האפליקציה? אני שואל את רמי.
“אז אתה לא יכול לעשות כלום. רק להישאר בבית”.
איך מזינים לאפליקציה נתונים על מצב הבריאות שלך? רמי שוב מסביר: “בכל מקום שאתה הולך אליו בודקים את החום שלך. בסטארבקס למשל, שהגעתי אליו עכשיו, בודקים לכל אחד את החום, לוקחים פרטים ורושמים את שעת ההגעה שלך. ככה יאתרו אותך יותר מאוחר אם יהיה צורך”.
“יש אנשים?” אני שואל אותו.
“כן, מתחילים לחזור פה לאט לאט לשגרה, אבל חוזרים בזהירות. תסתכל על השולחנות. לכל שולחן יש כיסא אחד. אסור לשבת אחד מול השני בבית הקפה ואסור להזיז את הכיסאות. יש כאן זוג בבית הקפה. הם הגיעו ביחד, אבל יושבים בשני שולחנות שונים ומשוחחים באלכסון”.
“מה אצלנו?”, אני שואל את ננה, “איך האפליקציה של המחוז שלנו?
היא מחפשת בנייד שלה כי לכל מחוז יש את שיטת הבדיקה שלו. מוצאת את האפליקציה ומראה לי. אנחנו כולנו בצבע שחור. אצל הסינים אין חוכמות.
עופר סין מעדכן בפייסבוק על אפליקציית הבריאות החדשה בסין
עת התעטשתי הרופאים המליצו לי
— ממים אקטואלים 🔥 (@hebmeme) March 7, 2020
בידוד חודשי בנמל התעופה.
זה באמת עושה לי טוב לראות
בידוק נטוש בתוך ליחה שקופה.
אח”כ יורד גם הלחץ על הריאה הדלופה.
שר ביטחון שלא יכול לשמור על חשבון הטוויטר שלו, גם לא יוכל לשמור על ביטחונם של אזרחי ישראל וחיילי צה”ל
(📜)
הטוויטר של שר הבטחון נפתלי בנט נפרץ 🎨 עומר גרזון
כשר בטחון, נפתלי בנט נפל קורבן לפריצת חשבון הטוויטר שלו אור ליום שבת. ההאקרים פרסמו ציוצים בעד שחרור פלסטין ונגד המערב, ואת דגלי פלסטין וטורקיה. רן בר-זיק, שחשף את דבר הפריצה, סיפק מספר תסריטים אפשריים:
- Credential Stuffing: ניצול פרטי התקשרות (שם משתמש+סיסמה) שדלפו מאתר אחד, ואשר המשתמש ממחזר במספר חשבונות, ובהם פרופיל הטוויטר
- קמפיין פישינג ממוקד: שליחת אימייל/הודעה לקורבן שיטעו אותו לחשוב שהם מטוויטר, ויגרמו לו להזין את פרטי ההתקשרות שלו באתר מפוברק ששולח אותם ישירות להאקרים
- תקיפת הטלפון/מחשב של הקורבן: שאיבת הסיסמה/הסשן מהמכשיר, או תפעול טוויטר ישירות מהמכשיר הנפרץ. בר-זיק מסביר כי “מקרים אלו מצריכים תחכום יוצא דופן ונדיר שתוקפים מפעילים אותם נגד אנשים מהשורה. אם אתם אישיות בטחונית מאוימת, סביר להניח שתצטרכו להשתמש בטלפון מוקשח ותקבלו הנחיות מגורמי הבטחון. אם אתם אישיות עסקית בכירה, סביר להניח שתקבלו הנחיות מגורמי האבטחה בחברה”.
- פריצה לטוויטר עצמה: אפשרות בלתי סבירה, מאחר שפריצה כזו שווה פעולה הרבה יותר משמעותית מהשחתת דף הטוויטר הפרופיל של שר בטחון זמני
מהטלפון של שר הביטחון דלפו תמונות מביכות שלו בהן הוא נראה מדבר עם יונה
— Khantom Of The Opera (@TheMisterKhan) March 7, 2020
בין המתגלצ’ים היו שהגיבו שפריצת ראווה כזאת, שכוללת רק השחתה של הפרופיל בציוצים, מביכה אך אינה מזיקה או מסוכנת. זה לא נכון. למשל, ההאקרים יכולים היו לצייץ בשם בנט תמיכה ביוזמת כחול-לבן וליברמן לחוקק חוק שימנע מנאשם בפלילים להקים ממשלה, להשמיץ את נשיא ארה”ב או להכריז שישראל יוצאת למבצע קרקעי בעזה.
(זה קרה בצוק איתן, כשהאקרים השתלטו על הטוויטר של דובר צה”ל ודיווחו שטילים נפלו על הכור הגרעיני בדימונה. למרבה המזל אף אחד לא מאמין לדו”ץ, אז לא נגרם נזק).
חבל שהפורצים לחשבון של בנט כל כך חסרי מעוף. יכלו לצייץ שהוא תומך ביוזמה של ליברמן וכחול לבן לחוקק חוק שימנע מראש ממשלה לכהן עם כתב אישום. לא היה מספיק פופקורן בעולם
— Elad Itzhakian 🇮🇱🏴🍻 (@elad_itzhakian) March 7, 2020
“הלילה אנחנו יוצאים למבצע קרקעי נרחב ברצועת עזה, ואנחנו לא לוקחים שבויים. תושבי הדרום נקראים לפנות את בתיהם ולנוע צפונה בהקדם”. סתם דוגמה למה שההאקרים היו יכולים לצייץ בשמו במסגרת ה”לא מחדל” הזה ולהצית מלחמה
— עידוק (@idokius) March 7, 2020
דקות אחרי הפריצה לטוויטר של בנט, הציוצים של ההאקרים נמחקו – אולי בזכות דיווחים של גולשים ואולי בזכות עירנותם של אנשי הסושיאל של בנט. חדשות 13 דיברו עם לשכתו של השר, משם נמסר להם כי הפריצה נמשכה רק כמה שניות (תירוץ דומה השמיע צוריאל ימין, מנהל אלקטור, בתשובה לעתירה לוועדת הבחירות נגד הדולפה שלו שדרכה דלף פנקס הבוחרים המלא של ישראל עם פרטי 6.4 מיליון בוחרים).
התגובה הזאת מטופשת, מאחר שהיתה פריצה, היא נמשכה די זמן לאפשר להאקרים לפרסם לפחות 3 ציוצים, ואין לדעת אילו עוד מעשים הם הספיקו לעשות לפני שנסגרה (העתקת טיוטות, הורדת עותק ארכיון, קריאת דיאמים). התגובה הזאת גם שקרית, כי הפירצה נמשכה לפחות 7 דקות, הזמן שעבר בין הציוץ הראשון לאחרון, וחלק מהציוצים היו באוויר לפחות 13 דקות.
בתגובה שנמסרה מאוחר יותר לאור הלר, אנשי בנט שינו גירסה:
חשבון הטוויטר של שר הביטחון, נפתלי בנט, נפרץ אמש בסביבות השעה 2 בלילה. הפריצה ארכה מספר דקות. התכנים נמחקו באופן מיידי, וכן הוחלפה סיסמת הגישה אל החשבון. הנושא הועבר לטיפול גורמי הסייבר המוסמכים במערכת הביטחון.
הלר דיווח מוקדם יותר כי “במערכת הביטחון חוקרים האם ובאיזה היקף נגרם נזק בטחוני בפרשה. גורמי מודיעין וסייבר חוקרים האם גם הטלפון הנייד של בנט נפרץ חוץ מחשבון הטוויטר שלו”.
הסבון בכה מאוד
בפתיחת הפינה אנחנו שומעים היום את שיר שטיפת הידיים שהוציאו במשרד הבריאות של וייטנאם.
אבל מי שמתגעגעים לשיר הקבוע, Never Gonna Give You Up, מוזמנים לזמזם אותו לעצמם בזמן שהם שוטפים ידיים לפחות 20 שניות.
Never Gonna Give You COVID19 🎨 9GAG
הפינה “האחראי על האינטרנט” משודרת מדי שבת ב-19:30 בתוכנית “שישבת” בהגשת עידן קוולר בגלצ 
אות פתיחה: ניאן קאט של daniwell, ביצוע גיטרות לניאן קאט של The GAG Quarter והשיר Never Gonna Give You Up של ריק אסטלי 
תודה להדר בן יהודה ולרומי יצחקי על העזרה באיסוף הידיעות 
🧼 מאבק במנצלי הקורונה, מלחמה בזיהוי פנים במוסדות לימוד ודיסני משתיקים את ג’ון אוליבר 📻 האחראי על האינטרנט בגלצ, 29.2.2020
קורוניישן
לפני שבועיים ערך ארגון הבריאות העולמי (WHO) פגישה עם חברות הטכנולוגיה והטכנומידע של עמק הסיליקון במטה חברת הריגול פייסבוק במנלו פארק, קליפורניה, במאמץ להילחם במה שאנדי פטיסון מהארגון הגדיר כ”infodemic” – מגיפת מידע שגוי על וירוס הקורונה.
בפייסבוק הודיעו השבוע על הצעדים החדשים. דובר מטעם פייסבוק אמר לביזנס אינסיידר:
החלנו לאחרונה מדיניות שאוסרת פרסום מודעות שמתייחסות לווירוס קורונה ויוצרות תחושת דחיפות, למשל רומזות שיש מלאי מוגבל, או מבטיחות תרופה או מניעה. יש לנו גם מדיניות למקומות כמו [זירת המסחר המקוון של פ”ב, ] המרקטפלייס, שאוסרת התנהגויות דומות.
זאת בנוסף למדיניות שעליה הכריזו פייסבוק בסוף החודש שעבר, לצמצם את הפצת המידע השקרי והפייק ניוז על קורונה:
- בודקי עובדות יזהו ויסמנו מידע שקרי על קורונה, ויצמצמו את תפוצתו ברשת
- התראה לאנשים שמשתפים מידע שקרי כזה
- הסרת מידע שקרי ותאוריות קשר שעלולים לפגוע באנשים שמאמינים בהם, ואשר סומנו ככאלו על ידי ארגוני בריאות גלובליים ומקומיים – למשל, נסיונות להניא אנשים מלקבל טיפול או לנקוט באמצעי זהירות, תרופות ואמצעי מניעה שקריים (“שתיית אקונומיקה מרפאת חולי קורונה”)
- הגבלה או חסימה של השתגים שמשמשים להפיץ דיסאינפורמציה באינסטגרם
באמזון מנסים להילחם בהפקעת מחירי מסיכות. בחברה שלחו אזהרה לסוחרי מסיכות שעוברים על מדיניות התמחור של אמזון, ומחקו רשומות של מסיכות שנמכרו במחירים מופקעים. מהחברה נמסר לוויירד:
[באמזון] מאוכזבים שגורמים בעלי כוונות רעות מנסים להעלות מחירים באופן מלאכותי על מוצרים בסיסיים בזמן משבר בריאות גלובלי, ובהתאם למדיניות הוותיקה שלנו, חסמנו או הסרנו אלפי הצעות מכירה.
בנוסף, בחברה הסירו רשומות מכירה של מוצרים שהמוכרים ייחסו להם יכולות רפואיות כמו מניעת התפשטות המגיפה, חיסול הווירוס, טיפול בחולים, ריפוי וכיוצא בזה. לפי מכתב שאמזון שלחו לסוחרים שמוצריהם הוסרו, אסור למכור בארה”ב מוצרים שמבטיחים הבטחות כאלו בלי לקבל אישור ממנהל המזון והתרופות (FDA).
בעצם הקורונה באה כדי לעזור ארגונים להבין שעבודה מהבית זו נורמה בעולם העבודה החדש ואופן ספייס זה רעה חולה בלתי אפקטיבית שצריך לעקור מהשורש. תודה קורונה!
— Koya (@KoyaTLV) February 26, 2020
ובינתיים, בישראל: אתר בדיקת השמועות “לא רלוונטי” העלה עמוד בדיקת שמועות על וירוס הקורונה.
הליכוד: חולה הקורונה הישראלי נגע בכל הפתקים של כחול לבן, היזהרו מלגעת בפתקים הללו בשבועיים הקרובים
— Shelly Pritzker (@shellypritzker) February 27, 2020
סתום ת’פה, אוליבר
It’s Modi and the Don with the Strongman Song! #PuppetRegime
— ian bremmer (@ianbremmer) February 28, 2020
Watch more PUPPET REGIME: https://t.co/FOJPiR08S3 pic.twitter.com/CpOxtwfQTN
דיסני השתיקו את ג’ון אוליבר כדי לרצות את ר”מ הודו, נרנדרה מודי.
הפרק העדכני של תוכניתו של אוליבר, Last Week Tonight, הוקדש לביקורו ההיסטורי בהודו של נשיא ארה”ב (הוא באמת נשיא ארה”ב, זו לא קונספירציה של דמוקרטים כמו הקורונה) דונלד טראמפ. בין השאר אמר שם אוליבר:
בעוד מודי הקסים […] את העולם ואת נשיאנו הנוכחי, בהודו הוא דמות יותר ויותר שנויה במחלוקת בגלל רדיפת המיעוטים הדתיים המסלימה של ממשלו. נקודת האור היחידה כאן היא שאולי לראשונה במהלך הקריירה של מודי, מעשיו גוררים תגובת נגד מסיבית ומתמשכת.
פלטפורמת האינטרוויזיה ההודית הוטסטאר שבבעלות דיסני חסמה את הפרק, כך דווח ברשת בלומברג (📁). בהוטסטאר לא הגיבו, ונציג משרד המידע והשידור ההודי אמר שהממשל לא היה מעורב בהסרת התוכנית.
הודו של מודי אחראית לחסימת האינטרנט הארוכה ביותר במדינה דמוקרטית – ג’אמו וקשמיר, שמודי ביטל את מעמדן המיוחד, היו אופליין 150 יום, וגם אחרי קביעת ביהמ”ש העליון שמודי יבחן מחדש את החסימה, חיבורי האינטרנט מוגבלים ומנוטרים.
הגלובליזציה של האינטרוויזיה והטלוויזיה מעמתת גופי הפקה והפצה עם סוגיות זכויות יוצרים, חוקים מקומיים וצנזורה. בשנה שעברה, אמזון חסמו לצופיהם בהודו פרק של הסדרה “מזכירת המדינה” של CBS, שבו נשמעה התייחסות ללאומנות וקיצונים הינדואים ב”קשמיר שתחת הכיבוש ההודי”. נטפליקס חסמו בסעודיה פרק של Patriot Act עם חסן מינאז’ שביקר את הנסיך הסעודי מוחמד בן סלמן, כפי שסיפרנו בהסכת סייברסייבר:
פרצופה של המדינה
ביום שני יצויין בארה”ב יום המאבק נגד זיהוי פנים ביומטרי בקמפוסים. באתר הקמפיין יש רשימה של קמפוסים שמשתמשים בזפ”ב, כאלו שעלולים להשתמש בו בעתיד ואלו שהתחייבו להימנע מכך, ואפשרות לחתום על עצומה מקוונת. יותר מ-150 אנשי אוניברסיטאות ומכללות חתמו על מכתב פתוח שקורא להפסיק שימוש בזיהוי פנים ביומטרי בקמפוסים.
ובינתיים, בצרפת: ניסוי זיהוי פנים ביומטרי בבתי ספר בדרום המדינה סוכל באמצעות תביעה שהגיש ארגון זכויות דיגיטלי.
ב-2018 החלו הרשויות במהלך לביצוע ניסוי זיהוי פנים ביומטרי בשני תיכונים אזוריים בניס ובמרסיי, כשהן חותמות על חוזה עם סיסקו לאספקת הטכנולוגיה הנחוצה. בפברואר 2019 הגיש ארגון La Quadrature du Net תביעה בנסיון לסכל את ההחלטה. באוקטובר 2019 הודיעה רשות הגנת המידע הצרפתית (Commission Nationale de l’Informatique et des Libertés (CNIL)) הודיעה שהניסוי מנוגד לחוק, אולם המחוז ניסה להמשיך עם הניסוי למרות זאת, על ידי סיווגו כ”נסיוני”.
כעת פסק בית המשפט המנהלי במרסיי שלרשויות המחוז אין סמכות לקבל החלטה כזו, אלא רק לבתי הספר עצמם; וכי בהיעדר אפשרות של התלמידים לתת הסכמה מרצון, הניסוי נוגד את חוקי GDPR האירופאים. ארגון La Quadrature du Net הודיע שימשיך לפעול לאיסור מוחלט על שימוש בטכנולוגיית זיהוי פנים.ניסוי דומה, שנערך באוגוסט 2019 בבית ספר בצפון שוודיה, הביא את רשות הגנת המידע השוודית לקנוס את העיר ב-200 אלף קרונות (כשבעים אלף ש”ח) על הפרת כללי ה-GDPR.
הפינה “האחראי על האינטרנט” משודרת מדי שבת ב-19:30 בתוכנית “שישבת” בהגשת עידן קוולר בגלצ אות פתיחה: ניאן קאט של daniwell, ביצוע גיטרות לניאן קאט של The GAG Quarter והשיר Never Gonna Give You Up של ריק אסטלי תודה להדר בן יהודה על העזרה באיסוף הידיעות
✡️ דליפות כחול-לבן: תחי מדינת ישראסייברסייבר! 🐱💻 סייברסייבר ע02פ18
דליפות חדשות: 70 אלף תעודות זהות, חוגר וקצין מיישומון 1824 • מידע מהסלולרים של משתמשי שירות הסינון פיורסייט • 4000 עובדי מגה 🤑 פרק זה בחסות סנטינל1
👂 להאזנה ומנוי לסייברסייבר באפליקציות השונות 🔊
חסות
מחקר של SentinelOne גילה קשר בין הפושעה TrickBot לבין קבוצת ההאקרים לזרוס, המקושרת לצפון-קוריאה ובין השאר לפריצה לסוני. החברה גייסה לאחרונה 200 מיליון דולר, ועכשיו מחפשת עובדים. להגשת קו”ח >>
הערותוכנית
הפרק הזה מוקדש לפירצות אבטחה כחול-לבן, שרן לוקאר ונעם רותם חשפו באמצעות סורק הסייברסייבר שלנו.
אפליקציית 1824, “מועדון צרכנות דיגיטלי”, דלפה 76 אלף תעודות זהות, דרכונים, רשיונות נהיגה ופנקסי חוגר וקצין של ישראלים, כולל מטאדאטה של מיקום, כלומר מידע היכן הם צולמו (למשל, בבסיסי צה”ל). הקבצים היו נגישים לכל אדם בעל כלי הפריצה המתוחכם דפדפן ללא צורך בהזדהות או בסיסמה, דרך דלי בשם “1824-files” באמזון.
נקודת אור בפירצה הזאת: חלק מהמשתמשים מחקו פרטים לא רלוונטיים מצילום התעודה לפני ששלחו אותה.
ממפעילי 1824 נמסר לסייברסייבר:
לאחרונה, קיבלנו התרעה מרשות הסייבר הלאומית על תיקיית נתונים שהייתה מוגדרת ב aws כציבורית ולא כפרטית. כתוצאה מכך רוקנה התיקייה מתוכנה על ידינו וההגדרות שונו. כמו כן, בוצעה חסימה הרמטית ופרצת האבטחה טופלה באופן מהיר ומיידי. חשוב להדגיש כי לא נחשפו פרטי לקוחות או פרטים אישיים כלשהם לגורם חיצוני.
אנו מודים על ההתרעה שבעצם מנעה זליגת מידע. נציין שהמידע לא דלף ומאובטח ברמה הגבוהה ביותר.
חברת PureSight מספקת שירות סינון אתרים/”בקרת הורים” בווייטלייבל לאלפי משתמשים דרך ספקי אינטרנט בישראל (בהם פרטנר, בזק, בזק בינלאומי, סלקום ואקספון) וליותר מ-15 מיליון ילדים ב-32 מדינות בסך הכל, לפי נתונים באתר החברה. פיורסייט דלפה יותר מ-700 אלף קבצים, שאוחסנו על באקט אמזון פתוח, עם מידע שנלקח מטלפונים שעליהם הותקנה התוכנה, ואשר כלל תמונות ילדים, התכתבויות, אנשי קשר וצילומסכים מאתרי פורנו (ואפילו פורנו פדופילי).
מפיורסייט נמסר לאמיתי זיו מדה-מרקר:
טיפלנו בפירצה ברגע שהדיווח הגיע אלינו אתמול אחר הצהריים. נכון לאתמול ב-17:00 נחסמה הגישה למידע. במהלך הלילה ביצענו בדיקות מקיפות כדי לוודא שאכן נחסמה הגישה לתכנים. נמשיך לפעול במטרה להגן על המידע של לקוחותינו, ובמקרה של תקלה נטפל בה באופן מיידי.
אתר ועד העובדים של מגה (כיום בבעלות יינות ביתן) דלף פרטים על יותר מ-4000 עובדים. מלבד פירצת הזרקת SQL, אפשר היה להיכנס לאתר באמצעות שם משתמש שמורכב מחמש ספרות (מספר העובד) ובלי סיסמה, ולבצע חיפוש ברשימה המלאה של העובדים.
מוועד עובדי מגה נמסר לסייברסייבר:
מדובר בפורטל עובדים ישן, שאינו פעיל ושימש בעיקר לשליחת ברכות יום הולדת לעובדים. את המידע בפנייתכם העברנו לאנשי ה-IT בחברה, שמצאו כי בעקבות תקלה שאירעה לאחרונה, הפורטל המשובת [כך במקור, ע”ק] עלה שוב. הפורטל הושבת בימים האחרונים באופן סופי והשרת הושמד. מחלקת ה-IT בחברה עדכנה את הוועד כי הופקו לקחים בכדי למנוע הישנות מקרה דומה.
חסות
VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.
מזכים
סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, חדר 404; נעם רותם, מעבדות סייברסייבר 🔔 קולות: נועה / אריק לביא, ספלאט / foolboymedia cc-by, התפוז המכני / סטנלי קובריק, האקדח מת מצחוק, תשדיר שירות שיחה ממתינה / בזק, רכבת לילה לקהיר / משינה, Night Boat to Cairo / מאדנס, ריק ומורטי, ABC / חמישיית ג’קסון, The Interview (1, 2), הוא הבוס – גיבורי הציונות / היפופוטם, המנון צה”ל, מאה מיליארד דולר, מיליון דולר / אוסטין פאוורז יש חור בדלי / Sesame Street; היום יום הולדת (369147) / InspectorJ cc-by; מפלצת (249686) / cylon8472 cc-by 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Fauna vs. Killah B – Los Piratas Del Reggaeton (Futuristic Dance Squad Viaba Mashup) by Futuristic Dance Squad (רשיון cc-by) 👨🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים
📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cyber@podacsti.co
ה-#Leakud: הלו, משטרה? מישהו מצא אצלנו פירצת אבטחה, תעצרו אותו!
למפלגת הליכוד יש שני מנהגים מגונים:
- לדלוף מידע רגיש דרך פירצות אבטחה
- להתלונן במשטרה על הפירצות שלהם עצמם.
המידע שפרסמתם הינו פריצה לא חוקית לפעילות הליכוד. הנושא טופל ברמת אבטחת המידע. נגיש תלונה במשטרה.
תגובת הליכוד לכתבה “הליכוד דלף מאגר מידע עם פרטים אישיים של מצביעים ויחסם למפלגת השלטון” / חגי עמית, דה-מרקר, 9/9/2019
בדיקות שביצעו חברות סייבר מובילות ששכר הליכוד מצביעות על מתקפה זדונית של גורם חיצוני. הליכוד פועל לאתר את מקור הפעילות העבריינית ויבחן הגשת תלונה למשטרת ישראל.
תגובת הליכוד לחשיפת רן בר-זיק ונעם רותם בסייברסייבר, “הליכוד ממשיך לדלוף את ספר הבוחרים המלא” / עומר כביר, כלכליסט, 16.2.2020
וטרי מהיום, אחרי שבתגובה הראשונה שלהם הם ירו על אוטומט ושלחו את הכתב לקבל את תגובת אלקטור, שלא קשורים לדליפה הנוכחית:
ניסיונות התקיפה הפליליים של אתרי הליכוד מבוצעים ע״י עבריינים שפועלים באופן שיטתי כדי לפגוע בליכוד ובהליך הבחירות. הליכוד הגישה תלונה נוספת למשטרה ואנו מצפים לפעולות מהירות שלה לתפיסת העבריינים
תגובת הליכוד לחשיפת סייברסייבר: ” / עומר כביר, כלכליסט, 22.2.2020
והנה המקרה היחיד שבו התלונה למשטרה היא התשובה הנכונה:
לאחר שאתמול נחשפו בכלכליסט הודעות SMS סותרות שנשלחו לפעילי ליכוד בנוגע לאפליקציית דרבון הבוחרים אלקטור, ממשיך טרול מסתורי להתל בליכודניקים עם הודעות SMS יצירתיות במיוחד: “חברים יקרים, כל תמונותיכם גובו בהצלחה לענן וישותפו בקרוב בין כל הפעילים על מנת ליצור תחושת משפחתיות”, נכתב באחת מהן. מקור בליכוד: “הגשנו תלונה במשטרה”
תגובת גורם בליכוד לפרסום על סמסים מטרילים שנשלחים לכאורה מהמספר שראש הממשלה פרסם: “הסמסים הכוזבים לפעילי הליכוד נמשכים: ‘תשלום של 180 שקל בחודש ייגבה אוטומטית מחשבונכם'” / עומר כביר, כלכליסט, 21.2.2020
הליכוד-אלקטור ממשיכים ב-#Leakud, מייקל בלומברג מאבד בוטומכים, גטטקסי נתבעים על אפליית ערבים 📻 האחראי על האינטרנט בגלצ 22.2.2020
עדכון 20:25: דליפה שלישית בליכוד
זמן קצר לאחר שידור הפינה בגלצ חשפנו ב”סייברסייבר” עם עומר כביר מכלכליסט דליפה שלישית של ספר הבוחרים מהליכוד. תגובת הליכוד: “תפנה לאלקטור”. תגובת הליכוד אחרי שהובהר להם שהפירצה באתר שלהם ולא באלקטור: “לא נגיב”.
<עדכון 20:52> בתגובה מעודכנת, ה-#Leakud ̶ל̶ו̶ק̶ח̶י̶ם̶ ̶א̶ח̶ר̶י̶ו̶ת̶ ̶ו̶מ̶ש̶מ̶י̶ד̶י̶ם̶ ̶א̶ת̶ ̶ה̶מ̶א̶ג̶ר̶ מתנערים: “ניסיונות התקיפה הפליליים של אתרי הליכוד מבוצעים ע״י עבריינים שפועלים באופן שיטתי כדי לפגוע בליכוד ובהליך הבחירות. הליכוד הגישה תלונה נוספת למשטרה ואנו מצפים לפעולות מהירות שלה לתפיסת העבריינים”.
הליכוד-אלקטור: ממשיכים בהמשכה
אני צריך את העזרה שלכם כדי שננצח בבחירות. סמסו עכשיו מחל למספר 0529996226
— Benjamin Netanyahu (@netanyahu) February 18, 2020
בשבוע שעבר חשפנו בהסכת “סייברסייבר” פירצת אבטחה באפליקציית הבחירות אלקטור שהליכוד משתמש בה, שדלפה את כל ספר הבוחרים העדכני של מדינת ישראל עם פרטי 6.4 מיליון אזרחים. עו”דים שחר בן מאיר ויצחק אבירם צירפו פרטים עליה לעתירתם לוועדת הבחירות המרכזית, שבה דרשו לאסור את השימוש ביישומון. בתגובה לעתירה הודו היועמ”ש ורשות הפרטיות במשרד המשפטים כי בדיקת הרשות מצביעה על “אירועי אבטחה חמורים לכאורה ועל חולשות ופרצות שהתגלו לכאורה במערכת”, וכי “לא ניתן לומר באופן חד משמעי כי תקלה שהתרחשה, איננה עלולה לשוב על עצמה”. אולם היועמ”ש והרשות טענו כי אין לוועדה סמכות לאסור שימוש באפליקציה.
ביום ראשון חשפנו בסייברסייבר פירצה חדשה באותו מאגר. ביום שני דיווחה רפאלה גויכמן בדה-מרקר כי חבר מפלגה קיבל שיחה ממטה הליכוד, שבה דרשו לדעת מדוע הסיר את היישומון ממכשירו כמה שעות קודם לכן, ופעיל אחר הסיר אותו ואחרי שתי דקות קיבל סמס שמבקש ממנו להתקין את האפליקציה; וכי הליכוד העניק גישה לאלקטור לקטין בן 13, הוכחה נוספת שבמפלגה אין שום פיקוח על זהות מקבלי הגישה ליישומון הדולף שמתממשק לספר הבוחרים.
ביום שלישי דחה יו”ר ועדת הבחירות, השופט העליון ניל הנדל, את העתירה לאיסור שימוש באלקטור (עו”דים בן מאיר ואבירם עתרו לבג”ץ למחרת). הנדל אמר שרשות הפרטיות צריכה לטפל בבעיה. הוא גם אמר שישקול קבורה מפוארת לתלונה – או במילותיו, יקים ועדה:
נכון שאשקול למנות לאחר מערכת הבחירות הקרובה ועדה ציבורית בראשות שופט בדימוס של בית-המשפט העליון, שתבחן לעומק נושאים בדיני הבחירות המקיימים ממשק עם דיני הגנת הפרטיות על כל ענפיה, לרבות חשאיות הבחירות, תוך התייחסות גם לפיתוחים הטכנולוגיים שהפכו דומיננטיים במערכות הבחירות בשנים האחרונות.
מתוך החלטת ועדת הבחירות המרכזית לדחות את העתירה לאסור שימוש באלקטור
רשות הפרטיות הודיעה באותו יום שתבחן את סגירת האורוות אחרי שכל הסוסים ברחו מהאורווה, נמסרו תמורת ממלכה, נבדקו בשיניים והפכו לדבק:
הרשות להגנת הפרטיות בוחנת את אופן עמידתן של כלל המפלגות המתמודדות לכנסת ה-23 בהוראות חוק הגנת הפרטיות והתקנות מכוחו
במסגרת הליך הפיקוח הרוחבי הרשות בוחנת, בין היתר, האם המפלגות מחזיקות בנהלים בכל הנוגע לשימוש במידע מתוך פנקס הבוחרים, מה הם השימושים שעושות בו והאם הן מקיימות את רמת אבטחת המידע הנדרשת מהן, על פי הוראות חוק הגנת הפרטיות והתקנות מכוחו.
כמו כן, בודקת הרשות מי הם בעלי ההרשאות לגישה למידע והאם המפלגות מעבירות את המידע לצדדים שלישיים לשימושים אחרים.
בנוסף לכך, הרשות בוחנת האם המפלגות עושות שימוש ביישומים לניהול מעקב ועדכונים אודות מצביעים בקלפי והאם נעזרות בחברות חיצוניות לשם כך. כמו כן, נבחנת עמידת המפלגות בסוגיית מחיקת המידע עם תום הבחירות וכן את האופן שבו הן מוודאות, במקרים בהן המידע מועבר לצדדים שלישיים, שאלה עומדים בדרישות החוק והתקנות בכל הנוגע לאבטחתו ולשימוש הראוי בו, על פי החוק והתקנות.
מתוך הודעת רשות הפרטיות
עוד גוף שהתעורר השבוע הוא מערך הסייבר הלאומי, שפרסם ביום חמישי קול קורא לבדיקות עמידת ספקים במתודת שרשרת אספקה של המערך. בדיקה כזו יכולה היתה להועיל לליכוד אם היה מבצע אותה על אפליקציית אלקטור לפני שהפקיר בידיה את ספר הבוחרים.
אקטיביסטים נגד הליכוד
ביום חמישי נפתח קמפיין דיסאינפורמציה סביב אלקטור. אזרחים קיבלו הודעות סמס, לכאורה מהמספר שנתניהו פרסם, שקראו להם להסיר את היישומון.
פעילים יקרים, תודה על שבחרתם להשתתף בקמפיין הליכוד. למרבה הצער התברר שאפליקציית אלקטור מסכנת את בטחונכם ולכן יש להסיר אותה באופן מיידי על מנת להגן על מכשירכם. פרטים נוספים יסופקו לכם ישירות על ידי רכז האזור.
אנחנו פועלים על מנת לאבטח את האפליקציה עך מנת [השגיאה במקור, ע”ק] למנוע מפעילי שמאל להשתלט לכם על הטלפונים, עד שיסתיימו העבודות יש להסיר אותה ולהתעדכן אצל רכז האזור בכל התפתחות
הודעה שלישית מאותו מספר קראה להתעלם מכל הודעה נוספת “שמגיעה כביכול מטעם הליכוד”.
במקביל נשלחה למשתמשי אלקטור הודעות פוש, שבה נטען שהקריאה להסרת היישומון “היא פייק ומטרתה לחבל בקמפיין הליכוד”. ההודעה היתה חתומה, משום מה, על ידי “מטה ההסברה של הליכוד”. הליכוד האשימו בציוץ בטוויטר שלהם כי “כחול לבן מפיצים פייק ניוז הקורא לתוכי הליכוד להסיר את אפליקציית ‘אלקטור'”, וקראו לפעילים להמשיך ולהשתמש בה. עוד פוש של אלקטור טען כי “בהמשך להודעות הכוזבות והזדוניות, שמטרתן לחבל בקמפיין הליכוד – התנועה הגישה תלונה רשמית”, אולם לא נאמר למי הוגשה התלונה. סמס נוסף לכאורה מהמספר של נתניהו קבע כי “ההודעה בנוגע למערכת האלקטור היא כולה פייק ניוז ‼ לא יעזור ליריבינו הפוליטיים לתקוף ולהשמיץ את מערכת האלקטור. המערכת עובדת ומתפקדת היטב ואיתה ואיתכם אנחנו בדרך לניצחון המיוחל!”
פרופילים וקבוצות של תומכי ליכוד הפיצו הודעה קולית, לכאורה בקולו של נתניהו, שבה הוא נשמע אומר:
בשעות האחרונות היריבים שלנו מפיצים הודעות פייק שקוראות לפעילים שלנו לא להשתמש באלקטור. תשמשו גם תשמשו. אל תשמעו להודעות הפייק האלו. האלקטור הוא מכשיר מצוין להוציא את 300 אלף תומכי הליכוד שלא הצביעו שיבואו הפעם כן להצביע כדי להביא ניצחון ענק לליכוד. תשמשו באלקטור וננצח.
ביום שישי נשלחו שני סמסים, לכאורה מהמספר שנתניהו פרסם, ובהן נכתב:
“כל תמונותיכם גובו בהצלחה לענן וישותפו בקרוב בין כל הפעילים על מנת ליצור תחושת משפחתיות, כי הליכוד זו משפחה! על מנת לייצר חוויה מיטבית אנא אפשרו גישה לשירותי המיקום שלכם. להסרה השיבו: הסר.
אם יש תמונות במכשיריכם שלא תרצו לשתף, אנא שלחו אותן בצירוף המילים ‘לא לשתף’ למספר: 0529996226. אם ברצונכם לא לשתף את המיקום שלכם לכל משתמשי האפליקציות שלחו את המילים ‘ללא מיקום’ למספר 0529996226. אם ברצונכם לא לאפשר גישה למכשירכם כלל אנא הסירו את האפליקציה ופנו לרכז האזור לאמצעי קשר חלופיים.
מהליכוד נמסר בתגובה לעומר כביר מכלכליסט:
בשעות האחרונות מופצת הודעה שקרית לפעילי ליכוד שקוראת להסיר את תכנת אלקטור. ההודעה היא פייק ומטרתה לחבל בקמפיין הליכוד.
מאלקטור נמסר:
ההודעות לא נובעות מאלקטור, אלא מדברות עליו. איש לא השתלט על החשבון. מדובר במשלוח סמס אגב התחזות שהמקור הוא מספר הטלפון הזה, בדיוק כפי שעושות כל החברות שנותנות שירות מענה טלפוני במיקור חוץ: שולחות סמס ללקוח, כאילו הוא מגיע ממי שצילצל אליו. במקרה שלנו מדובר בעבירה פלילית שנועדה להרוס את האמון ביישומון ניהול הבחירות היעיל ביותר הקיים, המותקף ביותר, והבטוח ביותר: כבר כמה ימים הוא נבדק ע”י מערך הסייבר הלאומי, ולא הועברה ולו הערה אחת.
זהו ערב עצוב למדינת ישראל.
— Benjamin Netanyahu (@netanyahu) February 19, 2020
מייקל בלומבוט
הדונלד-טראמפ-לעשירים מייקל בלומברג, שרכש את דרכו לעימות הדמוקרטי, שופך כסף כדי לקדם את עצמו באגרסיביות גם ברשת. בלומברג, מיליארדר, בעלי רשת התקשורת בלומברג ולשעבר ראש עיריית ניו יורק, הוציא מיליוני דולרים (📁) לשכור 500 אנשים שיעבדו 20-30 שעות בשבוע ב-2500$ בשבוע בהפצת מסרי תמיכה שהם מקבלים מצוות הקמפיין ברשתות החברתיות פייסבוק, טוויטר ואינסטגרם, וכן בהודעות לאנשי הקשר הפרטיים שלהם.
רבים מהחשבונות שמשפריצים את הפרסום הסמוי הזה הוקמו בחודשיים האחרונים, כשבלומברג עצמו נכנס למירוץ לנשיאות בסוף נובמבר אשתקד. הם פועלים כמה שמכונה “בובות גרב” – מקבלים את המסר מהקמפיין ומפיצים אותו כמו שהוא, בהמוניהם.
this is fucking dark pic.twitter.com/WfIlbBCgdk
— mindy🌷 (@lil_yenta) February 22, 2020
ביום שישי, בעקבות פניית הלוס אנג’לס טיימס, החלו טוויטר בהשעיית חשבונות שהפיצו מסרים של בלומברג – 70 מהם הושעו, חלק לצמיתות וחלק עד שבעליהם יוכיחו שהחשבונות בשליטתם. בין המושעים הן פעילים בתשלום והן תומכים וחברי צוות הקמפיין. מטוויטר נמסר:
נקטנו בצעדי אכיפה כלפי קבוצת חשבונות שהפרו את הכללים שלנו נגד מניפולציה וספאם.
הכללים האמורים נכנסו לתוקף בספטמבר שנה שעברה, כתגובה לפעילות הטיית הבחירות של רוסיה במירוץ לנשיאות ארה”ב ב-2016.
מטעם קמפיין בלומברג נמסר:
אנחנו מבקשים מכל סגני מארגני השטח [השם שנתנו בקמפיין לפעילים בתשלום, ע”ק] יזדהו בפרופילים שלהם כמי שעובדים מטעם קמפיין מייק בלומברג 2020. באמצעות [אפליקציית הפעלת התומכים] Outvote, אנשי צוות ומתנדבים משתפים תוכן לרשת החברים והמשפחה שלהם, ולא היתה כוונה להטעות איש.
גטתביעה
חברת תיווך הנסיעות במונית גטטקסי השיקו ב-2015 את שירות “גט מהדרין”, שמספק בירושלים מוניות שלא נוסעות בשבת ובמועדי ישראל, לאנשים שמעוניינים בכך מסיבות דתיות. אולם בפועל מדובר בשירות שנועד להפלות נהגים ערבים, טוען עו”ד אסף פינק בתביעה ייצוגית על סך 150 מיליון שקל שהגיש נגד החברה הישראלית.
התובעים תיעדו נציג גטטקסי שמגייס נהגים לגט מהדרין אומר ש”אני אגלה לך סוד – הגט מהדרין זה לא בשביל הדתיים, זה בשביל שלא רוצים נהג ערבי. אני הבת שלי היום רוצה לנסוע – אני מזמין לה גט מהדרין. לא אכפת לה אם דתי או לא דתי […] היא רוצה נהג יהודי. עכשיו, אני לא יכול לכתוב ‘אני רוצה נהג יהודי’. […] יש לי פה 1,500 נהגים ערבים, אפילו אחד מהם לא מהדרין. אחד לא יהיה”.
לפי קומוניקט של החברה, השירות הושק עם החתמת 200 נהגים על מסמך התחייבות לא לנהוג בשבת, שבהם גם נהגים לא יהודים (אין הלכה שקובעת שאסור ליהודי לנסוע ביום חול עם נהג לא-יהודי שנוסע בשבת או שאסור מונית שנוסעת בשבת). זו אותה התשובה שגטטקסי נתנו לגולשים שהתלוננו על השירות כגזעני נגד נהגים ערבים, וזו גם תגובתם לתביעה: “לעניין גט מהדרין – כל נהג מונית שמעוניין להימנות על צי זה, כולל נהג שאינו יהודי, יכול להצטרף אליו, ובלבד שיצהיר כי המונית אינה נוסעת בשבת ובמועדי ישראל”.
גט טקסי @gett שלום, אתם נותנים אחלה שרות אבל ה”מהדרין” (נהג יהודי) שלכם היא גזענות לשמה ולכן אני מסיר את האפליקציה pic.twitter.com/YxUZ2lfXaR
— Anshel Pfeffer (@AnshelPfeffer) May 19, 2015
הפינה “האחראי על האינטרנט” משודרת מדי שבת ב-19:30 בתוכנית “שישבת” בהגשת עידן קוולר בגלצ אות פתיחה: ניאן קאט של daniwell, ביצוע גיטרות לניאן קאט של The GAG Quarter והשיר Never Gonna Give You Up של ריק אסטלי תודה להדר בן יהודה על העזרה באיסוף הידיעות
🗳️ גם אחרי החשיפה: פרטי 6.4 מ’ ישראלים ממשיכים לדלוף 🐱💻 סייברסייבר ע02פ17
👂 להאזנה ומנוי לסייברסייבר באפליקציות השונות 🔊
מעקב סייברסייבר: המאגר שמכיל את ספר הבוחרים הישראלי עדיין פרוץ לגורמים עויינים 🙈 אלקטור מכחישים 🚨 הליכוד מאיימים לפנות למשטרה 🐱💻 הסיפור המלא בסייברסייבר ואצל עומר כביר בכלכליסט. ניתוח טכני בטור של רן בר-זיק ב”קפטן אינטרנט”
חסות
VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.
מזכים
סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, חדר 404; נעם רותם, מעבדות סייברסייבר 🔔 קולות: סופר מריו בראד’רז, בחזרה לעתיד, קרקוש מפתחות / ylearkisto cc-by, ראש הממשלה בנימין נתניהו ממליץ על אלקטור, נתניהו בא לבית של ליכודניקים, נתניהו עונה על שאלות, נתניהו צועק אלקטור, כנס הליכוד בכרמיאל, Demacia News Theme / DanteAxeProduction (cc-by), ILTV, The Israel Brief, More live w/ René Rebe, מאקו, ערוץ 2 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Fauna vs. Killah B – Los Piratas Del Reggaeton (Futuristic Dance Squad Viaba Mashup) by Futuristic Dance Squad (רשיון cc-by) 💵 מוזיקת אייטיז בפרסומות: 80s by Fryc (cc-by) 👨🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס
📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cyber@podacsti.co או אל תיבת ההדלפות הסודית
משרד התחבורה רוצה לעקוב אחרי כל הנהגים כל הזמן 📻 האחראי על האינטרנט בגלצ 15.2.2020
הצביעו אלקטור!
בפודקאסט סייברסייבר חשפנו השבוע פירצת אבטחה חמורה באפליקציית ניהול הבחירות שהליכוד מקדם, אלקטור. הפירצה חשפה פרטים של 6.4 מיליון ישראלים – ספר הבוחרים המלא והעדכני של מדינת ישראל. רשות הפרטיות במשרד המשפטים, בליווי מחלקת הסייבר בפרקליטות המדינה, פתחה בחקירה ושלחה מפקחים למשרדי אלקטור.
בתגובה לגיקטיים, הליכוד זרקו את האחריות על אלקטור, ובאותה נשימה הודיעו שימשיכו להשתמש ביישומון הדולף:
“אלקטור” היא ספק פרטי וחיצוני אשר מעניקה את שירותיה למספר מפלגות, והאחריות המקצועית והמשפטית היא עליה. מרגע שהתברר שהחברה לא עומדת בסטנדרט האבטחה המצופה, פנתה הליכוד לחברת אבטחת מידע מובילה שתבצע בדיקות מחמירות למערכת.
בניגוד לתגובה זו, ברשות הפרטיות הבהירו כי
האחריות לקיום הוראות חוק הגנת הפרטיות וחוק הבחירות, לרבות אבטחת המידע שבפנקס הבוחרים, מוטלת בראש ובראשונה על המפלגות. גם ובמיוחד כאשר הן נעזרות בספקי מיקור חוץ, והן עלולות לשאת באחריות פלילית או אזרחית במקרה של הפרת הוראות חוק הגנת הפרטיות.
תגובת אלקטור הגיעה מתחת לגלגלי האוטובוס של הליכוד: “מדובר באירוע נקודתי שטופל באופן מיידי, ובעקבותיו תוגברה האבטחה באופן משמעותי”.
מאז החשיפה, האפליקציה ירדה לסירוגין, ונכון לעכשיו היא פעילה. המפלגה ממשיכה להשתמש באפליקציה.
עוד לפני החשיפה, עו”ד שחר בן מאיר הגיש עתירה לוועדת הבחירות נגד שימוש הליכוד בתוכנה, בטענה שהיא מספקת גישה אסורה לספר הבוחרים. ואכן, הרישום לאפליקציה הצריך רק פנייה למספר וואטסאפ ייעודי ובקשת סיסמה, כשהמפעילים לא בודקים את זהות המבקש. עם קבלת הסיסמה, ניתן לבצע חיפוש במאגר הבוחרים המלא לפי ת”ז, או לפי שם ושם משפחה, או לפי חלק משם וחלק משם משפחה (למשל, החיפוש “ב נתניהו” החזיר מספר אנשים שהאות ב’ מופיעה בשמם הפרטי ושם משפחתם נתניהו, ובהם ראש הממשלה בנימין נתניהו). העתירה ממתינה להחלטת הוועדה.
פירצת אבטחה נוספת בליכוד נחשפה השבוע על ידי שלומי טורג’מן. אתר bibiba.co.il, שהליכוד הקימו לשם רישום לאירועי הבחירות של המפלגה, דלף מידע על 6000 מצביעי ותומכי הליכוד, כולל מידע רגיש על נכויות ומוגבלויות שלהם. טורג’מן גילה שניתן לבצע חיפוש ממוקד של אנשים באמצעות שם פרטי או שם משפחה, וכן לדפדף בין כל אישורי ההשתתפות באירועים, שקיבלו כתובות עם מספרים עוקבים. היועמ”ש של הליכוד, עו”ד אבי הלוי, התעלם בתגובתו מהפירצה ולרלר טענה כללית ולא מבוססת שלפיה “הפעילות הדיגיטלית של הליכוד מתנהלת על פי חוק ובפיקוח היועץ המשפטי של תנועת הליכוד והנחיותיו”.
ובינתיים, משהו רקוב גם בממלכת דנמרק: פירצת אבטחה במערכת תשלום המסים המקוונת של המדינה חשפה מספרי תעודות זהות של 1.26 מיליון אנשים, חמישית מאוכלוסיית המדינה. הכניסה למערכת התבצעה באמצעות מסת”ז, שהתווספו בגלל תקלה לשורת הכתובת. משם המספרים נאספו על ידי מערכות אנליטיקה שפועלות על האתר.
מסת”זים דניים מכילים מידע אישי – הם מורכבים מעשר ספרות, כשהשש הראשונות הן תאריך הלידה, והסיפרה האחרונה מציינת את המגדר (זוגי לאישה, אי-זוגי לגבר). חשיפתם עלולה גם לאפשר גניבת זהות וביצוע פעולות בשם אותם אנשים.
את הפירצה גילו UFST (הרשות הדנית לפיתוח ופישוט, Udviklings-og Forenklingsstyrelsen במקור). הם ביקשו להרגיע את הציבור ואמרו שככל הנראה, המידע לא דלף החוצה אלא הגיע רק לחברות המפעילות את שירותי האנליטיקה – גוגל ואדובי. ומה יותר מרגיע מלגלות שהמידע שלך דלף לחברת גוגל?
המכונית תלשין עלינו
ואם דליפת ספר הבוחרים לא מספיקה, המדינה עובדת עכשיו על מזימה למעקב המוני אחרי כל כלי הרכב בארץ, מדווחים תומר הדר ואודי עציון.
המטרה המוצהרת של הזוממים היא היערכות להחלפת מערכת המיסוי הפרוגרסיבי על רכישת רכב לפי כמות פליטת המזהמים שלו במערכת לגביית מיסים לפי נסועה (קילומטרז’) בפועל, אגרת גודש וכיוצא בזה. לצורך כך, משרד התחבורה הוציא באמצעות נתיבי איילון קול קורא לחברות להצעת מערכת ניטור שתותקן בכל הרכבים בארץ, ואשר תוכל לעקוב אחרי מיקום הרכב בכל זמן ולהעביר את המידע למדינה.
לפי מסמכי הקול קורא, יהיו מערכות ניטור שיותקנו במכוניות ויהיו כאלו שיגיעו מובנים מהיצרן. המערכות יוכלו לאכן כל רכב בכל מקום במדינה, ולתעד את המועדים שבהם הוא נסע, ולאן. יחידות המעקב הנבחרות יהיו עמידות בפני ניתוק, ואם ינותקו ישלחו התרעה למרכז הבקרה. היחידות יהיו חייבות להיות כאלה שניתנות להתקנה סמויה, כי בניגוד לאזרחים, למדינה מותר להסתיר דברים.
המשמעות היא שהמדינה תחזיק מאגר סופר-רגיש על מיקומם ותנועותיהם של אנשים, מידע שאפשר לגזור ממנו מידע רגיש על אורח חייהם ופעילותם של אנשים. כמובן שהמאגר הזה לא ידלוף ולא ייעשה בו שימוש לרעה.
אצבע משולשת לזכויות נחקרים
אם נעלתם את הסלולרי או המחשב שלכם באמצעות טביעת אצבע ואתם חשודים בפשע, שוטרים יכולים לפנות לחברת סייברסייבר שמתמחה בפריצת סלולריים, כמו סלברייט, אבל זה לוקח זמן וכסף. השיטה הקלה יותר, שמשמשת את המשטרה מזה שנה, היא להשתמש בכוח לאלץ אתכם לפתוח את הנעילה.
אין חוק שמתיר לשוטר להפעיל כוח כדי לקבל סיסמה ביומטרית. לכן בחטיבת החקירות של המשטרה, בשיתוף עם המשנה ליועץ המשפטי לממשלה, עמית מררי, גיבשו נוהל המבוסס על החוק המתיר להפעיל כוח לצורך כניסה לבית כדי לבצע בו חיפוש בכפוף לצו בית משפט.
הנוהל קיבל חותמת כשרות בתחילת 2019. חשוד בסחר ב-37 גרם חשיש סירב לתת את האצבע במסגרת זכות השתיקה, שהיא חלק מהזכות להימנע מהפללה עצמית. המשטרה פנתה לבית משפט השלום, שם פסקה השופטת אפרת בוסני נגד המשטרה. בערעור לבית המשפט המחוזי ת”א הפכה השופטת טלי חיימוביץ’ את ההחלטה, ואישרה שימוש בכוח סביר להוציא סיסמה ביומטרית מחשוד.
הנוהל שנוי במחלוקת בקרב משפטנים, והשלכותיו מסוכנות. כפי שדיווח ג’וש בריינר, שבועיים אחרי הפסיקה של המחוזי, הובא בפני בית משפט השלום בראשל”ץ תיק שבו חמישה בלשי להב 433 ניסו להוציא סיסמה ביומטרית בכוח מחשוד בפרשת טלגראס, תוך שהם מאיימים “נשבור לך את אצבע אם לא תפתח את המכשיר”. אם החשוד יתלונן למח”ש, הוא יגלה שגם לשם זלג הנוהל הזה, ומשמש לחקור שוטרים שסרחו.
הפינה “האחראי על האינטרנט” משודרת מדי שבת ב-19:30 בתוכנית “שישבת” בהגשת עידן קוולר בגלצ אות פתיחה: ניאן קאט של daniwell, ביצוע גיטרות לניאן קאט של The GAG Quarter והשיר Never Gonna Give You Up של ריק אסטלי תודה להדר בן יהודה על העזרה באיסוף הידיעות
6,453,254 אזרחים דלפו מהיישומון שביבי מקדם 🐱💻 חשיפת סייברסייבר
הסיפור המלא אצל רן בר-זיק בקפטן אינטרנט, גיקטיים, כלכליסט (ועותק בוויינט), העין השביעית, חדשות 12
This story in English: ZDNet, Haaretz (📁), Daily Beast
👂 להאזנה ומנוי לסייברסייבר באפליקציות השונות 🔊
חסות
VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.
מזכים
סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, חדר 404; נעם רותם, מעבדות סייברסייבר 🔔 קולות: ראש הממשלה בנימין נתניהו ממליץ על אלקטור, סרטון הדרכה על אפליקציית “אלקטור” לניהול בוחרים, סרטון תדמית אלקטור 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Fauna vs. Killah B – Los Piratas Del Reggaeton (Futuristic Dance Squad Viaba Mashup) by Futuristic Dance Squad (רשיון cc-by) 💵 מוזיקת אייטיז בפרסומות: 80s by Fryc (cc-by) 👨🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס
📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cyber@podacsti.co
🗳️ יאיר לפיד וכחולבן שיאני הפרסום בפייסבוק 🗺️ פקק מפוברק בגוגל מפות 🔧 טסלה משנמכים 📻 האחראי על האינטרנט בגלצ 8.2.2020
🚧 המריצה שפיברקה פקק תנועה
איך יוצרים פקק תנועה? עם מריצה ו-99 טלפונים.
ב”גוגל מפות”, אפליקציה שמציינת בימים אלו 15 שנה להיווסדה, מודדים את עומס התנועה לפי מספר כלי הרכב באזור מסויים ומהירותם, מידע שנגזר ממספר הטלפונים הסלולריים המאוכנים שנעים על הכביש. האמן סיימון ווקרט נטל מריצה, העמיס עליה 99 טלפונים סלולריים שמחוברים לשירות המפות של גוגל ושירותי המיקום שלהם פועלים, ויצא לטיול בכביש בברלין. גוגל מפות זיהו שם מספר רב של מכשירים שנעים באיטיות – ודיווחו למשתמשים על פקק באזור.
המיצב/ג עוסק בכוח של המפות הווירטואליות לעצב את החיים באקסווב, ומנסה לקחת את הכוח הזה בחזרה, כשהוא לחיים באקסווב להשפיע חזרה על המפות. באופן אירוני, הוא מדגים בכך איך הייצוג הווירטואלי יכול להערים על אנשי האקסווב – נהגים שנקלעו לאזור ובחרו לעקוף אותו בגלל הפקק שלא היה.
בראיון לפרנקפורטר אלגמיינה סיפר ווקרט שקיבל השראה למיצב/מיצג “Google Maps Hacks” כשבמהלך הפגנות בברלין ובהונג קונג הוצגו פקקים על אותם אזורים בגוגל מפות. “יכולתי לארגן פלאשמוב של 100 אנשים, אבל זה היה קל מדי”, אמר – מה גם ש-100 אנשים על הכביש יוצרים פקק תנועה אמיתי. הוא שכר 99 מכשירים סלולריים עם כרטיסי סים וביצע את המתיחה. ווקרט הודעה שכאשר מכוניות עברו בכביש הפקוק-לכאורה, המערכת של גוגל זיהתה שאין פקק והחזירה את תצוגת הרחוב למצב רגיל.
בגוגל הגיבו בשעשוע:
מידע על התנועה בכבישים בגוגל מפות מתעדכן תדירות תודות למידע ממגוון מקורות, כולל מידע מאוגד שעבר אנונימיזציה מאנשים ששירותי המיקום שלהם פועלים ומתרומות מקהילת גוגל מפות. השקנו את היכולת הזאת כדי להבדיל בין מכוניות לאופנועים במספר מדינות, כולל הודו, אינדונזיה ומצרים, אם כי לא לגמרי פיצחנו את הנסיעה באמצעות מריצה. אנחנו מעריכים שימושים יצירתיים כמו זה בגוגל מפות, מאחר שהם עוזרים לנו לשפר את המפות לאורך הזמן.
כבר ב-2014 הדגימו סטודנטיות הטכניון שיר ידיד ומיטל בן סיני, בהנחייתו של פרופסור ערן יהב, כיצד ניתן ליצור פקק מפוברק בווייז, גם היא מערכת ניווט מבית גוגל. במקרה שלהן, ההונאה כללה תוכנה שיצרה אלפי משתמשי ווייז מדומים ורכיב המדמה משתמש פעיל עם סמארטפון ואיכון GPS. מפתיע לגלות ש-6 שנים מאוחר יותר, גוגל פגיעה להונאה פשוטה הרבה יותר. ב-2018 חשפו חוקרים מאוניברסיטת מישיגן פירצת אבטחה במערכת כלי רכב מחוברים בארה”ב, שמאפשרת לרכב יחיד המחובר למערכת לפברק פקק תנועה.
הבעיה עם פיברוק פקקים היא השימושים הזדוניים שאפשר לעשות בהם – גרימת פקקים אמיתיים, הסחת דעת לביצוע פעילות פלילית כמו פינוי נתיב בריחה לשודדי בנקים, והסטת כלי רכב רבים לאזור מסויים לשם פיגוע, למשל.
בוחרים פייסבוק
בחודש שבין 4.1-2.2 הוציאו המפלגות הישראליות כ-2 מיליון שקלים על פרסום בפייסבוק, חברת הריגול האזרחי האמריקאית שלא משלמת מסים בישראל, כך לפי ספריית המודעות של פייסבוק.
לפי ניתוח של העין השביעית, המפרסמת הגדולה ביותר היא מפלגת כחול-לבן, שהוציאה כמחצית הסכום, 928 אלף שקל – יותר מהעבודה-גשר-מרצ (379 אש”ח), ישראל-ביתנו (269 אש”ח) והליכוד (239 אש”ח) יחד. רוב הסכומים יוצאים על קידום מודעות מדפי חברי הרשימות, ולא מדפי המפלגות עצמן.
מקרב דפי הפייסבוק של הפוליטיקאים, המפרסם הגדול ביותר הוא לא ראש הממשלה בנימין נתניהו ולא ראש המפלגה הגדולה המתחרה בני גנץ אלא דווקא יאיר לפיד, שהעמוד הרשמי שלו הוציא 343 אש”ח על 39 מודעות, כשגנץ במקום השני עם 258 אש”ח, ועמיר פרץ במקום השלישי עם 209 אש”ח על 125 מודעות. דף הפייסבוק הפוליטי של נתניהו נמצא רק במקום הרביעי עם 183 אש”ח ו-121 פרסומות, ובמקום החמישי אביגדור ליברמן עם 171 אש”ח על 191 מודעות.
קונה רכבים לשנמוך
סוחר מכוניות רכש טסלה מודל S שנת 2017 עם פגם קל במסך התצוגה, במכירה פומבית שהחברה ערכה בנובמבר אשתקד, ובדצמבר מכר אותו לרוכש בשם אלק (השם המלא לא פורסם). המכונית נמכרה לסוחר, וממנו לאלק, עם פיצ’רי הנהיגה האוטונומית-למחצה Enhanced Autopilot ו-Full Self Driving Capability, שתומחרו יחד ב-8000$. בעדכון תוכנה שבוצע בדצמבר, שני הפיצ’רים הוסרו.
אלק פנה לטסלה לבדוק למה הפיצ’רים נעלמו, וזו התשובה שקיבל:
טסלה גילו לאחרונה מקרים של לקוחות שקיבלו גירסאות אוטופיילוט שלא שילמו עבורן. מאז בוצעה בדיקה לתקן את המקרים הללו. הרכב שלך הוא אחד מהרכבים שאוטופיילוט הותקן בו בטעות. בדקנו את היסטוריית הרכישה שלך ולמרבה הצער FSD הוא פיצ’ר שלא שילמת עבורו. אנו מתנצלים אל הבלבול. אם אתה עדיין מעוניין בפיצ’רים הנוספים הללו אנחנו יכולים להתחיל בתהליך של רכישת השדרוג.
זה לא נכון. לפי הדיווח של אתר ג’לופניק, הן הסוחר וגם אלק רכשו רכב שהוצג ככזה שיש בו את הפיצ’רים האמורים, גם בניירת וגם על גבי מסך הרכב. הסוחר עצמו סיפר לאתר שהשתמש בפיצ’ר ה-FSD מספר פעמים במהלך נהיגה. טסלה ביצעו את הבדיקה רק שלושה ימים אחרי שהסוחר רכש את הרכב, והסירו את הפיצ’רים רק אחרי שלקוח הקצה רכש אותו.
אלק ביקש לבדוק את העניין, ופנה לאיש מכירות של טסלה בשאלה: הוא מעוניין לרכוש טסלה משומשת, אבל לחסוך כסף ולא לרכוש את הפיצ’רים הנוספים. איש המכירות השיב בשלילה: “אם זה כבר הוסף וזו מכונית משומשת הם פשוט לא יסירו את זה”.
אלק הוא לא היחיד – רוכשי טסלה נוספים התלוננו על תקריות דומות. הסוחר שמכר לו את הרכב סיפר על מקרה נוסף שנתקל בו – הוא מכר לחותנו טסלה X P90D עם פיצ’ר בשם ludicrous speed package. חודשיים לאחר הרכישה, טסלה הסירו את הפיצ’ר, ובתשובה לתלונתו טענו שהוא לא שילם עבור הפיצ’ר.
החברה טרם מסרה תגובה לתקרית.
עוד על טסלה:
הפינה “האחראי על האינטרנט” משודרת מדי שבת ב-19:30 בתוכנית “שישבת” בהגשת עידן קוולר בגלצ אות פתיחה: ניאן קאט של daniwell, ביצוע גיטרות לניאן קאט של The GAG Quarter והשיר Never Gonna Give You Up של ריק אסטלי תודה להדר בן יהודה על העזרה באיסוף הידיעות
👨💻 פירצות בוורדפרס, תקלות בחלונות 🐱💻 סייברסייבר ע02פ15
עדכונים מהמתרחש במעבדות סייברסייבר לאבז. והפעם: שתי פירצות אבטחה של וורדפרס – בפלטפורמה עצמה ובשירות הגיבוי מימקאש. וגם: איך מיקרוסופט יודעים מה לא בסדר עם החלונות שלך?
👂 להאזנה ומנוי לסייברסייבר באפליקציות השונות 🔊
חסות
VPN נועד למנוע מספקי אינטרנט, האקרים וממשלות חובבות פחמימות לחטט בהרגלי הגלישה שלכם (כפי שעשתה חברת האנטיווירוס אוואסט, שאספה ומכרה מידע על הרגלי גלישה של משתמשיה). ProtonVPN הוא שירות ה-VPN האהוב עלינו, מאחר שהוכיח את עצמו כשהודיע לרשויות שאין ביכולתו לספק מידע על הרגלי הגלישה של משתמשיו, ולאחרונה עבר לקוד פתוח כך שאפשר לוודא שהוא עושה מה שהוא מבטיח לעשות. אם תיכנסו לכאן, או לכתובת המקוצרת podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.
מזכים
סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, חדר 404; נעם רותם, מעבדות סייברסייבר 🔔 קולות: צלילי שגיאה של חלונות, ביל גייטס מדבר על חיסונים, שיר התקלה של חלונות 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Fauna vs. Killah B – Los Piratas Del Reggaeton (Futuristic Dance Squad Viaba Mashup) by Futuristic Dance Squad (רשיון cc-by) 💵 מוזיקת אייטיז בפרסומות: 80s by Fryc (cc-by) 👨🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, בשיתוף אורבן פלייס
📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל cyber@podacsti.co
מה זה פה?
רוצה להפיק פודקאסט?
המלצת סייברסייבר (מ)
פרנסה
