שירביט?

sogi

משתמש בכיר
הצטרף ב
4/2/15
הודעות
2,873
דירוג
1,997
אני חושב שהדבר המרכזי שאנשים צריכים להפנים הוא שאסור לשלוח תצלומי תעודות זהות באיכות גבוהה לאנשים זרים באינטרנט. אי אפשר לסמוך על חברת ביטוח או כל גורם אחר שיוכלו לשמור על המידע שלכם.

צריך להקטין את האיכות כמה שניתן, לשלוח תעודה פגת תוקף למי שיש (מה שהיה לפני התעודה הביומטרית) ובנוסף כדאי לשים watermark.
 

yossik

מודרטור
הצטרף ב
24/1/15
הודעות
10,297
דירוג
11,725
מחשבות/דעות/השלכות בעקבות דליפת המידע?
ומה דעתך בנושא? בבקשה תשקיע מעט לפני שימחק או יינעל.
נושאים עצלים יימחקו. לצורך העניין, אם אתם פותחים שרשור חדש, ומשקיעים בכתיבתו פחות מ-60 שניות, סימן שמדובר בנושא עצל.
 

איתן אפרתי

משתמש סולידי
הצטרף ב
28/8/19
הודעות
29
דירוג
25
בעיקר תוהה אם מדובר ברשלנות והזנחה (השקעה נמוכה מדי, כח אדם לא מקצועי וכו׳) או שזה באמת בלתי נמנע.
הבעיה והקושי העיקריים שאני רואה, היא שלמשתמש הקצה (הלקוח) אין ברירה אלא לספק את המסמכים והנתונים הנדרשים, ומכאן אין לו שום אפשרות לוודא או אפילו להשפיע שהם מאובטחים בצורה טובה.
קשה לי לדמיין אפילו את ההרגשה של אדם עם בעיות רפואיות או אחרות שכל המידע הפרטי והכי רגיש שלו הופך לגלוי לעיני כל.
 

mudale222

משתמש בכיר
הצטרף ב
25/1/15
הודעות
1,468
דירוג
1,740
מחשבות/דעות/השלכות בעקבות דליפת המידע?

שמה שהיה הוא מה שיהיה. אין חקיקה ואין עונשים אז למה שזה לא ימשך?
כמעט בכל בחירות "נפרצים" (הכל פתוח, רק לקחת) מאגרי מידע של כמה מפלגות וכל המידע על האזרחים\בוחרים\חברי מפלגה נחשף.
שמעתם פעם שמישהו עמד על זה לדין?
ונראה ששירביט התרשלו ברמה קיצונית. גם לא הייתה להם בקרה בסיסית על כמות הריקווסטים\הגבלת כמות דאטה שיוצאת מהם וגם (ויותר גרוע), כנראה שלא טרחו להצפין שום דאטהבייסים שלהם עוד מ2012 ועד היום. פשוט ביזיון.
 

the_newbie

משתמש ותיק
הצטרף ב
22/9/18
הודעות
195
דירוג
146
מעניין האם ההדלפה כוללת פרטים של לקוחות עבר בנוסף.
אני לא הייתי ישן טוב בלילה אם הפרטים שלי היו גלויים לכל (אפשר להתחזות, לקחת הלוואות על שמי וכו') ואפילו הייתי שוקל להוציא ת.ז. חדשה.

צריך להקטין את האיכות כמה שניתן
לייק
 

Benjamin W

משתמש בכיר
הצטרף ב
10/8/16
הודעות
7,520
דירוג
7,133
לפי מה שהתפרסם בינתיים, רואי ונכון, בעיני, שמנכל החברה, יחד עם חברי הנהלה רלוונטים, וחברי הדירקטוריון, יבלו את העשור הקרוב במאסר. להבנתי, מדובר ברשלנות פושעת.
 

1337justme

משתמש בכיר
הצטרף ב
31/10/15
הודעות
1,684
דירוג
569
עקב ההפצה בטלגרם של חלק מהמסמכים שנגנבו משירביט ע"י קבוצת ההאקינג, אני תוהה לגביי משהו, יש שמועות שבחלק מהPDFS או אפילו מהתמונות הושתל קוד בכדי להפכם לtrojan שמאפשר שליטה על המכשיר של מי שפתח אותם (כן זה אפשרי, בדקתי קצת את הנושא).

מה שהכי מטריד אותי הוא לא העניין הזה, אלא שby default, טלגרם מוריד אוטומטית את כל(!) המסמכים והתמונות בקבוצה שאתה נכנס אליה. כלומר, גם אם אתה רק נכנס לערוץ של ההאקרים בטלגרם, הקבצים מורדים אוטומטית לתיקיה כלשהי במכשיר (כן, גם PDFS). ולא רק זה, מה שהכי מטריד הוא, שתמונות מוצגות אוטומטית בטלגרם, גם בלי ללחוץ עליהן. מילא PDFS למשל לא, אז לא יודע מה הסכנה של רק הורדה של המסמכים האלו.

עכשיו, השאלה היא, האם התצוגה האוטומטית של התמונות שקולה לפתיחתן בעזרת תוכנה לצפיה במכשיר? אם כן, זה חמור מאוד מאוד, כי זה אומר שכל מי שנכנס לערוץ בטלגרם, בעצם אוטומטית מריץ על המכשיר טרויאני שהושתל בתמונה.

מה קורה כאן בעצם? אני ישר הלכתי לטלגרם ושיניתי את כל ההגדרות שלא יורידו כלום אוטומטית. אבל זה מאוד מטריד.
מטריד שטלגרם לא חשבו על זה וברירת המחדל היא להוריד הכל למכשיר. מטריד שברירת המחדל היא להציג תמונות אוטמטית.

היום לצערי הנייד הוא כמו איבר נוסף בגוף והוא כל הזמן עלינו....ומצד שני, נראה שהפער בין הסכנות לבין רמת האבטחה הולך ונעשה גדול יותר, מה אתם חושבים על הנושא? אנטי וירוס לנייד זו דרך התמודדות, אבל לא הייתי סומך שיתפוס בהכרח קוד זדוני מתוחכם.
 

עוד מדמ"חיסט

משתמש סולידי
הצטרף ב
9/5/20
הודעות
30
דירוג
36
צריך להקטין את האיכות כמה שניתן, לשלוח תעודה פגת תוקף למי שיש (מה שהיה לפני התעודה הביומטרית) ובנוסף כדאי לשים watermark.
סוקרנתי. האם תוכל להסביר בקצרה לאיזה watermark אתה מתכוון, איך הוא מונע את מה שקרה לתעודות הזהות בשירביט ואיך ניתן ליישם אותו?
 

Shlomi Z

משתמש בכיר
הצטרף ב
29/7/18
הודעות
5,509
דירוג
4,088
סוקרנתי. האם תוכל להסביר בקצרה לאיזה watermark אתה מתכוון, איך הוא מונע את מה שקרה לתעודות הזהות בשירביט ואיך ניתן ליישם אותו?
נראה לי שהתכוון:
אם נגיד שלחת לשלומי-ביטוח תמונה של הת.ז אתה תשים עליה חותמת עם המילה [שלומי ביטוח]
אם נגיד שלחת לשירביט ..... תמונה עם חותמת שלומי שירביט.

כך במקרה של דליפה תוכל לדעת מהיכן דלף ומה עוד דלף ביחד עם זה.
 

sogi

משתמש בכיר
הצטרף ב
4/2/15
הודעות
2,873
דירוג
1,997
סוקרנתי. האם תוכל להסביר בקצרה לאיזה watermark אתה מתכוון, איך הוא מונע את מה שקרה לתעודות הזהות בשירביט ואיך ניתן ליישם אותו?
היה על זה דיון בפורום:
https://www.hasolidit.com/kehila/threads/טיפ-חשוב-לשליחת-מסמכים-אונליין.9200/

לפי מה שהתפרסם בינתיים, רואי ונכון, בעיני, שמנכל החברה, יחד עם חברי הנהלה רלוונטים, וחברי הדירקטוריון, יבלו את העשור הקרוב במאסר. להבנתי, מדובר ברשלנות פושעת.
השאלה היא עד כמה דליפת מספרי כרטיסי האשראי היום היא חמורה.
אם באמת פושעים ישתמשו בנתונים האלה, אז אני מניח שחברי ההנהלה ישבו כמה שנים בכלא.
מצחיק ששירביט אמרו אתמול בבית משפט שלא דלפו פרטי אשראי והיום ההאקרים הוכיחו שכן דלפו...

מישהו מוכן להסביר לי למה זה נחשב מאיים שיפורסמו תלושי משכורת של עובדי מדינה?
במה זה אמור להיות שונה מתלושי משכורת של עובד בחברה פרטית?
לדעתי בשני המקרים זו פגיעה חמורה בפרטיות של האדם שאת התלוש לו פירסמו באינטרנט...
 
נערך לאחרונה ב:

Spanz

משתמש ותיק
הצטרף ב
19/10/20
הודעות
384
דירוג
451
האם התצוגה האוטומטית של התמונות שקולה לפתיחתן בעזרת תוכנה לצפיה במכשיר?
אפשר להניח שכן.

ברגע שהטלגרם/ווטסאפ וכו' מורידים תמונה למכשיר, יש גם עוד אפליקציות שיעשו בזה שימוש. כמו למשל הגלריה... אלא אם כן היא מוגדרת להציג תיקייה ספציפית.
 

paskar

משתמש בכיר
הצטרף ב
5/6/16
הודעות
1,448
דירוג
659
צריך:

- לאסור בחוק שימוש במספרי ת"ז כמזהה לקוח בחברות. בשביל זה יש מספר לקוח פר חברה.

- כשכן חייבים לשלוח פרטים אישיים, לאסור בחוק משלוח של דברים כאלה באימייל. שהגוף המקבל ידאג לאתר מאובטח לשליחת נתונים.

- איכשהו לדחוף חברות לעשות דברים נכון. למשל, אין שום סיבה בעולם שתאריך הנפקת ת"ז יהיה גלוי באתר החברה כשלקוח מחובר. יש אפילו חברה פיננסית אחת שמאפשרת, כשמחוברים לאתר, להוריד את קובץ צילום הת"ז!

- החוק כרגע דורש מחברות פיננסיות מסוימות לאסוף צילומי ת"ז של אנשים. למשל, בורסת הקריפטו הקטנה bit2c. צריך להפסיק את זה. אם צריך ווידוא כלשהו, זה צריך לפעול דרך מערכת ממשלתית. שהאחריות תהיה על גוף רציני, לא חברות של 10 אנשים.

- לעבור לחתימות דיגיטליות במקום לשלוח לכל חברה צילומי ת"ז או אפילו מספרי ת"ז.


צריך להקטין את האיכות כמה שניתן
זה לא ממש משנה. הפרטים צריכים להיות קריאים בשביל החברה. ואם מבחינת חברה אחת איכות נמוכה היא דבר קביל, כך יהיה גם בחברה הבאה.

אין חקיקה
יש:
https://www.gov.il/he/departments/general/manager_duties

ואין עונשים
נראה מה יהיה...

כנראה שלא טרחו להצפין שום דאטהבייסים שלהם עוד מ2012 ועד היום
מאיפה הנתון 2012?
לא שאני יודע למה מה שזלג עכשיו היה נגיש אונליין, אבל לפחות דברים ישנים צריכים להיות בארכיב שלא נגיש אונליין. ואחרי זמן מה להמחק לגמרי.

להבנתי, מדובר ברשלנות פושעת.
עדיין לא ידוע מה בדיוק קרה.
 
נערך לאחרונה ב:

sogi

משתמש בכיר
הצטרף ב
4/2/15
הודעות
2,873
דירוג
1,997
פוסט מעניין בנושא ממישהו שמבין בתחום:
https://tech.b48.club/2020/12/04/shirbit-black-shadow.html
טקסט מעולה. תודה על השיתוף!

עדיין לא ידוע מה בדיוק קרה.
בפוסט ש-HHH קישר אליו רשומים המחדלים:
במקרה של “שירביט” רשימת הכשלים ארוכה ומביכה, החל משרת VPN עם חולשות ידועות בנות כשנתיים שלא עודכן כי תירוצים, גרסת שרת דוא”ל לא מעודכנת, המשך בטביעת רשת גדולה משמעותית מהנדרש, כולל חשיפה של שרתי פיתוח ובדיקות לרשת הציבורית, ניהול גיבויים לא נכון, והרשימה עוד ארוכה. הם לא יוצאי דופן,הם פשוט נתפסו הפעם עם הסנדלים על האוזניים, כי סייבר סייבר זו בעיה רק כשהיא הופכת לבעיה. עד אז תנו לגאון הצעיר משמונה גרביים משכורת מנופחת כי הוא זורק ביטויים אניגמטיים כמו “פרוקסי” לאוויר, ואף אחד לא רוצה להתווכח כדי לא להצטייר כלא מבין בסייבר סייבר, חלילה.
בעיקרון בעיה מרכזית שאפשר לסווג כמחדל היא חוסר הרצון של עובדי שירביט לעדכן גירסאות מחוררות (מלפני שנתיים!!) של תוכנות (VPN ושרת מייל). אני חושב שעל זה כבר אפשר להעמיד מישהו לדין.

שאר הטענות קצת קשה יותר להוכיח בבית משפט:
המשך בטביעת רשת גדולה משמעותית מהנדרש, כולל חשיפה של שרתי פיתוח ובדיקות לרשת הציבורית, ניהול גיבויים לא נכון
 
נערך לאחרונה ב:

Delver

משתמש בכיר
הצטרף ב
3/10/17
הודעות
1,651
דירוג
2,319
לפי מה שהתפרסם בינתיים, רואי ונכון, בעיני, שמנכל החברה, יחד עם חברי הנהלה רלוונטים, וחברי הדירקטוריון, יבלו את העשור הקרוב במאסר. להבנתי, מדובר ברשלנות פושעת.

אני מוכן להתערב שלכל היותר שני אנשים יישבו במאסר, הראשון לתקופה של עד 3 שנים והשני פחות משנה (אם בכלל מישהו יישב במאסר)
 

sogi

משתמש בכיר
הצטרף ב
4/2/15
הודעות
2,873
דירוג
1,997
אני מוכן להתערב שלכל היותר שני אנשים יישבו במאסר, הראשון לתקופה של עד 3 שנים והשני פחות משנה (אם בכלל מישהו יישב במאסר)
מעניין הרבה יותר אם לקוחות ינטשו את החברה כדי להעניש אותה על המחדל והנזק שנגרם להם, או לחלופין הם יגידו שאם זה קרה בחברה הזו הרגע אז כנראה שפה זה לא יקרה שוב בשנים הקורבות ועדיף להישאר בשירביט.
 

Delver

משתמש בכיר
הצטרף ב
3/10/17
הודעות
1,651
דירוג
2,319
מעניין הרבה יותר אם לקוחות ינטשו את החברה כדי להעניש אותה על המחדל והנזק שנגרם להם, או לחלופין הם יגידו שאם זה קרה בחברה הזו הרגע אז כנראה שפה זה לא יקרה שוב בשנים הקורבות ועדיף להישאר בשירביט.

ההימור שלי מתבסס על כך שהאוכלוסיה ישראל אינה משכילה טכנולוגית ומזלזלת בנושאי פרטיות ,לכן המעבר משירביט יהיה לא גבוה. אם זה מה שיגרום לסגירתם, מה טוב, הם לא מצטיינים בשירות לקוחות או תשלום תביעות, אפילו ביחס לאחרים.
 
למעלה