מחבר: סייברסייבר

קפה פרוץ חזק🐱‍💻 סייברסייבר ע03פ16

אתר אספרסו קלאב דלף פרטי לקוחות בגלל שורת כשלי אבטחה. מהחברה נמסר: “היינו המומים לנוכח הממצא” 🐱‍💻 הכתבה המלאה בגיקטיים 🐱‍💻 וגם: פרק אחרון לעונה 3. אילו הפתעות יחכו לנו בעונה 4?

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן; נעם רותם 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Call The Shots של Slynk (PD) וקריינות של נועה ארגוב 💵 מוזיקת אייטיז בפינת פרסומת: 80s by Fryc (cc-by) 👨‍🔧 עיצוב סאונד: עומר סנש 🔔 קולות: מה זה קפה? / הפיג’מות; קפה טורקי עלית / פרסומת (1, 2); אספרסו קלאב / פרסומות, קפה טור 🖼️ תמונה ראשית: חנות של אספרסו קלאב בחיפה. תצלום: עידו קינן 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404

📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל [email protected] 🗝️ הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר) 📞 הודעות קוליות שילחו אל הקו החם והפריך של סייברסייבר: 055-2-776766 💸 תרומות בפייבוקס למספר 055-2-776766

כך אפשר להאזין לסייברסייבר:                    


קצרלינק וקטלני 🐱‍💻 סייברסייבר ע03פ15

שירותי קיצור URL מקלים על החיים שלנו, אבל גם של ההאקרים. תחקיר סייברסייבר מראה כמה קל לגנוב מידע וסשנים באמצעות הקצרנים, ומה אפשר לעשות נגד זה. וגם: מלשנים? אנחנו?! 🐱‍💻


פרוייקט דיוק הקסאמים 🐱‍💻 סייברסייבר ע03פ14

זהירות, אוסינט! סרטוני נפילות, גוגל סטריט ויו ופקקים בווייז עלולים לעזור לחמאס לדייק את פגיעת הרקטות על ישראל // נעם רותם, רן לוקאר, עידו קינן


סיגנל עשו לסלברייט את הסייברסייבר🐱‍💻 סייברסייבר ע03פ13

סלברייט טענו שהצליחו לפרוץ את סיגנל, אבל מהר מאוד התברר שזה לא קרה. עברו כמה חודשים, ומנכ”ל סיגנל נקם קר: הוא מצא במקרה כלי פריצה של סלברייט והצליח לפרוץ אליהם ולחשוף שורת פירצות מביכות


“פגיעויות בשרתי החברה”. סינאל נאלצה לדווח לבורסה על הפירצה שחשפנו🐱‍💻 סייברסייבר ע03פ13

סינאל, ספקית של בנקים וגופים בטחוניים, טענה שהשרת שבו חשפנו פירצה “אינו מכיל מידע רגיש/בעייתי ולא מדובר בנתונים אמיתיים”. זה נגמר בדוח מיידי לבורסה על “מס’ פגיעויות בשרתי החברה”, ובגילוי חדירות של 3 האקרים עויינים (לפחות) בעשור האחרון 🐱‍💻

פרסמנו את הסיפור ביחד עם עומר כביר מכלכליסט: חלק 1, חלק 2.

החשיפה של סייברסייבר על "סינאל" על שער כלכליסט, 6.8.2021
חשיפת סייברסייבר על “סינאל” על שער כלכליסט, 6.8.2021

🔔 קולות: Another Happy Day (מוזיקת פרסומות) / Free Music (CC-BY); גירסת צ’יפטון של נירוונה /  8 Bit Universe; קוביות / אנה זק, סטטיק ובן אל; צחוק של גופי / דיסני ; נאום נתניהו עם הגב לים; ברק אובמה מתראיין לפודקאסט של עזרא קליין; היום יום חמישי, היום יום שישי / רני מגר, אמיר לקנר, ערוץ הופ; Insectobot Scanning / RICHERlandTV (cc-by); אני מפה / הפיג’מות; ג’ורג’ בוש האב: “This will not stand” / CNN; לחגוג כאילו זה 1999 / פרינס; קליפסו בשחור לבן / אל תקרא לי שחור

📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל [email protected] 🗝️ הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר) 📞 הודעות קוליות שילחו אל הקו החם והפריך של סייברסייבר: 055-2-776766 💸 תרומות בפייבוקס למספר 055-2-776766

כך אפשר להאזין לסייברסייבר:                    


מידע על תלמידים וחיסוניהם הופקר ביישומון קורנה שמשרד החינוך בכלל לא מכיר 🐱‍💻 סייברסייבר ע03פ12

איך הגיע יישומון קורונה דולף של דיור מוגן לבתי הספר? 🐱‍💻 הסיפור המלא בפוסט התוכנית


הסייבר נמוך מדי 🐱‍💻 סייברסייבר ע03פ11

כולם יכולים לדעת מה קנית במחסני חשמל – וכל מה שצריך זה מספר תעודת זהות


🥡 הזמנתם אוכל במשלוח? כנראה שפרטי האשראי שלכם בידינו 🐱‍💻 סייברסייבר ע03פ10

סייברסייבר וכלכליסט חושפים 🐱‍💻 פרסטו הקצתה יוזר וסיסמה משותפים לעשרות מסעדות ורשתות בתוכנת הניהול שלה, שמרה סיסמאות מלאות וכרטיסי אשראי – והכל דלף

בין השאר, פרסטו סיפקו את אותו שם משתמש וסיסמה (12345678, כן כן) לכל המסעדות, שמרו פרטים מלאים של לקוחות כולל מספרי אשראי (בניגוד לתקן PCI), וכן שמרו סיסמאות של לקוחות – אמנם מגובבות, אך לצדן עותק לא מגובב, כדי שיהיה קל יותר לגנוב אותן. על חשיבות אי-שמירת סיסמאות בטקסט גלוי (plaintext) אצל ספקי שירות דיברנו בפרק הזה.

רואים לך את ה-✳️✳️✳️✳️✳️ 🐱‍💻 סייברסייבר ע01פ12


סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן; נעם רותם 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Call The Shots של Slynk (PD) וקריינות של נועה ארגוב 💵 מוזיקת אייטיז בפינת פרסומת: 80s by Fryc (cc-by) 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404

🔔 קולות: דודי אמסלם ממליץ על האלקטור; התנגשות / michael_kur95 CC-BY; פרסומת Alka Seltzer “Spicy Meatball”; פרסומת קפולסקי; סופרגיבור / humanoide9000 cc-by; סיפור תעלומה / Setuniman cc-by-nc; קרמיט (1), (2) / ג’ים הנסון, Sesame Workshop; פיצוחים / חינוכית; החמישיה הקאמרית 1, 2, 3, 4; השר דודי אמסלם ממליץ על אלקטור; מוזיקת מעליות – מערך הסייבר / Jay_You cc-by; קאצ’ינג קופה רושמת / kiddpark cc-by; אחת שתיים שלוש ארבע, מגרמניה היטלר בא / אור הלר ב”כאן”; הדיקטטור הגדול / צ’ארלי צ’פלין; מייקל לואיס מברך

📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל [email protected] 🗝️ הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר) 📞 הודעות קוליות שילחו אל הקו החם והפריך של סייברסייבר: 055-2-776766 💸 תרומות בפייבוקס למספר 055-2-776766

כך אפשר להאזין לסייברסייבר:


נפרצת? הוולף של הסייבר כבר על מטוס בדרך אליך 🐱‍💻 סייברסייבר ע03פ09

כשגופים שנפרצו מתקשרים לאריק נחמיאס, הוא עולה על מטוס ועושה להם incident response – טיפול חירום בפריצות בזמן אמת


מדינת ישראל מעודדת חברות לא לבזבז כסף על אבטחת מידע

נעם רותם ועידו קינן, סייברסייבר

כיסינו לא מעט כשלים טכניים וניהוליים שהובילו לפירצות אבטחה ולדליפות מידע משמעותיות בשלוש העונות של הפודקאסט הפופולרי סייברסייבר. אלו היו יכולות להימנע לו היו אנשי מקצוע מעורבים בתהליך, והחלטות היו מתקבלות על בסיס מקצועי.

אולם התנהלות הרשויות (רשות הפרטיות של משרד המשפטים, 🎵מערך הסייבר הלאומי🎶 של משרד ראש הממשלה ומשטרת ישראל של המשרד לבטחון פנים) בפירצות האבטחה המשמעותיות שהתגלו בשנה האחרונה, והגילויים החדשים שאנחנו מביאים פה, מצביעים על כשל מתמשך ותשתיתי, ולא על טעות נקודתית. תוסיפו לזה העדר כלי אכיפה כלשהם, ואנחנו מקבלים נזיד מהביל של חלמאות, חוסר מקצועיות, ולא פחות חשוב מכך – חוסר אכפתיות לפרטיות של כל אחת ואחד מאיתנו.

ההיסטריה חוזרת על עצמה

נתחיל מחברת רנעד, ספקית מערכת שעוני נוכחות חברות, שחשפנו שהפקירה מידע של לקוחותיה, ולא סגרה את הפירצה אלא שלושה שבועות שלמים ופריכים אחרי הדיווח הראשוני שלנו ומעורבות סמלית של מערך הסייבר. נריה באשה, מאזין נאה של הפודקאסט, לא האמין למשמע אוזניו. “רנעד??”‘, הוא מלמל בתדהמה. באשה הצטייד במאפה ופתח את האימייל כדי לחפור בערמות האימיילים שלו, וכעבור מספר שניות, כשמצא את מבוקשו, נאנח אנחה עמוקה ונשען, שמוט איברים, על כסאו. “זה לא יכול להיות”, חשב. מולו ריצד מייל ששלח לפני כמעט שלוש שנים, ב-20 באפריל 2018, ל🎵מערך הסייבר הישראלי🎶, ובו פירוט כשלים של חברת רנעד שהובילו לחשיפה של כל עובדי הארגונים המשתמשים במערכות שעוני הנוכחות של החברה.

באשה גילה שבאמצעות שימוש בכלי הפריצה המשוכלל דפדפן, הוא יכל לגשת למידע של כל אחד ואחת מלקוחות החברה, ללא כל הגבלה של סיסמה או אמצעי אחר שימנע ממנו לעשות כן. “התקשרתי לרנעד טק והסברתי להם את העניין – תגובתם הייתה שככה הם עובדים. נראה שהם לא מתכוונים לשנות את זה”, הוא סיפר במייל ל🎵מערך הסייבר🎶. “אשמח אם תוכלו להסדיר את עניין מולם ולעדכן אותי כשהנושא טופל”.

נשמע מוכר? חכו חכו! תגובת 🎵מערך הסייבר🎶 לא איחרה להגיע, וכעבור יומיים הם חזרו אליו עם התשובה הבאה: “שוחחנו עם החברה הן אודות חוסר הקשחת השחת [הטעות במקור, כנראה התכוונו “השרת”; נ”ר, ע”ק] והן אודות חוסר מידור ההרשאות. מהחברה נמסר כי יטפלו בנושא. אנו נעקוב אחר העניין”. באשה היה מאושר. “תודה רבה על הטיפול, משמח לראות שיש גוף במדינת ישראל שאפשר לפנות אליו בנושאים האלו”, ענה להם, ודמעת התרגשות נצצה בזווית עינו.

שלושה שבועות חלפו, ובאשה, שחרד לפרטיות המידע של אזרחי ישראל, ראה שלמרות ההבטחות לא נעשה דבר. הוא לא התעצל ובאמצע חודש מאי שלח מייל נוסף: “שלום, ראיתי שהנושא עדיין לא טופל, האם יש צפי לטיפול?”

עובד/ת אלמוני.ת של הגוף הישראלי המתוקצב ב-250 מיליון ש”ח ענ(ת)ה במייל לא חתום: “אכן הנושא עדיין לא טופל אך החברה פועלת על מנת לטפל בנושא. אנו בקשר רציף עם החברה לטיפול בנושא – הבעייתיות נגרמת עקב ‘טיפול’ בסביבה חיה, כאשר יש צורך לא לפגוע ברציפות העבודה. בימים הקרובים הנושא אמור להיפתר, נעדכן בזמן שיקרה”.

כאמור, שלושה שבועות חלפו מבלי שנעשה דבר, ו🎵מערך הסייבר🎶 מבטיח טיפול “בימים הקרובים”. אם נסיר מנעם לרגע את כובע הלץ המגיש את הפודקאסט הפופולרי סייברסייבר ונחבוש את כובע מנהל הפיתוח הרציני שהוא ממלא בעשורים האחרונים, נאמר שאין שום סיבה, אפילו לא אחת, שטיפול בבעיית אבטחה פשוטה כזו, של מידע חשוף הנגיש למי שאינו אמור לראותו, יקח שלושה שבועות. ואם חברה שאתם עובדים איתה מגיבה בצורה כזו – הדבר אומר דרשני, שלא לדבר על פטרני, שלא לומר תבעני תביעת רשלנות ענקית.

בימים הקרובים

אבל מה לבאשה כי ילין – 🎵מערך הסייבר🎶 הבטיח טיפול מהיר “בימים הקרובים”, ומה הם עוד כמה ימים אל מול שלושת השבועות שקדמו לכך? וזה לא שהיו לו ברירות אחרות, לאור תגובת החברה כשהוא עצמו פנה אליה – “הם אמרו שככה הם עובדים ולא נראה שהם מתכוונים לשנות זאת”, סיפר לנו. לכן הוא התאזר בסבלנות, והמתין.

והמתין.

והמתין.

החודשים חלפו, פרחי האביב קמלו, חודש יוני נכנס ויצא, אחריו גם חודש יולי, וחודש אוגוסט החרה החזיק אחריו, “הימים הקרובים” הפכו לשבועות וחודשים, והמידע על לקוחות החברה – עדיין נגיש וזמין לכל גולש ודורש. רק ב-26 באוגוסט, חמישה חודשים(!) אחרי הדיווח של באשה, ולמרות “הקשר הרציף” של 🎵מערך הסייבר🎶 עם חברת רנעד, נסגר החור. זו התנהלות לא פחות משערורייתית, ובאשה, ששבע מרורים, לא טרח אפילו לבדוק אם הטענה הזו נכונה, והסתפק במענה לקוני של “תודה רבה”.

אבל זה לא הכל. לא, זה לא הכל.

שנה אחת קודם לכן, בהשתלשלות נפרדת לחלוטין מזו המתוארת מעלה, קבע משרד המשפטים לגבי רנעד כי “לא קיימה החברה את החובה המוטלת עליה לאבטחת מידע הקבועה בסעיף 17 לחוק הגנת הפרטיות התשמ”א-1981”, וזאת בעקבות “אירוע אבטחת מידע […] שהביא לזליגתם של קבצים ורשומות הכוללות מידע אישי של עובדים, משכורות וכד’ לרשת האינטרנט”. בהחלטתו דרש המשרד מחברת רנעד “לבצע פעולות מתקנות ליישום רמת האבטחה הנדרשת”.

הפקרת סייבראבטחה ופרטיות שביצעה רנעד 🖼️ אתר משרד המשפטים
הפקרת סייבראבטחה ופרטיות שביצעה רנעד 🖼️ אתר משרד המשפטים

ומה נעשה בין אירוע האבטחה של 2017 לזה שגילה באשה שנה שלמה מאוחר יותר? לא יותר מדי, מסתבר. משרד המשפטים לא טרח לבדוק שהחברה מיישמת את הנדרש ממנה, 🎵מערך הסייבר🎶 עדיין לא היה בתמונה (וגם אם היה בתמונה סביר שלא היה נעשה יותר), והחברה המשיכה להזליג את המידע של לקוחותיה לכל עבר. לא פלא ששנה לאחר הקביעה של משרד המשפטים, באשה נתקל בו שוכב על רצפת האינטרנט. ומטריד מאוד שכמה שנים אחר כך – עד היום, למעשה – המידע עדיין חשוף.

מכיוון שקוד המקור הפעיל על המערכות גם הוא חשוף, אפשר לראות את תאריכי השינוי האחרון בו. חלקים גדולים בו לא עודכנו מאז 2017, ויש בו קוד שנכתב עוד ב-2005. זאת אומרת – חברה ש”שמה ‘בראש מעייניה’ [המרכאות הפנימיות במקור, נ”ר] את נושא ההובלה בתחום הפיתוח והשירות, על ידי שימוש בטכנולוגיות מתקדמות והקפדה על רמת מקצועיות גבוהה” – מפעילה קוד ישן ולא מעדכנת אותו במשך שנים.

על אודות חברת רנעד  🖼️ אתר רנעד
על אודות חברת רנעד 🖼️ אתר רנעד

תגובת מערך הסייבר הלאומי:

השנה קיבל המערך 360 דיווחים על חולשות בארגונים שונים מחוקרי אבטחה ומקורות נוספים – עלייה של 80% בהשוואה לשנה שעברה. זאת, נוסף ל-5,000 פניות יזומות שביצע המערך לארגונים בשנה וחצי האחרונות, בהכוונה לסגירה של חולשות חמורות רוחביות ונפוצות. רוב הארגונים מתייחסים ברצינות לדיווחים שמגיעים מהמערך ומטפלים בסגירת החולשות במהירות. מי שבוחר לא לסגור את הפירצה – מוצא עצמו חוזר ומבקש את עזרת המערך בטיפול בתקיפה. כמו כן, במקומות שבהם למערך יש סמכות בחוק, חולשות נסגרות במהרה.

גלעד ארדן מעודד חברות שסרחו

רצף האירועים האלה מעלה שאלות קשות לגבי היכולת של המדינה לכפות על חברה מסחרית לאבטח את המידע של כולנו, אבל מה עם המידע של המדינה עצמה? כאמור, בשנים 2017-2018 היתה מעורבת רנעד בלפחות שני אירועי אבטחה משמעותיים, שחשפו את פרטיהם של אלפים רבים של עובדים, וטופלו על ידי שני משרדי ממשלה שונים. למרות זאת בחר המשרד לבטחון פנים בראשות השר גלעד ארדן להתקשר עם החברה ולהפקיר בידיה מידע על עובדיו; כמוהו גם הרשות הארצית לכבאות והצלה, שלוש שנים ברצף, בפטור ממכרז.

התנהלות החברה היא דבר אחד. אנחנו מניחים שאם הם מתעקשים לא להבין דבר באבטחה או באיכות מוצר – זו זכותם, וזה עניינם מול הלקוחות שלהם. את התנהלות המדינה – איננו מבינים. שלושה אירועי אבטחה משמעותיים שונים מצביעים על התנהלות סדרתית. גופים אזרחיים שבוחרים להתעלם מהתנהלות כזו – אפשר לבקר את שיקול דעתם, ואנו קוראים לעובדים שפרטיהם נחשפו לבוא בשאלות למנהליהם ואולי אפילו לדרוש פיצוי כספי ואחר. אבל משרד ממשלתי בטחוני? כאן יש שתי אפשרויות בלבד: רשלנות או שחיתות.

חוזים ממשלתיים של רנעד 🖼️ מפתח התקציב
חוזים ממשלתיים של רנעד 🖼️ מפתח התקציב

אם המשרד לבטחון פנים לא ידע על אירועי האבטחה והעדר הטיפול בהם, לא שאל, לא בדק, לא וידא את יכולות החברה בתום אבטחת המידע – מדובר ברשלנות מהמדרגה הראשונה, ומי שחתם על ההתקשרות הזו ראוי אולי שיבחן קריירה אחרת, יתכן שבתחום ניקוי הגללים מכלוב הסמורים בגן החיות התנכ”י.

אבל אם ידעו הגורמים הרלוונטים במשרד לבטחון פנים על שני אירועי האבטחה, העדר הטיפול בהם, והעדר כל תרבות של אבטחת מידע בארגון, ועדיין בחרו להמשיך בהתקשרות – כאן אולי יש מקום לערב גורמי חקירה משמעותיים יותר.

מרשות כבאות והצלה נמסר:

כבאות והצלה לישראל סיימה כבר בשנת 2019 את ההתקשרות העסקית עם חברת “רנעד טק מחשבים” כחלק ממאמץ ארגוני להחיל מערכת השכר הממשלתית (מרכבה) בתחנת כיבוי באר שבע.

יובהר להלן כי החברה שפיתחה מערכת ייעודית לאיסוף נתוני נוכחות ותמחור שכר בתחנת כיבוי באר שבע עשתה זאת עוד בתקופת איגודי הערים וטרם הקמת מערך כבאות והצלה . יתרה מכך, החברה זכתה מהאוצר לפטור על מתן שרותי תמיכה למערכת והוא חודש גם בשנים לאחר הקמת הרשות לכבאות מתוך רצון להחיל רציפות שכר לעובדי התחנה.

נוכח סיום ההתקשרות עם החברה כל טענה על חשיפת כשלי אבטחת מידע אינה מענייננו.

אלקטור אלקטור אלקטור!

המסקנה המתבקשת מהשתלשלות האירועים הללו היא שאין אף מבוגר אחראי בשום חוליה בשרשרת שאמורה להגן על פרטיות ואבטחת המידע של כולנו, המטופל בידי חברות אזרחיות. אנחנו רואים גם שאין מבוגר אחראי שאמור להגן על המידע של עובדים בארגונים בטחוניים. מה כן יש? גוף סייבר שמקבל 250 מיליון ש”ח בשנה ושמתפקד כמערכת ניתוב שיחות, ורשות הפרטיות שמתפקדת כאריה מנייר ושבמשך שנים קוצצו סמכויותיה עד שבשלוש השנים האחרונות אפילו לא טורחים בממשלה למנות מנהל/ת במינוי קבע, ומי שעומדת בראשה כממלאת מקום מתפקדת גם כראש רשות אחרת. אז מי נשאר להגן עלינו, האזרחים?

תשובה לשאלה הזו קיבלנו בצורה של דוח של משרד המשפטים על מפעילי אפליקציית הבחירות אלקטור, שבמחדליהם המתמשכים הביאו לחשיפת פרטיהם של מיליוני אזרחים ישראלים. ההחלטה מנוסחת בלשון שאין לטעות בה, ולמעשה אומרת שהגרסה שמסרו מפעיליה של אלקטור – שקרית. משרד המשפטים מצא “ליקויים רבים וחמורים באבטחת המידע במערכות המידע של חברת אלקטור, וכן בהתנהלותה כמחזיקה של מידע אישי ורגיש”. “גם לאחר תיקון הליקויים הראשוני”, כותבים שם, “עדיין ניתן היה לחדור למערכות המידע שלה ולהגיע אל פנקסי הבוחרים ואל מידע אישי המצוי במערכת”. אבל את זה כבר ידענו.

הפרזנטור של אלקטור, ראש הממשלה בנימין נתניהו, בסרטון תעמולה
הפרזנטור של אלקטור, ראש הממשלה בנימין נתניהו, בסרטון תעמולה

כזכור, מפעילי אלקטור טענו בתצהיר רשמי לוועדת הבחירות כי “פרצת האבטחה באפליקציה התגלתה ביום שבת (8.2), והיא נמשכה ‘פרק זמן קצר מאוד’ ש’נמדד בשניות'”. בפועל היה מדובר על למעלה שבוע שבו כל אדם עם ידע בסיסי יכל לגשת למידע של כל אזרחי המדינה בגיל הצבעה, ושכפי שמציין משרד המשפטים לא תוקן “תוך שניות”. הודעת משרד המשפטים כוללת קביעות קשות וחמורות לגבי התנהלות החברה, וזו מצידה מספקת שקרים על שקרים על שקרים לגורמים רשמיים של המדינה. גם כאן נראה שמדובר בהתנהלות סדרתית וחוסר לקיחת אחריות. בימינה כבר החליטו להשתמש באלקטור בבחירות הקרובות, ובליכוד שוקלים.

ומה העונש שקיבלו חברת אלקטור, ומפלגות הליכוד וישראל ביתנו שהעבירו לה מידע פרטי ורגיש על כולנו מבלי לבדוק את יכולת החברה להגן עליו, בתום שנה של חקירה מאומצת של משרד המשפטים? ניחשתם נכון – כלום. שום דבר. המסר שמעבירה המדינה לחברות וארגונים המחזיקים את המידע שלנו ברור – אין צורך להשקיע באבטחת מידע, אין צורך להשקיע בהגנה על המידע, מבחינתם לשים אותו פתוח ברשת עם שלט ניאון מהבהב “כאן מידע למסירה בחינם”. זה כמובן מגיע עם שורה ארוכה של צקצוקים ונזיפות ונפנופי אצבעות של המדינה, אבל בפועל – כשמנהל עומד בפני החלטה אם להשקיע סכום כסף בהגנה על המידע או להשקיע את אותו סכום כסף בשיפור איכות המאפים בישיבות ההנהלה – הבחירה ברורה.

אין שירביט – אין אימפקט

וכאן אנחנו מגיעים לחלק הכואב ביותר. כשאין חוק – כל דאלים גבר. אם המידע של רנעד היה מקבל את אותו הטיפול שקיבל המידע של חברה הביטוח שירביט, היינו רואים טיפול שונה לחלוטין. כשכנופיית פושעי סייבר ביקשה לסחוט את חברת הביטוח הישראלית ואיימה לפרסם מידע שגנבה מהשרתים – שורה ארוכה של גופים התייצבו במשרדי החברה והכריחו אותה להשבית את מערכותיה עד אבטחתן. לא היה הליך של “החברה אומרת שיקח שלושה שבועות לאבטח את המידע, אנא התאזרו בסבלנות”. סגרו, פשוט הגיעו וסגרו את המערכות עד לתיקון, לבדיקה של התיקון, לבדיקה חוזרת של הבדיקה הקודמת, ורק כשהיו בטוחים שהמידע סגור – התירו את המשך הפעילות.

מדוע כשאין כנופיית כופר, הטיפול לא זהה? מדוע המדינה מאפשרת לחברה להגיד, בלי להתבייש, “חכו שלושה שבועות, עד אז המידע ימשיך לדלוף”? מדוע במקרה אלקטור לא השביתה המדינה את המערכות של החברה עד לתיקון הליקויים, בדיקתם, וקבלת אישור להמשך תחת פיקוח? 

רשיון הנהיגה שלכם באתר שירביט 🖼️ פרסומת של שירביט
רשיון הנהיגה שלכם באתר שירביט 🖼️ פרסומת של שירביט

בניגוד לנטען במספר פורומים – המערכת הפרוצה של אלקטור המשיכה לפעול גם לאחר גילוי הדליפה החמורה, טענה שמחזק דוח משרד המשפטים: “גם לאחר תיקון הליקויים הראשוני עדיין ניתן היה לחדור למערכות המידע שלה ולהגיע אל פנקסי הבוחרים ואל מידע אישי המצוי במערכת”. זאת אומרת – המערכת נותרה חשופה באוויר והמשיכה לאפשר גישה למידע שבתוכה, ואף אחד לא אמר “די”. אנחנו יודעים לספר שהמידע של אלקטור נלקח *לפחות* חמש פעמים *אחרי* שהחברה טענה שחור האבטחה תוקן. זו לא התנהלות שצריך לקבל, וזו ודאי לא התנהלות שאפשר לקבל. היה פה כשל משמעותי של כל הגופים המעורבים, והכשל הזה מקבל מסגור נאה עם ההחלטה שלא להטיל שום סנקציות על אלקטור ועל המפלגות שחשפו את כולנו לשורה ארוכה של איומים, אחת מהן מפלגת השלטון מזה יותר מעשור, שהעומד בראשה, ראש הממשלה בנימין נתניהו, קרא בקולו שוב ושוב להשתמש באפליקציה המחוררת. 

אגב, הליכוד עשוי להשתמש באלקטור שוב במערכת הבחירות הקרובה. החלטה טרם התקבלה, אך אלקטור היא החברה המובילה בתחום, לפי יועץ התקשורת של שר הדיגיטל דודי אמסלם, נמרוד אלירן סבח, שאף החמיא לחברה בראיון לכלכליסט: “הם הוסיפו הרבה אלמנטים בעקבות מערכת הבחירות האחרונה. הם למדו את המערכת בצורה הטובה ביותר. בסופו של דבר, אלקטור הביאה את התוצאה”.

רק ברוטפורס הם מבינים

אם במקום “סתיו”, אמן פיתוי הדטאבייסים שפנה אלינו עם הממצאים החמורים באלקטור, היתה מוצאת את המידע “אביב”, העומדת בראש כנופיית פשע, והיתה משתמשת בו לסחיטה או מוכרת אותו לגורמים עוינים  – אני מניח שהאימפקט היה שונה. אם במקום א’, ג’, ונריה באשה, שפנו אלינו אחרי שרנעד ומשרדי הממשלה כשלו פעם אחרי פעם לאבטח את המידע שם, היתה “אביב” זו שמוצאת אותו וסוחטת שורה ארוכה של אנשים וגופים ישראלים – אני מניח שתשובה כמו “חכו שלושה שבועות בזמן שאנחנו נחים בים” היתה מתקבלת בפחות הבנה.

בהודעה שפרסם ראש 🎵מערך הסייבר🎶, יגאל אונא, לסיכום 2020, הוא כתב:

בחודשים האחרונים ובעיקר מאז פרוץ משבר הקורונה הניסיונות התגברו משמעותית, במגוון רחב ושונה של תוקפים, מטרות, שיטות או טכנולוגיות. כל זה מלווה גם במלחמת תודעה – יצירת לחץ ופרובוקציות מצד התוקפים. לצד זה גם צבר הפרסומים האחרונים בארץ ובעולם הביאו ארגונים להיות ערניים יותר וכתוצאה מכך להאיר עם זרקור לתוך הרשת שלהם ולמצוא שם דברים חריגים. מהצד השני, צבר הפרסומים הזה מעודד תוקפים לפעול במרחב ואף בצורה בוטה ומוחצנת יותר. כחלק מזה אנחנו צופים כי תוקפים ימשיכו לנצל את ההד הציבורי כדי לנסות לגנוב מידע נוסף או לפרסם מידע ישן.

מתוך אתר מערך הסייבר הלאומי
מתוך אתר מערך הסייבר הלאומי

אי אפשר להיות יותר מפורש מזה: לפי אונא, הפרסומים על תקיפות הם אלו שמעודדים את התוקפים, וההד הציבורי הוא שמעודד תוקפים לנסות לגנוב מידע ולפרסמו. לא הרשלנות שבבניית מערכות מחוררות; לא הטיפול הסלחני של המדינה; לא הכסף הרב שאפשר להרוויח מסחיטה וממכירה של מידע גנוב; לא הפוטנציאל לפגיעה טקטית, מורלית ואסטרטגית במדינת ישראל ותושביה מבלי לירות טיל אחד – האשמה היא בתקשורת תאבת הסקופים ובציבור ההיסטרי.

אם דליפה של מידע על ישראלים לגורמים פליליים או למדינות אויב היא מה שנדרש כדי להביא לשינוי בהתנהלות המדינה לגבי המידע הפרטי של כולנו – מדובר במסמר נוסף בארון הקבורה של מדינת החוק שאנחנו מספרים לעצמנו שיש לנו כאן. אם מי שמכתיב את מדיניות הממשלה הם ארגוני פשיעה, או ארגוני ביון זרים – נחרה נחזיק אחרי ג’ון לנון ופול מקרטני ונאמר: “לט איט בי”.

____________________________
נעם רותם הוא חוקר סייבראבטחה. עידו קינן הוא עיתונאי טכנולוגיה ומפיק פודקאסטים. השניים מגישים יחד את סייברסייבר, פודקאסט על האקרים ומאפים


בואו נדבר על מערך הסייבר 🐱‍💻 סייברסייבר ע03פ08

רנעד ממשיכה לדלוף, אלקטור ממשיך לפעול, מערך הסייבר ממשיכים לקבל רבע מיליארד ₪ בשנה

תגובת מערך הסייבר הלאומי:

השנה קיבל המערך 360 דיווחים על חולשות בארגונים שונים מחוקרי אבטחה ומקורות נוספים – עלייה של 80% בהשוואה לשנה שעברה. זאת, נוסף ל-5,000 פניות יזומות שביצע המערך לארגונים בשנה וחצי האחרונות, בהכוונה לסגירה של חולשות חמורות רוחביות ונפוצות. רוב הארגונים מתייחסים ברצינות לדיווחים שמגיעים מהמערך ומטפלים בסגירת החולשות במהירות. מי שבוחר לא לסגור את הפירצה – מוצא עצמו חוזר ומבקש את עזרת המערך בטיפול בתקיפה. כמו כן, במקומות שבהם למערך יש סמכות בחוק, חולשות נסגרות במהרה.


הבוט שגנב את כריסמס 🐱‍💻 סייברסייבר ע03פ07

ליאל שטראוך, חסידת דאטא וסייבר סקיוריטי, דירקטורית מחקר בפרימטראיקס מספרת לסייברסייבר איך נאבקים בבוטים שמנסים לקנות את כל האקסבוקסים והפלייסטיישנים 🐱‍💻 פרק חדש של סייברסייבר


רנעד ופינבוט שלשלו מידע על מאות חברות ואלפי עובדים 🐱‍💻 סייברסייבר ע03פ06

מאות חברות בישראל בהן גופים בטחוניים סומכות על רנעד. חבל שהמידע הרגיש של עובדי החברות, כמו אישורי מחלה ומספרי תעודת זהות, התגלגל ברחבי האינטרנט. נציגיה: ״השמצות״. גם חברת פינבוט שילשלה מידע בעייתי לכל עבר אך הגיבה בצורה מקצועית: ״מודים על הצפת החולשה״.


בלעדי 🧮 חצי מיליון מסמכים של צה”ל, אינטל, תעשייה אווירית וכללית נחשפו בפירצה בתוכנת הנה”ח FINBOT

סייברסייבר ודה-מרקר חושפים: פירצה במערכת הנהלת החשבונות הדיגיטלית הישראלית FINBOT מבית “קו מנחה” חצי מיליון מסמכים רגישים לכל אדם בעל כלי הפריצה המשוכלל דפדפן 🔐 הפירצה תוקנה מספר שעות אחרי האסגרה 🐱‍💻 נעם רותם ועידו קינן

הסייברפריצה המדוברת לחברת הביטוח שירביט, שהתגלתה בחודש האחרון, מתגמדת לעומת פירצת האבטחה שאנחנו בסייברסייבר ואמיתי זיו מדה-מרקר חושפים היום. כחצי מיליון קבלות וחשבוניות, כולל של גורמים רגישים ובהם גופים בטחוניים, היו חשופות לרשת באמצעות כלי הפריצה המשוכלל דפדפן. הגורם לחשיפה הוא תוכנת הנהלת החשבונות הישראלית FINBOT, שסבלה מפירצת אבטחה מביכה. הפירצה תוקנה זמן קצר לאחר אסגרתנו.

פינבוט מציעה “הנהלת חשבונות חכמה ללא ניירת בעזרתה תוכלו להעניק ללקוח שירות יעיל ומתקדם, לדווח לרשויות בקלות ובמהירות ולחסוך בזמן ובכוח אדם”. לפי האתר הרשמי, האפליקציה “קולטת חשבוניות ומסמכים במייל, בצילום ואפילו בווטסאפ ומתרגמת אותם לפקודות יומן”. בין המשתמשים שפינבוט מתגאה בהם באתרה נמצאים מספר משרדי רו”ח, ובהם פירמת רואי החשבון BDO זיו האפט, המדורגת במקום ה-5 ברשימת משרדי רוה”ח המובילים בישראל 2020 לפי מדד Dun’s 100 ומדד BDi Code.

אז הסורק סרק והשוחט שחט, ועלה על חולשה ידועה וכואבת, עליה דיברנו כבר בפרק על מערכות לניהול קוד (“א גיט סייבער”, ע02פ29). החולשה, לאלו מכם שלמרבה היגון לא עוקבים באדיקות אחרי הפודקאסט הפופולרי סייברסייבר, חושפת גישה לקוד המקור של המערכת בשל תכנון לקוי של המבנה שלה. תיקיה חשופה בשם “נקודה גיט” (או נקודה SVN, תלוי במערכת ניהול הקוד) מאפשרת לכל אדם בעל דפדפן גישה למידע אודות הקוד, ולכל אדם בעל טרמינל גישה לקוד עצמו – הכל ללא סיסמאות וללא הגבלות גישה מסוג כלשהו.

בקוד עצמו, שללא ספק לא עבר שום ביקורת אבטחת מידע או בדיקת חדירה, ושום עין של איש מקצוע לא שזפה את זיו חולשותיו, היו שלל כשלים, שהחמור בהם היה הימצאותו של מפתח לסביבת הענן של אמזון. אין שום צידוק ושום תירוץ לשמור מפתח קבוע בקוד, בטח ובטח כשהקוד חשוף ברשת, אבל כדי להוסיף חטא על פשע – המפתח דנן היה מפתח של מנהל המערכת שנתן גישה מלאה לכל סביבת הענן של בעליו.

מפתח קורא לגנב

בואו נעצור רגע ונדבר על מפתחות והשימוש הנכון בהם.

בדרך כלל מפתחות משמשים לביצוע פעולה אחת, ובהשאלה – לפתוח חדר אחד בלבד. למשל: אם אני רוצה לשלוח הודעת סמס – יהיה לי מפתח שמוגבל לשליחת הודעות סמס בלבד. אם אני צריך גם לשמור קבצים בדלי – אוציא מפתח נוסף, או שבכלל אשקול עבודה עם roles (אבל זה כבר סיפור אחר). אם נמשיל את העניין לסביבה מציאותית יותר: יהיה לי מפתח אחד להיכנס לחדר הדואר על מנת לשלוח מכתב, ומפתח אחר לכלוב התיישים כדי להנות מהיאבקות קלה לפני השינה. 

מה שקרה כאן, וזה בדיוק מה שקרה גם במערכת “אלקטור” שחשפה את פרטיהם של כל בעלי זכות הבחירה בישראל (ע02פ16, ע02פ17), זה שמפעילי המערכת התעצלו, אם מבורות ואם מעצלנות, לייצר מפתח יעודי, ופשוט שמו את מפתח המאסטר שמאפשר גישה מלאה להכל.

מפתחות תלויים על קיר 🖼️ עידו קינן
מפתחות לא מוגנים 🖼️ עידו קינן

אתם מבינים לאן זה הולך, נכון?

במפתח הזה אפשר היה לפתוח את כל הדליים, לגשת לכל השרתים, להוריד את כל מסד הנתונים, לפתוח שרתים חדשים, לשלוח הודעות, לכרות ביטקוין, למחוק הכל (כולל הגיבויים) ולבקש כופר, ותכלס – כל מה שתמיד רציתם לעשות אצל הדודה והדוד.

וכאן אנחנו מגיעים למידע של פינבוט. זוכרים את שירביט? אז תחשבו בגדול יותר. מאות אלפי מסמכים של מיטב הגופים הישראלים, החל בצה”ל ובשלל יחידות משרד הביטחון, דרך התעשייה האווירית, קופת חולים כללית, אינטל, הטכניון, מפעלים שונים, וכלה בעשרות אלפי עסקים קטנים ובינוניים, בהם חוקרים פרטיים, מטפלים למיניהם, ותכלס כל סוג של חברה בע”מ או עוסק מורשה, והמסמכים שהם הוציאו ללקוחות שלהם – כולל פרטי הלקוחות עצמם. לא נעים.

(ראו עדכון בסוף הפוסט)

“טעות אנוש; המידע לא דלף”

פינבוט מופעלת על ידי חברת חשבים ה.פ.ס, שהוקמה ב-85′, וכיום היא “החברה הגדולה ביותר בישראל למידע עסקי בעולם הפיננסים ובעולם המשפט”, לפי אתרה הרשמי. חברת האם, קבוצת קו מנחה, סיימה את רכישת פינבוט במרץ 2020 בעיסקה של 2.5 מיליון שקל עבור 70% מהמניות.

קו מנחה, שנמצאת בשליטת יפעת, היא חברה בורסאית שנסחרת לפי שווי שוק של 139 מיליון שקל. לפי אתרה היא “קבוצת ה-SaaS המובילה בישראל בתחומי מידע ושירותים בשוק ההון והפיננסים, משפטים, כספים, הנהלת חשבונות, מיסוי ונדל”ן, וכן שירותי ענן לניהול קשרי לקוחות ומשרדי מייצגים”. 

בדוח השנתי של קו מנחה 2019 ציינה החברה את הסייברסייבר כגורם סיכון מקרו גבוה:

במקרה של פגיעה בחברה כתוצאה מאירוע סייבר כאמור, עלולה החברה לסבול מהשלכות שליליות מהותיות כגון שיבוש בפעילותה השוטפת של החברה או של לקוחות החברה להם מספקת החברה שירותים, שיבוש בפעילותן של מערכות המידע של החברה או השבתתן, פגיעה במוניטין החברה אשר עלולה להשפיע על אמונם של לקוחות החברה, וחשיפה לתביעות משפטיות.

החברה דיווחה עוד כי נערכה למתקפות סייבר שכאלו:

החברה משקיעה מאמצים ומשאבים (ארגוניים, כספיים, מקצועיים ומחשוביים) במטרה להגן על מערך טכנולוגיות המידע שלה ולמזער את סיכוני אבטחת המידע, לרבות: (א) ביצוע תכניות עבודה שנתיות להגנת סייבר; (ב) ביצוע סיקרי סיכונים ובדיקות חוסן; (ג) עריכת הדרכות תקופתיות, הן כלליות והן פרטניות; (ד) הטמעת כלים טכנולוגיים מתקדמים ליישום וביצוע נהלי ומדיניות אבטחת המידע. כמו כן, כחלק ממדיניות אבטחת המידע, החברה אימצה נהלים שונים המותאמים להתמודדות עם סיכונים אפשריים הגלומים במתקפות סייבר, כגון: סיווג וטיפול במידע, תגובה לאירוע אבטחת מידע, הנחיות לעובדים בנושא אבטחת מידע, בקרת גישה, גיבוים ושחזורים, בקרה על כניסת עובדים ומבקרים, טיפול במאגרי מידע, ניהול משתמשים וסיסמאות וכיו”ב. 

אסגרנו את הפירצה ל”קו מנחה” ולמערך הסייבר, והיא תוקנה תוך מספר שעות. יש לציין לטובה את תגובת הנהלת החברה שלקחה אחריות מלאה על העניין ופעלה בצורה חיובית וטובה לסגירת הפרצה במהירות וביעילות. טעויות קורות, זה דרכו של עולם, וארגון נשפט בדרך בה הוא מטפל בהן. במבחן הטיפול, “קו מנחה” מקבלת עשרה מאפים פריכים. סחתיין!

התייחסות לסיכוני סייברסייבר בדוח השנתי של קו מנחה

מנכ”ל קבוצת קו מנחה, שי מגל, מסר בתגובה:

בערב יום ראשון נמסר לנו ממערך הסייבר שאותרה חולשה באבטחת מערכת המידע של החברה. מיד עם העדכון ובסיוע של מי שאיתר אותה, נעם רותם, הפעילה החברה צוות תגובות פנימי (ERT) לטיפול בנושא ופעלה לסגירת החולשה על בסיס המידע שנאסף ועובד.

מתחקיר ראשוני עולה כי בעקבות מעבר שבוצע לאחרונה של מערכות החברה לשרתי הענן של אמזון, ובגלל טעות אנוש של אינטגרטור חיצוני שליווה את המעבר, נומרה חשיפה של קוד המקור. בשום שלב לא דלף מידע רגיש לגורמים שונים, פרט למידע שהגיע לידי דהמרקר. החברה מודה לכל הנוגעים בדבר על הצפת החולשה ומיישמת, באמצעות אנשיה וגורמי מקצוע המייעצים לה, בקרות מפצות נוספות למניעת הישנות המקרה.

עדכון בעקבות הפרסום (14:23)

לאחר פרסום הכתבה כאן ובדה-מרקר, בחברת קו מנחה ביקשו להבהיר שרק חלק מהמידע שדלף שייך להם.

על פי החברה, המידע שלה עוסק בלקוחות פרטיים וחברות קטנות. המידע שנחשף מהגופים הגדולים – צה”ל, ארגונים בטחוניים, הטכניון, קופ”ח כללית ואחרים – שייך לגוף פיתוחי שאיתו קו מנחה עבדו בעבר. המפתח של אותו גוף נשאר בקוד של פינבוט בשגגה, ובנוסף למידע של לקוחות פינבוט חשף גם מידע שאינו קשור לחברה בשום צורה.

ואנחנו שוב נציין לטובה את המקצועיות והרצינות שבהן קו מנחה מטפלים בתקרית.

📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל [email protected] 🗝️ הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר) 📞 הודעות קוליות שילחו אל הקו החם והפריך של סייברסייבר: 055-2-776766 💸 תרומות בפייבוקס למספר 055-2-776766

כך אפשר להאזין לסייברסייבר:                    


🧅 יום בסל 🧙 הסיסמה של וולדמורט 🐱‍💻 סייברסייבר, ע03פ05

🌐 הפירצות הבסיסיות ב-TOR מוכיחות שהרשת האפלה קצת פחות אפלה ממה שהיינו רוצים להאמין 🪄 שיטת הורקרוקס לחיזוק אבטחת מנהל הסיסמאות🐱‍💻 סייברסייבר ע03פ05


משטרת המחשבים 👮‍♀️ שוטרי ישראל בוחשים לכם בגלישה 🐱‍💻 סייברסייבר ע03פ04

חשיפת סייברסייבר ו”הארץ”: ספקי תקשורת נדרשים לאפשר למשטרה מעקב ומניפולציה על גלישת הלקוחות 🚨 המשטרה: “פועלים על פי הסמכויות בחוק”


הפירצה”ל 🪖 שמות חיילים ומצבם הרפואי נחשפו ביישומון הקורונה הצבאי 🐱‍💻 סייברסייבר ע03פ03

הפירצה”ל 🪖 פירצת האבטחה בשאלון הקורונה של צה”ל חשפה חיילים והיסטוריה רפואית. איור: יוסי למל. להרחבה

הפרק בחסות סאסא סופטוור, שמספקים שירותי הלבנה (CDR) להגנה מפני מתקפות דרך קבצים זדוניים; ובחסות SentinelOne, שאחרי גיוס לפי שווי של 3 מיליארד דולר ממשיכים לחפש עובדים

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן; נעם רותם 🎹 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404 🔔 קולות: שולה מוקשים; Oh, the humanity! / הרברט מוריסון; הסמויה; תופים / setuniman cc-by-nc; הגעת לעזה הגעת למותך / חמאס

📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל [email protected] 🗝️ הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר) 📞 הודעות קוליות שילחו אל הקו החם והפריך של סייברסייבר: 055-2-776766 💸 תרומות בפייבוקס למספר 055-2-776766

כך אפשר להאזין לסייברסייבר:                    


המלצת האזנה בגלובס ⭐⭐⭐⭐⭐

אביב מזרחי הזכיר אותנו בתרשים זרימה לבחירת פודקאסט ישראלי להאזנה. אנחנו כל כך נרגשים שאנחנו סולחים לו על האיות השגוי של שמו של נעם רותם.

סייברסייבר, הבחירה הנכונה היחידה. קליק להגדלה

כך אפשר להאזין לסייברסייבר:                    


סייברסייבר ע03פ02 🐱‍💻 הפרצן הקטן שכח לסגור הדלת

ונשפכו לו כל השמות והסיסמאות שגנב מפייסבוק, ספוטיפיי ואינסטגרם🐱‍ כמו כן: מיאו


600 אלף ישראלים נחשפו: תמונות עירום, צ’טים מיניים, כרטיסי אשראי ועוד בפירצת אבטחה חמורה

הכל היה מוכן להשקת העונה השלישית של הפודקאסט הפופולרי סייברסייבר, כשקיבלנו דיווח בתיבת ההדלפות המשוכללת שלנו בדארק-ווב. המדווח.ת, סתיו, אמן.ית פיתוי הדאטהבייסים הזכור מחשיפת פירצת הליכוד-אלקטור, סיפר לנו על שורה של פרצות חמורות במספר פלטפורמות היכרויות ישראליות, החושפות פרטים אישיים מאוד של מעל 600,000 ישראלים וישראליות. פרסמנו את הסיפור במקביל עם עומר כביר בכלכליסט.

<חסות>



סייברסייבר מופק בחסות חברת הסייברסייבר SentinelOne, שמגייסת עובדים ל-50 משרות במשרדיה בתל אביב

לפרטים והגשת קורות חיים לסנטינל וואן התגלצ’ו אל s1.ai/tlv-jobs

<\חסות>
מסמכים צבאיים ותצלומי חיילים 🖼️ דליפת אתרי ההכרויות והזנות הגדולה
מסמכים צבאיים ותצלומי חיילים 🖼️ דליפת אתרי ההכרויות והזנות הגדולה

את הדברים של סתיו אנחנו מביאים כלשונם, כולל ההחלטה לא לאסגר את המידע לפלטפורמות הדולפות או למערך הסייבר הישראלי.

סייברסייבר: באופן טבעי לא נשאל מי את או אתה, זה יהיה בסדר אם נקרא לך “סתיו, אמן פיתוי הדטהבייסים”?
סתיו: “יותר טוב מהכינוי הנוכחי שלי ברשת, אני סבבה עם זה”.

סייברסייבר: על כמה מערכות מדובר בפרצה הנוכחית?
סתיו: “יש שם קרוב למאה אתרים שמופעלים על ידי 4-5 פלטפורמות שונות. חלק מהמפעילים ישראלים, חלק לא, אבל המשתמשים הם כמעט רק ישראלים”.

סייברסייבר: כמה משתמשים נחשפו?
סתיו: “במערכות של הזנות כמה עשרות אלפים, לא רחוק מ-80,000. סה”כ, כולל המערכות של ההיכרויות לצרכים רומנטיים יותר, מעל שש מאות אלף ישראלים”.

סייברסייבר: איזה מידע מצאת שם?
סתיו: “המון. מיילים, טלפונים, סיסמאות, בחלק מהמקרים גם תעודות זהות, כתובות פיזיות, העדפות מיניות, תמונות עירום, הודעות פרטיות בין משתמשים, בקשות לתשלום על מין, לפעמים הוכחות לתשלום, ראיתי צילומי מסך של תשלומי ארנונה שנעשו בתמורה להבטחה למין, צילומי יתרות בחשבונות בנק (כנראה כדי להראות יכולת כלכלית), מסמכים צבאיים (כולל מפות, סידורי פטרולים, משמרות, ועוד), צילומי תעודות זהות ודרכונים, במקרה מסוים אפילו מכתב המראה זכאות לירושה מאישה שנפטרה ימים ספורים לפני שצולם והועלה למערכת. ראיתי קטינים שמציעים את עצמם, והפניות שהם מקבלים, ובאמת כל דבר. אנשים הם משונים, חלקם דפוקים לגמרי”.

מו”מ על שירותי זנות 🖼️ דליפת אתרי ההכרויות והזנות הגדולה

סייברסייבר: כמה מסובכות הפרצות האלה?
סתיו: “כמו שראיתם במידע ששלחתי לכם – אלה פרצות של גן ילדים, וסביר מאוד להניח שהמידע הזה כבר בחוץ בידיים זרות. מה שמטריד הוא פוטנציאל הסחיטה של עובדי ממשלה הנשואים שמחפשים מין מזדמן (וכאלה יש המון); וכמובן הפגיעה שאנשים מקהילות סגורות כמו חרדים או ערבים שכנראה יהיו מוכנים לשלם לא מעט כדי להשאיר את המידע הזה חסוי”.

סייברסייבר: באסגרה שלך כתבת שאתה (או את) לא סומכים על הרשויות בישראל ולכן לא פניתם אליהם עם המידע, וכמו כן ביקשתם מאיתנו לא לאסגר. למה?
סתיו: “בדליפה של מערכת האלקטור היתה לי ציפיה לפעולה משמעותית של הרשויות. עד עכשיו לא קרה עם זה כלום, וכנראה גם לא יקרה. זו היתה נקודת שבר שאחריה הבנתי שאין בישראל באמת רצון או יכולת להגן על האזרחים ברשת. חלק ממפעילי המערכות כאן הם פושעים, מקדמים זנות, ומדיחים אנשים חלשים למכור את גופם. אחרים הם סתם רמאים שמפעילים פרופילים פיקטיביים כדי לפתות אנשים להוציא כסף, ולכן הפתרון גם לא נמצא בלעזור להם לאבטח את המערכות שלהם טוב יותר כדי שימשיכו לרמות אנשים נוספים”.

שיחת וואטסאפ בין חברים באתר 🖼️ דליפת אתרי ההכרויות והזנות הגדולה

סייברסייבר: מה את, או אתה, מתכננים לעשות עם המידע הזה? מידע מאוד מסוכן, מאוד נפיץ, יכול לגרום לנזקים אמיתיים.
סתיו: “עוד לא החלטתי. חלק מהמידע באמת מזעזע, בעיקר הקטינים, אבל גם סוגים אחרים של ניצול אנשים מוחלשים על ידי אנשים חסרי מצפון ומוסר. נראה איך יתפתח הסיפור הזה. הבעיה המרכזית כאן היא שיהיה קשה לפגוע בחלאות בלי שיעופו שבבים גם על הקורבנות שלהם. למשל רב ידוע מאזור הדרום, או עובד בבית חולים לחולי נפש המפתה קורבנות ליחסי מין אלימים, או שוטרים ואנשי ביטחון אחרים, שעל פי חלק מההודעות עשויים לנצל את מעמדם כדי לפגוע. מאוד יתכן שהמידע שלהם ימצא את עצמו בחוץ, אבל כאמור – נראה לאן יתפתח הסיפור”.

סייברסייבר: אם אנחנו כבר מדברים, עושה רושם שזה לא הרודיאו הראשון שלכם ברשת הישראלית. איך הייתם מגדירים את מצב האבטחה שלה?
סתיו: “די מזעזע. עם כל הרעש של מערך הסייבר, מערכות ממשלתיות ואזרחיות רבות פרוצות לחלוטין, ואלה לא מערכות זניחות. למשל, מצבת כח האדם הממשלתית הכוללת עובדים בארגונים שלא הייתם מצפים שיחשפו את רשימת העובדים שלהם – כמו המוסד והשי”ן בית (למשל 03XXXXXX4 או 5XXXXX42; אתם לא חייבים להזכיר את המספרים עצמם, זה רק אם מישהו יפקפק בדברים האלה), או מערכת ביקורת הגבולות, או בנק גדול מאוד שמאפשר גישה למידע של כל החשבונות בו, ואלה רק דוגמאות.

מתנות תמורת מין חברים באתר 🖼️ דליפת אתרי ההכרויות והזנות הגדולה

“התרבות של מכרזים תפורים לחברות שחושבות שאבטחת מידע זו בדיחה מאפשרת כניסה לפחות או יותר כל מערכת גדולה בישראל, ולא נראה שלמישהו באמת אכפת מזה. אז אם כמה מיליוני תמונות של ישראלים בתחתונים או בלעדיהם זה מה שיביא את השינוי – שיהיה”.

סייברסייבר: וואו, זה נשמע קיצוני אפילו יותר ממה שאנחנו מכירים, מה אתה או את מתכננים לעשות עם המידע הזה?
סתיו: “שום דבר. יש לי שום דבר נגד מדינת ישראל, אבל גם אין לי שום אינטרס לעזור לה, בטח אחרי הפיאסקו של אלקטור. אם היה חשוב להם – היו משנים את השיטה שיוצרת את החורים האלה. כל עוד כסף מגיע לפני אינטרסים של האזרחים – שום דבר לא ישתנה”.

חדש! הקו החם והפריך של סייברסייבר!

תגובות לפרק? דיווחים על פירצות ופריצות? מתכוני מאפים? שילחו הודעה קולית

🍕 055-2776766 🐱

(אפשר גם לשלוח תרומות בפייבוקס למספר הזה)

המידע בדליפה שסתיו חשף הוא אישי ופרטי מאוד, וכולל מליוני תמונות פרטיות, רבות מהן תמונות עירום של המון משתמשים, חלקם במדים ועל רקע מפות ומסמכים צבאיים/משטרתיים; כתובות האימייל שאיתן נרשמו – כולל כתובות בדומיינים של משרדי ממשלה, בתי משפט ואף בית המשפט העליון; עשרות מליוני הודעות פרטיות בין המכירים באתר, וכמובן כל פרטי המשתמשים, העדפותיהם הרומנטיות והמיניות, והיסטוריית הקשרים שלהם ברשת.

הרמת המסך הזו חושפת גם דרכי פעולה נכלוליות של מפעילי הפלטפורמות, הכוללים שמירת פרטי אשראי מלאים וגלויים בניגוד לתקן, הקמת פרופילים פיקטיביים לפיתוי משתמשים אמיתיים על מנת להוציא מהם כמה שקלים, קידום זנות, ובמקרים מסוימים אפילו מעורבות של קטינים.

חבילות מזומנים 🖼️ דליפת אתרי ההכרויות והזנות הגדולה
תצלומי חבילות מזומנים כהוכחה לעושר של חברים באתר 🖼️ דליפת אתרי ההכרויות והזנות הגדולה

זו אחת מדליפות המידע החמורות שידעה הרשת הישראלית, בעיקר בגלל רגישות המידע הנחשף, אבל לא פחות בגלל זהות המשתמשים שהמידע הזה שייך להם, חלקם עובדי מדינה, עובדי כוחות הביטחון, או חברים בקהילות דתיות יהודיות ומוסלמיות, החשופים עכשיו לשורה של סכנות, ובהן נידוי חברתי, סחיטה, אלימות ורצח.

סתיו סיכמה זאת היטב: “אל תסמכו על אף אחד, בטח לא עם מידע רגיש שלכם. צילמתם את עצמכם בעירום? תחשבו מאה פעמים לפני שתשלחו את התמונה, כי ברגע שהיא עוזבת את המכשיר שלכם – היא יוצאת משליטתכם וההנחה צריכה להיות שהיא תפורסם ושאלפי אנשים יצפו באיברים שלכם. אם אין לכם בעיה עם זה – מצוין. ובקשר לממשלה שלכם – שם אתם כבר יודעים מה צריך לעשות”.

<חסות>

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו.

אם תיכנסו ל
כאן, או לכתובת המקוצרת Podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.

<\חסות>

מזכים

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן; נעם רותם 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים, מעבדות סייברסייבר לאבז וחדר 404

🎛️ מיקס: עומר סנש 🐈 קריינות אותות: נועה ארגוב 🎭 שחקנים: רן בר-זיק מ”אינטרנט ישראל“, נעמה לוריא, מיליאנה 🎹 עטיפה מוזיקלית 🔔 קולות: אות מערך הסייבר / martysonic (cc-by-nc); חץ מקשת / robinhood76 cc-by-nc; צה”ל צועד / יואב תלמי, תזמורת משטרת ישראל; פטיש בית משפט / zerolagtime cc-by; פצצת אטום / Hard3eat cc0; הרשת האפלה / danlucaz cc0; הסיפור המרכזי עם אראל סג”ל ובועז גולן / ערוץ 20; סופרקאט one more thing של סטיב ג’ובס / Wyn Nathan Davis; הפגנות נגד ביבי / תומר אפלבאום, עידן דורפמן (1,2,3); נפתלי בנט מדבר על סייברסייברסייבר: INSS, אוניברסיטת ת”א 🖼️ תמונת פרק: עיבוד לתצלום של Israel Captures

📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל [email protected] 🗝️ הדליפו לנו דרך תיבת ההדלפות הסודית (כניסה עם TOR / הסבר) 📞 סיגנל, טלגרם, וואטסאפ, סמסים והודעות קוליות שילחו אל הקו החם והפריך של סייברסייבר: 055-2-776766 💸 תרומות בפייבוקס למספר 055-2-776766


🐱‍💻 תחקיר סייברסייבר: 600 אלף ישראלים נחשפו בתמונות עירום, צ’טים מיניים, כרטיסי אשראי ועוד 🐱‍💻 ע03פ01

 סתיו אמן.ית פיתוי הדאטהבייסים מדווח.ת על פירצה באתרי הכרויות וזנות ישראליים שחשפה עשרות מיליוני רשומות אישיות, כולל תמונות עירום, צ’טים, מידע בטחוני מסווג וכרטיסי אשראי 🐱‍💻 סייברסייברסייבר, העונה השלישית


שוד הרכבות הלא-גדול שאינו שוד 🐱‍💻 סייברסייבר ע02פ32

רכבת ישראל השיקו מערכת שוברים להגבלת מספר הנוסעים בימי הקורונה. אבל בזכות שתי פירצות אבטחה שניבעו בה אפשר היה להנפיק שוברים בלי להיספר, וגם להזמין מאות שוברים ולנסוע ברכבת לגמרי לבד 🐱‍💻 סייברסייבר סוגרים עונה


סייברקורונה 🦠 ד”ר אייל רונן מגן על המגן 🐱‍💻 סייברסייבר ע02פ31

אחד מהחוקרים שסייעו לשפר את פרטיות יישומון הקורונה הממשלתי מסביר איך זה עובד באמת


סייברקורונה 🦠 הקוד של המגן מזוהם 🐱‍💻 סייברסייבר ע02פ30

יישומון הקורונה של משרד הבריאות הבטיח קוד פתוח, שקיפות ופרטיות, אבל מצאנו בו דברים מאוד מדאיגים  🐱‍💻 להרחבה: cybercyber.co.il/?p=151


א גיט סייבער 😾 סייברסייבר ע02פ29

מערכת ניהול הגירסאות למתכנתים גיטהאב עלולה לחשוף את הסודות שלכם. זה מה שקרה לגולן טלקום ולעוד הרבה אתרים ישראלים


סכנה לנשים בפורנו: פירצה חשפה פרטים אישיים ושמות אמיתיים 🐱‍💻 סייברסייבר ע02פ28

פירצה בפוסיקאש חשפה פרטים אישיים של שחקניות ודוגמניות פורנו מ-20 השנים האחרונות🐱‍💻 פוסט התוכנית: room404.net/?p=77592


הטראמפליקציה והכסף הדיגיטלי של הודו פרוצים 🐱‍💻 סייברסייבר ע02פ27

גילינו פירצות חמורות ביישומון הבחירות של דונלד טראמפ, הכסף הדיגיטלי של ממשלת הודו ועוד 🐱‍💻 פוסט התוכנית: room404.net/?p=77684


סייברקורונה 🤿 אל תבנו על יישומוני מעקב המגע 🐱‍💻 סייברסייבר ע02פ26

אפליקציות המגן ודומותיה לא יצילו אותנו – אבל עלולות לשמש לפגיעה בפרטיות וזריעת כאוס 🐱‍💻 פוסט התוכנית: room404.net/?p=77594


🕵️ השב”כ בכלל יכול על הקורונה? 🐱‍💻 סייברסייבר ע02פ26

מדען המידע דרור גולדין מנתח את יעילות השב”כ באיתור נדבקי קורונה 👔 קול-קורא קורונומטר – מי לבש אותו הכי טוב? 🍞 נעםר נותן מתכון למאפה 🐱‍💻 להרחבה: room404.net/?p=77564


🌊 הסייברמתקפה על המים בישראל היא רק קצה הקרחון 🐱‍💻 סייברסייבר ע02פ25

מכשירים תעשייתיים רבים מבוססים על מערכות שליטה מיושנות וקלות לפריצה ולמניפולציה. זה משבש, מסוכן ואפילו קטלני. על הכוונת של ההאקרים: מקררים תעשייתיים, תחנות דלק וסכרים. ראיון עם מייסדי חברת אוטוריו שמתמחה בסייבר תעשייתי


🤳🏾 האקר מצרי ניסה לסחוט חברת תקשורת ישראלית 🐱‍💻 סייברסייבר ע02פ24

ההאקר חוסאם ניסה לסחוט מאנאטל 1500$ תמורת אסגרת פירצה שחשפה פרטים על לקוחות 👨‍💻 תיעוד נסיון הסחיטה מופיע בתמליל צ’ט שדלף מהחברה 🐱‍💻


קורונה: מדבר סקר תרחק 🐱‍💻 סייברסייבר ע02פ23

🧑‍⚕️ סקר הקורונה של פרופ’ סגל אמור להיות אנונימי, אבל משרד הבריאות חיבר אותו למערכת מעקב שעלולה לזהות את המשתתפים 🦠 גורמים עויינים עלולים להציף את הסקר בתשובות שקריות ולשבש את התוצאות 🐱‍💻


הפתרון למעקב בחסות הקורונה: קריפטופארטי 🐱‍💻 סייברסייבר ע02פ22

הסמארטפון מספר לתא הסלולרי את מיקומך, ה-GPS מאכן אותך והדפדפן מגלה לספק האינטרנט לאן גלשת ומה ראית. בקריפטופארטי מסבירים איך למנוע זאת באמצעים פשוטים 🐱‍💻 סייברסייבר עם יובל אדם, נעם רותם ועידו קינן

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, חדר 404; נעם רותם, מעבדות סייברסייבר 🔔 קולות: הרצאה של אדוארד סנואודן / אורנשטיין חושן; כושר / FBI; ראש ה-NSA לשעבר מייקל היידן; בני גנץ, שלא ייכנס לממשלת בנימין נתניהו, נכנס לממשלת בנימין נתניהו: N12, ערוץ הכנסת; פרשת נועה אייל – מציאת הרוצח דניאל נחמני: רשת, וויינט, גלצ, כאן; תדהר הירשפלד נגד המחבלים מיצהר / רועי שרון 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Fauna vs. Killah B – Los Piratas Del Reggaeton (Futuristic Dance Squad Viaba Mashup) by Futuristic Dance Squad (רשיון cc-by) 💵 מוזיקת אייטיז בפרסומות: 80s by Fryc (cc-by) 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים 📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל [email protected]

מעקב בחסות הקורונה 🎨 Syaibatul Hamdi
מעקב בחסות הקורונה 🎨 Syaibatul Hamdi

קורונה וקורקינטים עוקבים אחריכם 🐱‍💻 סייברסייבר ע02פ21

🛡️ אל תתקינו את אפליקציית “המגן” של משרד הבריאות 🛴 קורקינטים שיתופיים איפשרו לעקוב אחרי הרוכבים 🐱‍💻

יש לנו הרבה מילים חמות למשרד הבריאות על הדרך שבה פיתח את יישומון “המגן”, על האנשים שייעצו בנושא ועל שחרורו בקוד פתוח. אבל אנחנו ממליצים להימנע ממנו עד שבעיות הפרטיות המובנות בו ייפתרו.


חסות

מחקר של SentinelOne גילה קשר בין הפושעה TrickBot לבין קבוצת ההאקרים לזרוס, המקושרת לצפון-קוריאה ובין השאר לפריצה לסוני. החברה גייסה לאחרונה 200 מיליון דולר, ועכשיו מחפשת עובדים. להגשת קו”ח >>



הקורקינטים השיתופיים שיתופיים מדי. אמיר שלדובסקי מחברת אימפרבה חקר וגילה שהם חושפים מידע על עצמם, על המפעילים ועל הרוכבים. כאן תחקיר הקורקינטים של אימפרבה, וזה סרטון הדגמה של פירצת הקורקינטים:

קורקינטים של שיאומי היו חשופים לפריצה שמאפשרת האצה ובלימה



חסות

VPN זה חשוב, ו-ProtonVPN הוא שירות ה-VPN האהוב עלינו. אם תיכנסו לכאן, או לכתובת המקוצרת podcasti.co/vpn, על כל רכישה שלכם הבלוג והפודקאסט יקבלו כמה שקלים – דרך נחמדה להגיד לנו תודה.



מזכים

סיבר סיבר? סיברסיבר?? סייבר סייבר?! סייברסייבר! 🐱‍💻 סייברסייבר הוא הסכת (פודקאסט) על האקרים ומאפים 🗣️ מגישים: עידו קינן, חדר 404; נעם רותם, מעבדות סייברסייבר 🔔 קולות: קורונה וירוס / קרדי בי, אליה גרינפלד: הכל קורונה / יותם קונסטנטיני, גמל / acclivity, cc-by-nc, גוגל מאפס, טוסט סיילון / המפץ הגדול; פריצת סאונד לקורקינטים של ליים (כתבה); הדגמת פירצת קורקינטים / אימפרבה; פרסומות ליים, ווינד, בירד; רבע עוף או בורקס / רבקה מיכאלי ויוסי בנאי, איש המרשמלו / מכסחי השדים 🎹 העטיפה המוזיקלית של הפודקאסט מבוססת על הטראק Fauna vs. Killah B – Los Piratas Del Reggaeton (Futuristic Dance Squad Viaba Mashup) by Futuristic Dance Squad (רשיון cc-by) 💵 מוזיקת אייטיז בפרסומות: 80s by Fryc (cc-by) 👨‍🔧 עיצוב סאונד: עומר סנש 🔧 הופק על ידי Podcasti.co – מפיקים פודקאסטים מעולים


📰 חדשות סייברסייבר: @OhCyberMyCyber 📫 כיתבו לנו אל [email protected]


😷 סייבר-קורונה: המידע הרפואי שלכם דלף 🐱‍💻 סייברסייבר ע02פ20

🧫 עשרות אלפי צילומי רנטגן, MRI, לייזר ו-CT עם פרטים אישיים של מטופלים ישראלים ואחרים דלפו בגלל אי-אבטחת תקן העברת תמונות רפואיות 🦠 גם יישומון קורונאפ של משרד הבריאות דלף 🌠 תלמידים סינים הפילו יישומון לימוד מהבית באמצעות מתקפת דירוגי כוכב אחד 🐱‍💻


⛓️ האסירים כלואים אבל המידע שלהם חופשי 🐱‍💻 סייברסייבר ע02פ19

מערכת ג’יילקור לניהול בתי סוהר דלפה מידע מפורט על אסירים, בריאותם, סדר יומם ועוד; גם הסוהרים נחשפו 🧖 ההודעה שהרגלי הפורנו שלכם נחשפו? הונאה


✡️ תחי מדינת ישראסייברסייבר! 🐱‍💻 סייברסייבר ע02פ18

דליפות כחול-לבן: 70 אלף תעודות זהות, חוגרים וקצינים מיישומון 1824• מידע על משתמשי שירות סינון האתרים פיורסייט • פרטי 4000 עובדי מגה 🐱‍💻 להרחבה 🤑 הפרק בחסות SentinelOne, שמחפשים עובדים אחרי גיוס של 200 מיליון דולר


🗳️ אחרי חשיפת הפירצה באלקטור: פרטי 6.4 מ’ ישראלים ממשיכים לדלוף 🐱‍💻 סייברסייבר ע02פ17

מעקב סייברסייבר: אחרי חשיפת דליפת ספר הבוחרים הישראלי מאלקטור, היישומון עדיין פרוץ לגורמים עויינים 🙈 אלקטור מכחישים 🚨 הליכוד מאיימים לפנות למשטרה 🐱‍💻 פוסט התוכנית room404.net/?p=77164


🗳️ האגרון 2: פנקס הבוחרים המלא דלף לרשת דרך הליכוד ויישומון אלקטור 🐱‍💻 חשיפת סייברסייבר 🐱‍💻 ע02פ16

פירצה ב”אלקטור”, היישומון שמשמש את הליכוד לניהול הבחירות, חשפה את ספר הבוחרים המלא, 6.4 מיליון רשומות


👨‍💻 פירצות בוורדפרס, תקלות בחלונות 🐱‍💻 סייברסייבר ע02פ15

שתי פירצות אבטחה של וורדפרס – בפלטפורמה עצמה ובשירות הגיבוי מימקאש. וגם: איך מיקרוסופט יודעים מה לא בסדר עם החלונות שלך? room404.net/?p=77107


🗝 מצעד הצפנים של שנות ה-90 עם פרופ’ אור דונקלמן 🐱‍💻 סייברסייבר ע02פ14

שנות התשעים היו סוערות במיוחד בעולם ההצפנות. פרופ׳ אור דונקלמן, נעם רותם ועידו קינן מגישים את המצעד האולטימטיבי – הצפנים הלוהטים של הניינטיז. קריינות: משה גרינברג, דייויד זיסקינד, סאונד עומר סנש.


💸 הפריצה לאתר בנק ישראל: קטשופ על השרת 🍟 סייברסייבר ע02פ13

האקרים ישבו חצי שנה על פירצת אבטחה באתר בנק ישראל, והשחיתו אותו יום אחרי שישראל תקפה בעזה. חקירת תהיל”ה העלתה מאות פירצות SQL וגירסת PHP עתיקה. יול בהט, אחד מהחוקרים, משחזר את המחדל 💳 ומה הבעיה עם קמפיין הבנק לשינוי קוד סודי של כרטיסי אשראי?


❌ אלוהים מרחם על דליי הגן 🐱‍💻 סייברסייבר ע02פ12

חצי מיליון תלמידים ישראלים נחשפו בפירצה באפליקציית מעורבות חברתית, וילדי גן באפליקציית ניהול גנים. משרד החינוך: “מייחס חשיבות אדירה”, “מקפיד באופן בלתי מתפשר”, בלה בלה בלה 🍼 ולמה רן לוקאר לא הגיע לאולפן 🐱‍💻 סייברסייבר ע02פ12


🍊 תחקיר סייברסייבר סגר דפי פייסבוק שקידמו ברבע מיליון $ פייק ניוז למכירת מרצ’נדייז טראמפ 🐱‍💻 סייברסייבר ע02פ11

פייק ניוז הסתה משמש למכירת ממתגי טראמפ שמוצגים כתרומה לקמפיין. דלפו לרשת: פרטי 75 לקוחות והמוכרים, שהוציאו מאות אלפי $ על פרסום בפייסבוק 🐱‍💻 סייברסייבר ע02פ11. עברית: room404.net/?p=76987 אנגלית: podcasti.co/go/trumpcoin


🛩️ הצצנו למזלטים של האמריקאים. ואז הפנטגון התקשר 🐱‍💻 סייברסייבר ע02פ10

איזה רחפנים האמריקאים האלה: מאגר מידע של כל המזלטים המבצעיים שלהם דלף לרשת, כולל מסלולים בלייב ותמונות שהם צילמו. ככה זה כשלא מאבטחים את שרשרת האספקה. להרחבה: room404.net/?p=76975


😓 יש חור בדלי🐱‍💻 סייברסייבר ע02פ09

🙀 סורק הסייברסייבר שלנו מצא באקטים פתוחים של אמזון, שחשפו תעודות מזהות, סרטונים פרטיים (מאוד!) ועוד שלל אוצרות 😿


🇵🇸 הרשומון הפלסטיני דלף באפליקציית אנדרואיד 🐱‍💻 סייברסייבר ע02פ08

מרשם האוכלוסין הפלסטיני הועלה לאפליקציית אנדרואיד דולפת. שק החתולים של סייברסייבר חקר ואיסגר – וגוגל לקחו את הזמן אבל לבסוף הסירו אותה מהאפסטור 🐩 ויש גם טרוניה על מאגר הכלבים הישראלי. סייברסייבר עם נעם רותם ועידו קינן, והאורח רן לוקאר. להרחבה: roo


🏨 חדר במלון עם נוף למספר כרטיס האשראי שלכם 🐱‍💻 סייברסייבר ע02פ07

🏨 חדר במלון עם נוף למספר כרטיס האשראי שלכם 🐱‍💻 סייברסייבר ע02פ07 פירצת אבטחה במערכת של רשת מלונות אקור חשפה פרטים על האורחים, מספרי אשראי, סיסמאות כניסה וכרטיסים שרכשו לאטרקציות תיירותיות 🧪 ופינה חדשה: מהנעשה בסייברסייבר לאבז ✒️


🥟 אזרחי אקוודור וג’וליאן אסאנג’ הופקרו ברשת 🐱‍💻 סייברסייבר ע02פ06

מישהו בממשל האקוודורי לקח הביתה 20 מיליון רשומות על אזרחי המדינה (וג’וליאן אסאנג’) – והפקיר אותן במאגר פרוץ. גם כשאסגרנו להם את הפירצה הם התקשו להיסגר על עצמם ולסגור אותה room404.net/?p=76824


מציצים לכם עם השואבק הרובוטי של האייר 🐱‍💻 סייברסייבר ע02פ05

שואב האבק הרובוטי של ענקית האלקטרוניקה הסינית השתמש בפרוטוקולי אבטחה מיושנים ותעודת הצפנה שהמפתח שלה חשוף ברשת. הפירצות איפשרו לשלוט בתנועה של השואבק ולהשתמש במצלמת הניווט שלו להציץ לבני הבית