קטגוריה: כללי

האקרים הפילו את ארכיון האינטרנט

האקרים תקפו את "ארכיון האינטרנט", השחיתו אותו וגנבו ממנו מידע. האתר אינו זמין כרגע (חמישי 10.10 בצהריים).

The Internet Archive, שברוסטר קייל הקים ב-1996, הוא מלכ"ר ספרייה דיגיטלית שמטרתה לספק "גישה אוניברסלית לכל הידע". מאז שאירכב את עמוד הרשת הראשון שלו ב-10.5.1996, הארכיון שומר עותקים של אתרי אינטרנט לאורך השנים – אוטומטית, ידנית ולפי בקשת גולשים, ומנגיש אותם לציבור דרך האינטרנט מאז השיק ב-2001 את ה-WayBack Machine, מנוע חיפוש ואינדוקס של אתרים. הארכיון מארכב גם תוכנות, קבצי מדיה וספרי נייר, שנשמרים הן פיזית והן בעותקים דיגיטליים. נכון לתחילת ספטמבר, האתר החזיק 866 מיליארד עמודי רשת ועשרות מיליוני קבצים ודברי דפוס. נכון לינואר השנה, הארכיון מחזיק יותר מ-99 פטהבייט של מידע.

אנשים שהתגלצ'ו ל-archive.org ביום רביעי (8.10) קיבלו פופ-עף ג'אווה סקריפט שהודיע בלשון ציורית שהאתר נפרץ:

הודעת הפריצה לארכיון האינטרנט: "האם אי פעם חשדתם שארכיון האינטרנט עובד על זרדים ונמצא תמיד על סף פירצת אבטחה קטסטרופלית? אז זה קרה עכשיו. נתראה עם 31 מיליון מכם ב-HIBP!" 📷 צילומסך: Bleeping Computer

ההאקרים התכוונו שהצליחו לגנוב 31 מיליון פרטי התחברות לארכיון האינטרנט. HIBP הם ר"ת של Have I Been Pwned?, אתר של מומחה הסייברסייבר טרוי האנט, שמחזיק מאגר מידע מתעדכן על דליפות פרטי התחברות. קבוצת האקטיביסטים בשם BlackMeta לקחה אחריות על מתקפת הדידוס והודיעה שתבצע מתקפות נוספות, מה שאכן קרה. להערכת האנט, ייתכן שמספר קבוצות תקיפה היו מעורבות במתקפות השונות.

האנט אישר ל"בליפינג קומפיוטר" שקיבל את מאגר פרטי התחברות, קובץ בשם ia_users.sql בנפח 6.4 ג"ב, ושווידא את אמיתותו מול מספר משתמשים שפרטיהם דלפו. האנט אישר גם את המספר שההאקרים נקבו בו – 31 מיליון כתובות אימייל ייחודיות של חברים רשומים באתר, וכן שמות המשתמש שלהם, מועדי שינוי סיסמאות, סיסמאות מוגנות ב-bcrypt (גיבוב והמלחה, כלומר שהגנבים יתקשו לפענח את הסיסמאות ולהשתמש בהן) ומידע פנימי נוסף.

האנט פרסם את ציר הזמן של משבר הסייבר: ההאקרים ככל הנראה גנבו את המאגר ב-28.9, חותמת הזמן המאוחרת ביותר במאגר. האנט קיבל את המאגר ב-30.9, התפנה לנתח אותו ב-5.10, וב-6.10 פנה לארכיון האינטרנט לבצע אסגרה אחראית. ב-7.10 ארכיון האינטרנט אישר שאכן נפרץ, ב-8.10 האנט פנה שוב לקבל מהם הודעת אסגרה ולהודיע שיפרסם את דבר הדליפה למחרת, ב-9.10, אבל אז ההאקרים ביצעו מתקפת DDoS והשחיתו את האתר עם הודעת הפריצה, והאנט החליט לתת לארכיון האינטרנט עוד יום של חסד לפני הפרסום.

לפי מייסד הארכיון קייל, מתקפת הדידוס הראשונה התרחשה כבר ביום שלישי 8.10, כפי שדיווח בזמן אמת: "DDOS ביום שלישי? בפעם הקודמת זה היה יום שני. ג'יז. ארכיון האינטרנט פועל להשיב את archive.org לתפקוד". למחרת עדכן ש"מתקפת ה-DDOS של אתמול על ארכיון האינטרנט חזרה על עצמה היום". אמש הרחיב כי מדובר לא רק במתקפת DDoS על האתר, אלא גם השחתתו דרך ספריית ג'אווהסקריפט (שהקפיצה את הודעת הפריצה) וחדירה למאגר שמות משתמשים, כתובות אימייל וסיסמאות מגובבות ומומלחות. לדברי קייל, ארכיון האינטרנט הדף את המתקפה, ניטרל את ספריית ה-JS, ניקה את המערכות ושידרג את הסייבראבטחה.

כשניסיתי להיכנס לארכיון האינטרנט וגיליתי שהוא לא זמין – המחשבה הראשונה שעלתה לי בראש היתה לחפש עותק מטמון שלו בארכיון האינטרנט. ארכיון האינטרנט הוא כלי חשוב לחוקרים, אקדמאים, עיתונאים, היסטוריונים והציבור הרחב. הוא אינו הגוף היחיד שמשמר את הרשת, אבל ודאי המקיף שבהם. גוגל נהגה לספק בתוצאות החיפוש לינק לעותק מטמון ששמרה של העמוד, למקרה שהוא לא זמין, חסום לגולשים או השתנה ונדרשת גישה לגירסה הקודמת. אלא שהשירות של גוגל הנגיש עותק אחד בלבד, בעוד ארכיון האינטרנט מאפשר לדפדף בין עותקים שונים ולראות שינויים שבוצעו בעמוד. בנוסף, גוגל החלו לפייד את השירות בשלהי 2023, בפברואר השנה הודיעו רשמית על סגירתו, ובחודש שעבר החלו להוסיף לתוצאות החיפוש לינק לעותק מטמון של האתר בארכיון האינטרנט.

ארכיון האינטרנט לא זמין? אז אני אחפש עותק מטמון שלו בארכיון האינ… אה, שיט 😔

הספרייה סגורה כעת

מתקפת הסייבר מצטרפת למכה משפטית שספג ארכיון האינטרנט בתחילת ספטמר, כשנאלץ להפסיק להשאיל ספרים דיגיטליים. הארכיון השיק ב-2006 את "הספרייה הפתוחה", שבמסגרתה השאיל לגולצ'ים ספרים דיגיטליים וגירסאות דיגיטליות של ספרי דפוס. ההשאלה בוצעה בשיטת Controlled Digital Lending (CDL), שבמסגרתה הושאל בכל זמן נתון רק ספר דיגיטלי אחד כנגד עותק פיזי של הספר, שנרכש או נתרם למחסני הארכיון, או נמצא על המדף באחת מ-130 הספריות הציבוריות האמריקאיות שהצטרפו לפרוייקט. במסגרת ה-CDL, הקבצים הוגדרו כך שישמידו את עצמם – כלומר יוצפנו בלי אפשרות לפתוח אותם – בתום תקופת השאלה של שבועיים. בעוד הוצאות ספרים והתאגדויות סופרים טענו שמדובר בפיראטיות, הארכיון טען שהוא פועל כספרייה אקדמית או ציבורית בהתאם לחוק האמריקאי, ואף נרשם רשמית כספרייה ציבורית.

במרץ 2020, בתקופת הקורונה, הארכיון הקים את "ספריית החירום הלאומית", תוכנית להשאלת ספרים דיגיטליים לגולצ'ים, שתוכננה להיסגר ביוני 2020 או כשמצב החירום בארה"ב יבוטל, המאוחר מביניהם. בניגוד לספרייה הפתוחה, הספרייה הדיגיטלית הסירה את המגבלה על מספר העותקים הדיגיטליים, ואיפשרה לכל גולץ' לשאול כל ספר שירצה למשך שבועיים בלי להמתין שהקורא הקודם "יחזיר" אותו. הארכיון נימק זאת בכך שהנגשת מידע לא-זמין היא שימוש הוגן לפי חוקי זכויות היוצרים, מכיוון שהיא מאפשרת לפעילויות חינוכיות להימשך גם בזמן שחנויות הספרים והספריות סגורות והגולצ'ים מסוגרים בבתיהם. הארכיון הגדיל לעשות ואיפשר לסופרים שלא רצו בכך להסיר את ספריהם מהתוכנית.

אלא שהשאלת ספרים דיגיטליים בספריות ציבוריות כפופה להסכם בין הספריות למו"לים, וכוללת הגבלה על מספר ההשאלות של עותק דיגיטלי. זאת כדי להשוות את התנאים לספר פיזי, שהספרייה נדרשת לרכוש עותק חדש שלו כשהוא מתבלה ונשחק אחרי מספר מסויים של השאלות.

ביוני 2020, הוצאת הספרים האצ'ט, הארפר-קולינס, פינגווין רנדום האוס ו-וויילי הגישו תביעה על הפרת זכויות יוצרים של 127 כותרים שלהן בספרייה הפתוחה ובספריית החירום, שנסגרה שבועיים מוקדם מהמתוכנן בגלל התביעה. ההוצאות טענו שהיעדר המגבלה על מספר ההשאלות פוגעת במכירות הספרים הדיגיטליים ובהכנסות הסופרים, שנפגעו בגלל הקורונה. אף שהמו"לים לא הציגו נתונים אמפיריים, ואילו ארכיון האינטרנט הציג מחקר שמראה שספרים מסויימים ירדו במכירות אחרי סגירת ספריית החירום – בית המשפט פסק לטובת המו"לים, ופסק הדין נותר על כנו בערעור. בעקבות כך, ארכיון האינטרנט נאלץ לחסום גישה לחצי מיליון כותרי ספרים, בהם יותר מ-1300 שהכנסתם לבתי ספר בארה"ב נאסרה או שיש דיון לגבי איסור כזה.

באוגוסט 2013 הוגשה תביעת זכויות יוצרים נוספת נגד הארכיון. יוניברסל מיוזיק גרופ, סוני מיוזיק אנטרטיינמנט וחברות מוזיקה נוספות הגישו תביעה נגד הארכיון על "Great 78 Project", שמאפשר להזרים גירסאות דיגיטליות של 400 אלף שירים מתקליטי 78 סיבובים לדקה, ובהם יצירות של פרנק סינטרה, מיילס דייויס, בילי הולידי ואלה פיצ'ג'רלד. הארכיון טוען שהוא עוזר להציל את השירים מכלייה, ואילו חברות המוזיקה טוענות שהשירים זמינים בשירותי סטרימינג בתשלום ואין סכנה שייעלמו. התביעה נקבה ב-2749 הקלטות-קול באתר שמפירות את זכויות היוצרים של התובעות, וטענה שהנזקים עשויים להגיע עד 412 מיליון דולר.


אין כפרה: כופרה הרגה פרה כפרית הרה

סיפור בלי נחמה: האקרי כופרה תקפו משק חקלאי קטן בכפר שוויצרי ודרשו 10K$. למרות שיבוש העדכונים מהרפת, החקלאי ויטל בירצ'ר סירב לשלם • כשעובר מת ברחמה של פרה, החקלאי גילה זאת מאוחר מדי – ונאלץ להכריז על מוווווותה • חלב על דאבדין – ולקח חשוב על מוכנות למשברי סייבר

🐄 הכתבה מלווה את {פ115} כופרה הרגה פרה


תמונות עירום ומספרי אשראי: פירצות חמורות ב-Swinging.co.il סיכנו סווינגרים

זה אחד מהמקרים הכי קשים שיצא לי לדווח עליהם – דליפת מידע באתר swinging.co.il. דליפה אחת? התכוונתי שתיים, ועם מידע סופר רגיש, כולל תמונות עירום מזוהות, חלקן של אנשים מהמגזר החרדי והערבי שיכול להביא גם לסכנת חיים ממשית, ולקינוח – התעלמות מוחלטת של הגורמים מאחורי האתר מפניותינו.

[עדכון] האזינו לפרק: סווינגינג? רואים לכם הכל 🐱‍💻 סייברסייבר ע07פ09


🍦 הטבה למילואימניקים: גלידה 🍨 הטבה להאקרים: רשימת המילואימניקים המלאה

כך סיכנה גלידה במתנה את פרטי כל המילואימניקים של חרבות ברזל. הפוסט מלווה את {פ101} ההטבה שחשפה את *כל* המילואימניקים בפודקאסט הפופולרי סייברסייבר


תרשום 2️⃣5️⃣8️⃣0️⃣ / תוסיף גם #️⃣

קודני בניינים סובלים משתי בעיות מרכזיות: לכלוך על כפתורים פיזיים וקודים קלים לניחוש. אם הקוד קשה מדי – מישהו כבר יכתוב אותו על הקודן. אבל גם לזה יש פתרונות יצירתיים ביהדות


קבלי את התנצלותנו, יודית!

עידן אלתרמן מתנצל בשם סייברסייבר בפני המאזינה יודית!

השפעה רוסית ניכרת: מבצע השפעה נגד סיוע לאוקראינה

עיתונאים מוכרים בכלי תקשורת מרכזיים יצאו נגד סיוע צבאי לאוקראינה במלחמתה מול רוסיה. אבל חקירה של מעבדות סייברסייבר לאבז מעלה שמדובר במבצע השפעה אנטי-אוקראיני מתוחכם, שכלל אתרי חדשות מתחזים, פרופילי סושיאל רב-לשוניים, מאות דומיינים ומניפולציות טכנולוגיות על רשתות חברתיות

נעם רותם, רן לוקאר

הכתבה, שגירסה שלה התפרסמה ב"ליברל" ב-1.8.2023, מלווה את שני פרקי "השפעה רוסית ניכרת" 🐱‍💻 סייברסייבר ע07פ01א-ב:


שקר הקריפטו

סיפרו לנו שהוא מטבע אנונימי, שלא ניתן לבצע בו מניפולציות, שהוא הדרך להתמודד עם הריכוזיות של הבנקים וחוסר האמון במערכת הפיננסית 🪙 בפועל: הוא ריכוזי לא פחות, לא מאפשר אנונימיות ובהחלט נתון למניפולציות, ולא מאפשר חירות אמיתית כפי שטוענים חסידיו 💸 פורץ דרך מוריד את מסך הבלוקצ'יין והביטקוין

הכתבה מלווה את הפרק לא אנונימי, לא מבוזר, לא מוגן 🐱‍💻 סייברסייבר ע06פ09:


המדריך לפוליטיקאי.ת המסתיר.ה 🗳️🕵️

לייקים צמאים ברשתות חברתיות, חברוּת בקבוצות טלגרם מפוקפקות, פרופילי הכרויות מביכים והתבטאויות עבר בעייתיות ירדפו אתכם כשתהפכו לאנשי ציבור. המדריך הזה יעזור לכן ולכם להיערך מראש ולצמצם נזקים // רן בר-זיק

הכתבה מתלווה לפרק איך לא להסתבך ברשת: המדריך הדיגיטלי לפוליטיקאי האנלוגי" 🐱‍💻 סייברסייבר ע06פ08


הצופן היווני – μαφορ ρεδ φλαγ!

איך מסכלים בקשת חופש מידע? דואגים שהמידע יהיה בלתי-חפיש. כך עשה יועץ לממשל מישיגן במחדל זיהום מי השתייה בעופרת – הוא כתב הודעה מפלילה באותיות יווניות כדי "להצפין" אותה


הרכבות בפולין ימשיכו לקטר

המשטרה עצרה שני חשודים בשיבוש תנועת הרכבות בפולין בסופש. אבל מערכת האיתות הלא-מאובטחת שמאפשרת את השיבוש תוחלף רק בסוף 24'


🚆 האקרים שיבשו את תנועת הרכבות בפולין וכרזו תעמולה רוסית 🚉

בסוף השבוע חדרו האקרים למערכת האיתות של הרכבת בפולין והביאו לעיכוב של יותר מעשרים רכבות נוסעים ומשא. רשויות הבטחון חושדות שמדובר במתקפה רוסית שנועדה לשבש משלוחי נשק לאוקראינה – חשד שמתחזק לאור הפריצה לכריזה והשמעת ההמנון הרוסי ונאום של פוטין


AI כותב ספר. בוט קורא. אמזון משלמים

בשבוע שעבר, 81 מתוך 100 הספרים הדיגיטליים הנמכרים ביותר בקינדל בסוגת בני נוער ומבוגרים-צעירים (YA) לא נכתבו על ידי בני אדם, אלא היו תוצר של בינה מלאכותית גנרטיבית (במ"ג) כדוגמת צ'ט-ג'יפיטי. מדובר באשפה מוחלטת – למשל, משפט הפתיחה של הספר "ארכיטקטורת ברקוד משמש" הוא "פיג’מת תחרה שחורה, חצאית מאוד קצרה, הדבר הכי חשוב, עכשיו פיג’מת התחרה הזאת רטובה לגמרי". אבל זה לא משנה, כי הם לא מיועדים לקוראים אנושיים. הספרים הללו זמינים במסגרת חבילת קינדל אנלימיטד, שתמורת מחיר חודשי קבוע מאפשרת צריכה של ספרים דיגיטליים וספרי אודיו בלי הגבלה. בוטים בחוות קליקים מורידים ו"קוראים" את הספרים במלואם, ואמזון משלמים ל"סופר" 0.4 סנט על כל דף נקרא. הסיפור המלא בחדר 404 ובתוכנית הרדיו "מה שכרוך" מנקודתזמן 17:23 (תמונת שער: רובוטים תומכי ספרים 🖼️ עידוק + דאל·י)


🚰 שתו כוס מים ותירגעו: שום האקר לא ניסה להרעיל את המים בפלורידה

שריף מפלורידה טען שהאקר ניסה להזרים חומר מסוכן בכמות מזיקה עד רעילה למי השתייה של עיירה מקומית, יומיים לפני הסופרבול. התקשורת ותעשיית הסייבר שמחו לרכוב על נראטיב ההפחדה ולקבל עוד תקציבים. שנתיים אחר כך, ה-FBI מודה שלא מצא ראיות, ושכנראה מדובר בטעות אנוש של העובד שדיווח על הפריצה

דיברנו על כך בפודקאסט הפופולרי "סייברסייבר": {פ91} עלילת מרעיל הבארות 🚱. אחרי הקיפול: הסיפור המלא


חשד למתקפה על בתים חכמים בישראל

לפי דיווח חדשות 13, האקרים פרצו למערכת בית חכם שמותקנת בבתים בישראל. הם הקרינו על הטלוויזיות החכמות של הנפרצים סרטון שמציג פיגועים ושיגורי רקטות עם הכיתוב "אין לכם ביטחון באדמה הזו". אחת המותקפות סיפרה: "התריסים בבית עלו וירדו בלי הפסקה וגם החשמל נדלק וכבה בערך שעה".


עונה 6!


בול פגיעה 📮 "תקרית סייבר" משתקת את הדואר הבינלאומי מבריטניה

משלוחי הדואר הבינלאומיים מבריטניה משותקים זה היום השלישי בגלל תקלה בתוכנת שטרי מטען. שירות הדואר הלאומי רויאל מייל נתפס בלתי ערוך למשבר הסייבר, לא יודע מתי ישוב לפעילות תקינה – ועדיין לא הודיע אם מדובר בפריצה <עדכון 15.1.2023> בלוקביט מכחישים מעורבות וטוענים שהאקר בולט עומד מאחורי המתקפה


10 מיליון אוסטרלים לא טועים פעמיים

שתי מתקפת סייבר ענקיות בפחות מחודש הביאו את אוסטרליה להסלים את המאבק בסייברפשע המאורגן. בין הצעדים: הקמת כוח סייברשיטור פדרלי, אימות דו-שלבי (שאינו באמת דו-שלבי) ונסיון לייבש את תשלומי הכופרה


מדברים על הפירצה של ש"ס

רן בר-זיק מקפטן אינטרנט ועידו קינן מסייברסייבר התראיינו בפודקאסטים על פרשת הפירצה במערכת ניהול הבחירות של ש"ס.

עידו קינן התראיין אצל עומר כביר ב"קוקיז" של כלכליסט:

רן בר-זיק התראיין אצל איתן אבריאל וסמי פרץ ב"האינטרסנטים" של דהמרקר:


תמונת השער: תומך ש"ס בבחירות 2013 🖼️ זאב ברקן cc-by


אבא מסתכל מלמעלה

חשיפה של רן בר-זיק (קפטן אינטרנט) והפודקאסט הפופולרי סייברסייבר: מחדל סייבראבטחה במערכת ניהול בחירות של מפלגת ש"ס חושף מידע-רב שהמפלגה אספה על אזרחים, כולל פרטים אישיים, מידע אישי רגיש ומידע ממערכות בחירות קודמות, שהמפלגות מקבלות אך נדרשות להשמיד בסיום אותה מערכת בחירות.

מחדל אבטחת מידע נרחב יותר מאלקטור: ש"ס מחזיקה מידע מפורט על מיליוני אזרחים במאגר קל לפריצה // רן בר-זיק, קפטן אינטרנט

בגלל ה-Debugger: כך התבצעה הפריצה למערכת ניהול הבוחרים של ש"ס // רן בר-זיק, קפטן אינטרנט

פרצת אבטחה במאגר ניהול הבחירות של ש"ס חשפה פרטים אישיים של מיליוני אזרחים // עומר כביר, כלכליסט

Massive data breach in Isreal: leaks, again, The entire Israeli voters' data // Ran Bar-Zik, LinkedIn

לא רק אלקטור: פרצת אבטחה בש"ס חשפה פרטים של מיליונים // יניב הלפרין, אנשים ומחשבים

המפלגות משתכללות – ומנצלות את חולשת רשות הגנת הפרטיות // עידו באום, דהמרקר

עוד על סייברבחירות:

פרטי פעיל במערכת ש"ס. מחקנו את הפרטים המזהים

תמונת שער: שלט בחירות של ש"ס 🖼️ ד"ר אבישי טייכר


לא-האקר זה טעים?

כהאקרים חובבי פחמימות ובדיחות אבא, לא יכולנו להתעלם מהקריקטורה הזאת של קרטוניש. We feel attacked.


שיהיה להם לאנטיווירוס 💉 כופרה משבשת את מערכת הבריאות הבריטית

מתקפת כופרה על ספק תוכנה גורמת לפגיעה חמורה בתפקוד מערכת הבריאות הבריטית. 5 שנים אחרי ש-WannaCry הצפינה רבבות מחשבים וגרמה לדחיית טיפולים לא-דחופים והסטת אמבולנסים, נראה שה-NHS לא השכיל להיערך למשבר סייבר צפוי עד כאב כרוני


האקר, חוקר אבטחה ושרקן נכנס לצרות

מניית יוביקוויטי נפלה ב-4 מיליארד דולר אחרי שהעיתונאי בראיין קרבז חשף שחברת ציוד התקשורת ניסתה לגמד את חומרת מתקפת הסייבר שעברה. עכשיו יוביקוויטי תובעת דיבה את קרבז, שהמקור שלו כנראה היה ניקולאס שארפ, לשעבר מפתח בכיר בחברה – והנאשם באותה פריצה



עונה 5 כבר בתנור


פצחן לבן אוהב פרצן שחור?

מאחורי כל דיווח על פריצה מרושעת לאתר ישראלי כמו אטרף מתחוללת מלחמה של אנשי הגנת סייבר בהאקרים הזדוניים • אלא שעל רקע מאבקי המוחות בין הפרצנים הזדוניים לבין הפצחנים שצדים אותם מתפתחות גם מערכות יחסים הדדיות של הערכה – ולפעמים אפילו חיבה


מענה אנושי קולביז שלום, איך אוכל לדלוף אותך? 🐱‍💻 סייברסייבר ע04פ06

👂 חברת קולביז, שמשרתת כ-2300 לקוחות, הפקירה הקלטות שיחות לכל גולש וגולשת בפירצת אבטחה שלא הצריכה יותר מדפדפן. בין הלקוחות: עו"דים, רו"חים וגופים ממלכתיים ובטחוניים 💸 וגם: מאגר השעבודים והמשכונות היה פתוח לכל גולשת, להורדה במלואו, בלי תשלום, באמצעות שורת קוד אחת 🐱‍💻 הדיווח בכלכליסט


עוד פירצה ועוד פירצה 🌆 אתרי התשלומים המוניציפליים דולפים 🐱‍💻 הסיפור המלא של סייברסייבר ע04פ02

כולם מדברים על ההאקר המלזי שמוכר מידע ממוחזר מ-City4U, אבל כבר לפני שלושה חודשים איסגרנו פירצה באתר המתחרה MAST שחשפה 660+ אלף קבצים עם מידע אישי ורגיש 🐱‍💻 נעם רותם, עידו קינן – סייברסייבר


המאגר הביומטרי, שפרטי יועץ אבטחת המידע שלו דלפו עכשיו בפריצה, לא ידלוף

ההאקר @SANGKANCIL_MY הודיע אתמול (5.9.2021) שהצליח לחדור למאגר מידע רגיש של רשויות מוניציפליות ישראליות. הוא פרסם בטלגרם דאמפ צנוע כהוכחה (PoC), ומציע את המאגר המלא בן 7 מיליון הרשומות למכירה. לא ברור אם ההאקר ידע זאת, אבל שניים מהמסמכים בדאמפ חושפים פרטים של יועץ סייברסייבר של המאגר הביומטרי.


✝️ הכומר שמכר את הפרטיות שלו

זהו סיפור עם מוסר השכל על מידע אנונימי שאינו אנונימי, נתוני מיקום בטלפון החכם שלכם, וכמרים שמשתמשים באפליקציות היכרות וברים של הקהילה הגאה


עושים טוב – שירת ה-NSO // טל ניצן

זֶה מַסָּע דֶּה־לֵגִיטִימַצְיָה שֶׁאֵין לוֹ אָח וָרֵעַ
אֲנַחְנוּ כְּמוֹ סְפַּיְדֶּרְמֶן שֶׁנִּרְדָּף
זֹּאת מְצִיאוּת מֻרְכֶּבֶת, זֶה לֹא נָעִים וְזֶה לֹא נוֹרְמָלִי
זֶה מְתַסְכֵּל מְאוֹד וְלֹא צוֹדֵק


מדוע האקרים אוהבים את bit.ly ואיך זה מסכן את בנק הבורקסים?

חולשות אבטחה מובנות במקצרי לינקים חושפות מידע אישי, רפואי ופיננסי. אבל למרבה המזל יש מה לעשות -ליחצו על הלינק המקוצר ותגלו איך 🐱‍💻 הפוסט מלווה את הפרק "קצרלינק וקטלני" – סייברסייבר ע03פ16:


ארגוני פשיעה השתמשו בסלולרי מוקשח ומוצפן של ספק התקשורת האמין FBI

הסיפור שודר בפינה "האחראי על האינטרנט" בתוכנית "שישבת עם עידן קוולר" בגלצ ב-19:35 📻 >>

פרטיות היא זכות אזרח וזכות אדם, שבחודשים האחרונים הפכה לסחורה חמה בשוק הטכנולוגיה. ענקיות הטכנומידע, שרבות מהן מתפרנסות מאיסוף והיוון מידע על המשתמשים, החלו לקדם יוזמות להגברת הפרטיות – גוגל חוסמים עוגיות צד ג' בכרום, אפל מאפשרים למשתמשי אייפון לחסום מעקב מצד יישומונים, וואטסאפ חזרו בהם מהגבלת משתמשים שיסרבו לתנאי שימוש שהיוו הרעה בפרטיותם.


הדואר באג היום 📮 פירצת וורדפרס חמורה ב-PHPMailer

אמ;לק: נחשפה פירצת אבטחה חמורה, CVE-2020-36326, בספריית PHPMailer של וורדפרס. מפעילי וורדפררס נדרשים לעדכן לגירסת 5.7.2, שמטליאה את הפירצה // רן לוקאר ונעם רותם


מידע על תלמידים וחיסוניהם הופקר ביישומון קורנה שמשרד החינוך בכלל לא מכיר

אמ;לק: עוד מערכת קורונה ממומנת מכספי ציבור הפקירה את פרטיהם האישיים והרפואיים של אלפי קטינים ישראלים והוריהם בפירצת אבטחה מביכה. בונוס: בתי-ספר דרשו מהורים לרשום אליה את ילדיהם, אבל היא לא הוגשה לתהליך אישור אבטחה של משרד החינוך - ובכלל פותחה עבור מכרז של משרד הבריאות לבתי אבות, כשהספק מקבל תשלום פר בדיקה. הפרק המלא:

מדינת ישראל מעודדת חברות לא לבזבז כסף על אבטחת מידע

נעם רותם ועידו קינן, סייברסייבר

כיסינו לא מעט כשלים טכניים וניהוליים שהובילו לפירצות אבטחה ולדליפות מידע משמעותיות בשלוש העונות של הפודקאסט הפופולרי סייברסייבר. אלו היו יכולות להימנע לו היו אנשי מקצוע מעורבים בתהליך, והחלטות היו מתקבלות על בסיס מקצועי.


🎵מערך הסייבר🎶: מערכת ניתוב שיחות ב-250 מיליון ש”ח לשנה ☎️

מזה תקופה עולים קולות שונים מתוך התעשייה המבקרים את התנהלותו של 🎵מערך הסייבר🎶 אל מול האיומים הניצבים בפני המשק הישראלי, ובעצם תוהים לגבי חשיבות קיומו של גוף שהיקף סמכויותיו והיקף פועלו לא ברורים לאיש, כולל לאלה העובדים בו.

הכתבה מלווה את הפרק בואו נדבר על מערך הסייבר 🐱‍💻 סייברסייבר ע03פ08:


⏲️ איזה שעון בן ח*&#$@! 🏭 שעוני הנוכחות של רנעד שלשלו מידע על מיקום, שעות עבודה ובעיות רפואיות של אלפי עובדים במאות חברות


בלעדי 🧮 חצי מיליון מסמכים של צה"ל, אינטל, תעשייה אווירית וכללית נחשפו בפירצה בתוכנת הנה"ח FINBOT

סייברסייבר ודה-מרקר חושפים: פירצה במערכת הנהלת החשבונות הדיגיטלית הישראלית FINBOT מבית "קו מנחה" חצי מיליון מסמכים רגישים לכל אדם בעל כלי הפריצה המשוכלל דפדפן 🔐 הפירצה תוקנה מספר שעות אחרי האסגרה 🐱‍💻 נעם רותם ועידו קינן


פרשת #משטריגול: שאילתה לשר, מדריך פרטיות לגולשות

הבוקר חשפנו כאן בסייברסייבר יחד עם עודד ירון מקפטן אינטרנט מערכת משטרתית למעקב והסטת תעבורת רשת. מספר התפתחויות בנושא: השר לבטחון פנים יצרך לתת תשובות על הפרשה, מדריך טכני מפורט יסייע לגולשות להקשות על המשטרה לעקוב אחריהן ולבצע מניפולציות על הגלישה שלהן, ויש גם מאפים.


הפריצה לשירביט: טרור!!1! הפירצה"ל: *צרצרים*

בניגוד לפרשת שירביט, האייטם הזה לא יגיע לראש החדשות. לא תראו פולואפים מאמצעי תקשורת, דיונים באולפנים או לחץ והיסטריה.

מה קרה: כל גורם שהוא היה יכול להוריד בנחת את הרשימה של כל חיילי צה"ל – בסדיר, בקבע ובמילואים, עם מספרי הזהות שלהם ושמותיהם המלאים, וגם גישה לדיווחי הקורונה שלהם.אני מכיר לא מעט גופים שהיו משלמים על הפירצה הזאת כסף טוב. אפילו רק כדי להביך את ישראל.


🎖️ הפירצה"ל: לכו בעקבות הריח

הפרק החדש של סייברסייבר התחיל מ-code smell, מונח מוכר היטב למפתחים מנוסים. מה המשמעות של code smell? סימנים קלים בקוד שמראים שיש איתו בעיה, כמו ריח של דגים שמעיד שהם לא טריים. זו לאו דווקא בעיה ספציפית עם הקוד. יתכן שהוא עושה בדיוק את מה שהוא אמור לעשות, אבל הוא כתוב באופן כזה שמראה שעלולה להיות איתו בעיה.


טרור? אנטישמיות? שירביט היא כולה עוד פריצה ברשת הישראלית המחוררת

בימים האחרונים נחשפת פעולת סחיטה מעניינת של חברת הביטוח "שירביט" על ידי קבוצת האקרים המכנה את עצמה "בלאק שאדו". מכיוון שהמון מומחים בעיני עצמם החליטו לשתף את הציבור בדעתם, חשבתי לעצמי – היי, גם אני מומחה בעיני עצמי, אולי גם אני אשתף את הציבור בדעתי! אז הנה השנקל שלי על מה שמתרחש, שאולי יתנגש מעט עם חלק מהתזות שנזרקות באוויר על ידי אחרים.


גוגל סטריט ויו מסתיר את בית ראש הממשלה בקיסריה, ובכך חושף את ראש הממשלה לאיום ביטחוני מצד ארגוני הטרור!

חשיפת מידע רגיש לא חייבת לקרות בצורה של פרסום המידע עצמו. לפעמים מידע רגיש נחשף גם בגלל אי-פרסומו. למשל: אם אני מחתים כרטיס נוכחות כל יום בעבודה, אפשר לדעת באילו ימים ושעות הייתי שם. אבל אם ביום שני לא העברתי את הכרטיס – היעדר המידע הוא למעשה מידע, שאומר שלא הייתי במשרד ביום שני, או הייתי אבל ניסיתי להסתיר זאת ולא העברתי כרטיס. משיודעים זאת, אפשר לנסות לברר אם הייתי או לא, על ידי בדיקת מצלמות מעקב, חקירת עמיתים לעבודה וכיוצא בזה.


600 אלף ישראלים נחשפו: תמונות עירום, צ'טים מיניים, כרטיסי אשראי ועוד בפירצת אבטחה חמורה

הכל היה מוכן להשקת העונה השלישית של הפודקאסט הפופולרי סייברסייבר, כשקיבלנו דיווח בתיבת ההדלפות המשוכללת שלנו בדארק-ווב. המדווח.ת, סתיו, אמן.ית פיתוי הדאטהבייסים הזכור מחשיפת פירצת הליכוד-אלקטור, סיפר לנו על שורה של פרצות חמורות במספר פלטפורמות היכרויות ישראליות, החושפות פרטים אישיים מאוד של מעל 600,000 ישראלים וישראליות. פרסמנו את הסיפור במקביל עם עומר כביר בכלכליסט.


ווינד מתקדמים מקורקינטים למאגר ביומטרי

הכתב כרמל ליבמן דיווח בשמחה בחדשות 2 כלשהן על "מהלך שיציל חיים? הטכנולוגיה החדשה שתמנע מילדים לשאול את הקורקינטים השיתופיים". כותרת מדוייקת יותר מופיעה בראש פוסט זה.


חולדאי דולף

ראש מדינת תל אביב, רון חולדאי, הכריז בתחילת החודש שהוא מתכוון להתמודד בבחירות הארציות, כי אף פעם אין מספיק גנרלים שרוצים לרוץ לראשות הממשלה מטעם השמאל המרכזי. בשבוע הראשון למועמדותו-מטעם-עצמו הוא הספיק לעשות שתי טעויות סייברסייבר: לדלוף מידע שהתכוון לשמור בפרטיות, ולסמן את המידע הזה לטובת מי שהתקשה למצוא אותו.


אין ברכה בפריצה בשבת

רשות מקרקעי ישראל מצפה מהאקרים שפורצים אליה לשמור שבת, כי היא מקור הברכה.

הרשות פרסמה לאחרונה את מכרז 453-2020 (פדף) לקבלת שירותי אבטחת מידע וסייברסייבר. מכיוון שמדובר ברשות ממלכתית במדינה יהודית ודמוקרטית, המכרז מבהיר כי הספק לא יספק שירותי סייברסייבר בשבת.


מערכת הפעלה בת 19 יוצאת לחופשי ועושה צרות להורים

מי לא זוכר את Windows XP ותמונת הרקע המפורסמת שלה? אמנם עברו 19 שנה מאז שמערכת ההפעלה האהובה הושקה, אבל גם היום היא מצליחה לעשות כאב-ראש לא קטן ליצרנית שלה מיקרוסופט, ועכשיו נראה שכאב הראש הזה הולך לגדול


הכופר של אובר: מה קורה כשבאג באונטי משמש לתשלום דמי שתיקה?

באג באונטי – bug bounty במקור – הן תוכניות שבהן ארגון מציע להאקרים למצוא אצלו פירצות אבטחה, לאסגרן בצורה אתית ואחראית ולקבל פרס, בדרך כלל כספי. הדבר נועד למסד את היחסים בין ההאקרים לארגונים, ולאפשר להם לעבוד יחד בלי חשש לפריצות והדלפת מידע מצד ההאקרים ולהליכים משפטיים מצד הארגונים. אחד הארגונים שמפעילים תוכנית באונטי הוא אובר, ששילמו לצמד האקרים 100 אלף דולר על גילוי פירצת אבטחה. זה מה שהם רוצים שנחשוב, בכל אופן.


אפשר את פרטי חשבון הבנק שלך? לא משנה, ניקח כבר מביטוח לאומי

היה זה ערב יום קיצי ושלו במפקדת סייברסייבר. השמש הטילה צללים ארוכים. נעםר נחר בשלווה על הערסל, מחבק שק של קמח. לוקאר היה עסוק במרדף אחרי אינספור צאצאיו. עידוק עבד כמובן (מישהו צריך לפרנס) ואני? אני חלמתי בהקיץ על ויסקי. לפתע השלווה הופרה בקול סירנה. אזעקת הסייברסייבר הופעלה! וההתרוצצות החלה. למה הופעלה אזעקת הסייבר? מכתב מאזרח בשם דני חזוב שגילה פרצה חמורה ושלח אותה אלי. מה הפירצה? פירצת אבטחה ביזיונית לחלוטין בביטוח לאומי או, איך שאנו בעולם הסייבר קוראים לה, יום חמישי. פרסמתי אותה הבוקר ב"הארץ".