יום רביעי, 5 בספטמבר 2018

פרוייקט מיפוי מרכזיות שמזהות לקוחות לפי Caller ID

לפני מספר שנים עסקתי רבות בפרצות הנובעות מהטמעה של זיהוי לקוחות ומשתמשים בעזרת Caller ID, ובפשטות השיחה המזוהה שלהם.
המחקרים כללו החל מפרצות בשערים חשמליים ועד מערכות פיננסיות ואחרות.
תוקפים פוטנציאליים יכולים לממש בקלות שינוי שיחה מזוהה, ולכן מי שמטמיע שיטות הזדהות שמבוססות שיחה מזוהה פוגע בלקוחות והמשתמשים שלו.
לאחרונה נתקלתי בכמה מקרים דומים, והבנתי שכדאי להשפיע בנושא רצוי לעשות משהו רוחבי ולא להילחם בטחנות רוח ובאופן נקודתי.
מטרת פרוייקט זה היא לבנות מסמך שיתופי, שבו מי שירצה יוכל לדווח ולהזין פרטי חברות מתקנים ומקומות שבהם מתעקשים לזהות עדיין את המשתמשים לפי מספר טלפון בלבד, וזאת בניגוד להוראות הרשות להגנת הפרטיות.

המטרה היא ליצור לחץ חיובי גם על מטמיעי המערכת וגם על רגולטורים כמו משרד התקשורות, שיכול לבצע צעדים אופורטיביים בכדי להילחם ביכולת לשנות שיחה מזוהה.

בניגוד למדינות כמו ארצות הברית, כאן במדינת ישראל חסרה חקיקה ספציפית האוסרת משפטית שינוי שיחה מזוהה או מזהה של הודעות SMS, ובפועל אין פיקוח בנושא.

במצב שבו ניתן לשנות בקלות מספר טלפון, ההתעקשות של ספקי שירותים רבים להמשיך לזהות את הלקוחות והמשתמשים בעזרת המספר המזוהה שמתקבל בזמן שיחה נכנסת, גורם לכך שאבטחת מערכות העובדות במשותף עם מרכזיות טלפוניות גרוע ולקוי.

אתם מוזמנים להשתתף ולתרום לפרוייקט מידע רלוונטי באופן אנונימי בעזרת הזנת פרטים בטופס הבא:




אין תגובות:

הוסף רשומת תגובה