יום שני, 6 בספטמבר 2021

חשיפת שמות תפקידים ונתונים אחרים בשב"ס - הבריחה מכלא גלבוע

אחרי הבריחה מכלא גלבוע הבוקר (06.09.2021), ראיתי שתמונה של תעודות האסירים פורסמה בתקשורת.
לאחר בחינה ראשונית שלה, שמתי לב שהיא צולמה מעל דפים מנהלתיים שאינם קשורים לאירוע עצמו.
לאחר הגדלה, התברר שיש שם דף קשר ונתונים פנימיים, אם כי התמונה הייתה קצת מטושטשת, בנוסף התמונה שוחררה ללא קרדיט לגוף רשמי או צלם ספציפי מה שעורר בי סימני שאלה לגבי המקור שלה.




לאחר חיפוש של תמונה ברזולוציה גבוהה יותר, הצלחתי לחלץ מידע נוסף, 
הפרטים שנחשפו כוללים שמות מלאים, תפקידים, טלפונים (מטושטשים חלקית) ומספרים נוספים המשוייכים לאנשי הסגל, ונתון שנראה כמו קומת מספרים סלולרית ארגונית.
התמונה הופיע חתוכה בחלק מאתרי החדשות בעברית, אחרים פרסמו אותה באופן טוב יותר.
מחיפוש שלה ברשת, התברר לי שניתן לראות אותה בצורה מקסימלית דווקא באתרי חדשות בערבית.







תיאור התמונה באחד האתרים בערבית שהציג אותה ברזולוציה טובה יותר, הראה שהמקור שלה הגיע מ WhatsApp, מה שמתאים לכך, שגם ברוטר התמונה הועלתה  תוך ציון שהמקור הינו וואצאפ, אם כי ברוטר היא פורסמה לראשונה מוקדם יותר בשעה 06:25, ובאופן דומה גם ערוץ 20 שקיבל אותה דרך ווצאפ  עם חתימה של השעה 06:37.



ערוץ 20

ערוץ 20 06:37




את הממצאים הראשוניים שאספתי העברתי לעודד ירון מעיתון הארץ שצייץ בנושא.

במקביל, התברר שאברהם בלוך מערוץ 20 חשף מחדל נוסף, התברר שמשרד אדריכלים פרסם באתר שלו את תוכניות הכלא, ועוד כמה בתי כלא שהמשרד פעל בהם, מאוחר יותר התברר שהועלו שם גם פרוייקטים רגישים אחרים. 

לסיכום, אם אתם רוצים לחקור תמונה שמכילה פרטים מטושטשים - מומלץ להתחיל בלחפש את הגירסא המקסימלית והישנה ביותר שלה במנועי חיפוש של תמונות (Google, Baidu Yandex, Bing, TinEye, duplichecker) יש גם תוסף נחמד שיכול לייעל לכם את התהליך.
שימו לב שלYandex ו Bing יש מנוע OCR מובנה שמאפשר לחלץ טקטס מהתמונה, אם כי Yandex יותר מומלץ לדעתי מבחינת תמיכה בעברית, יש כאן מאמר נוסף למי שרוצה להעמיק.




כדאי לשים לב גם לmetadata של התמונות. כשמדובר על תמונות דוברות, כתבים יקבלו לפעמים תמונה באיכות מלאה, ובדרך התמונה תאבד רזולוציה. אם מדובר בתמונה עם זכויות יוצרים, ניתן לרכוש את התמונה באיכות המלאה.

המטרה היא לאתר את תמונת האלפא, שממנה הרזולוציה יורדת. במקרה הזה נראה שהתמונה רצה בווצאפ ברזולוציה טובה יותר (למרות ששם אם לא שולחים תמונה בצורת קובץ, האיכות יורדת), ומשם גם אחד האתרים בערבית העלה אותה.

האם הדוברות של שירות בתי הסוהר שחררה את התמונה הראשונית, או שמישהו צילם והעביר בין חברים? 
זאת כבר שאלה אחרת, מה שכן - מאוחר יותר במהלך היום שב"ס ככל הנראה העבירו לכתבים גירסא מצונזרת של התמונה, ולכן כנראה, הרשת מלאה באתרים בערבית עם תמונה שברחה מדוברות.


מוזמנים לעקוב גם בטוויטר 

יום רביעי, 17 במרץ 2021

טעות קטנה בבנק

הפעם זה התחיל בסופר
בדרך ליציאה, הבחנתי בעמדה שבה הוצגו אריזות ריקות של כרטיסי אשראי, לאחר בחינה של המוצר תהיתי האם ניתן יהיה לרכוש טעינה של הכרטיסים תוך שימוש ביתרת ה'תן ביס', וזאת לצורך עזרה יעילה לידידה בבידוד, התשובה בקופה הראשית הייתה שאין על מה לדבר, ורק מזומן או אשראי יאפשרו לרכוש כרטיסים נטענים אלו.

לאחר כניסה לאתר רשת המזון מתוך עניין ולצורך קריאה על השירות, הבנתי שמדובר בכרטיסים בשם easyway מסוג מסטרקרד אשר מונפקים על ידי אחד הבנקים.

קצת רקע, כרטיסי אשראי נטענים (Prepaid cards) הם לדעתי מוצר מבורך, שמאפשר בין היתר קניה עם סיכונים מופחתים, והתנהלות ללא מזומן גם לאנשים שמוגבלים מבחינה פיננסית, המחיר הוא עמלות גבוהות של רכישת הכרטיס וטעינה שלו.

בארצות הברית מדובר בשירות נפוץ מאוד, וניתן להיכנס לבית מרקחת ולצאת עם כרטיס נטען חד פעמיים אנונימי בצורה קלה ויעילה, תוך שימוש במזומן ללא צורך בהזדהות.
בארץ, עד לאחרונה הייתה ספקית גדולה אחת ששיווקה את המוצר במגבלות הרגולציה המקומית (רכישה והטענה מול הזדהות מלאה עם תעודת זהות) ולמיטב ידיעתי מלבד ספקיות קטנות לא הייתה להם תחרות של ממש.

אחד מהבנקים בישראל הצטרף לשוק זה, ובמקביל לכרטיסי Prepaid אחרים שהוא משווק כמו כרטיסי שכר נטענים לעובדים ללא חשבון בנק, הושק גם כרטיס נטען בשיתוף אחת מרשתות המזון הגדולות בארץ, וכך גם אני הכרתי את השירות, יש לציין שרשת המזון לא קשורה ישירות לבעיה שמצאתי, אך לקוחותיה כמו גם לקוחות אחרים שהחזיקו בכרטיסים היו בסיכון פוטנציאלי.

לאחר שהבנתי שהבנק הוא המנפק, נכנסתי לאתר הבנק לקרוא על המוצר ולקבל פרטים נוספים







כשקראתי את השאלות והתשובות בעמוד העזרה הייעודי הנותן שירות לכלל כרטיסי הprepaid שהבנק מנפיק (כרטיס שכר, כרטיס אש"ל לעובדים וכרטיס אנונימי חד פעמי) שמתי לב למשהו מוזר, כמענה לשאלה "כיצד ניתן לבדוק את היתרה ופעולות אחרונות שבוצעו בכרטיס?" הבנק מפנה לאתר בכתובת easyway.com

למרות שמיתוג הכרטיסים אכן נקרא easyway, הדומיין היה נראה חשוד, לא ישראלי (com.) ולא מעורר ביטחון.
בנוסף, כמענה לשאלה "מה ניתן לעשות במקרה בו הכרטיס נגנב או אבד?" הבנק הפנה ללינק אחר השייך לבנק 
easyway.bankjerusalem.co.il.









למרות שלא התכוונתי לבדוק את אבטחת השירות, הבנתי שככל הנראה יש כאן טעות אנוש שעלולה לעלות בבטיחות הלקוחות, אם באמת הבנק מפנה לכתובת שאיננה נכונה ומישהו זדוני יאתר את הטעות של הבנק וינצל זאת לרעה תוך פתיחה של אתר המתחזה לכזה שמספק שירותים למחזיקים בכרטיסי האשראי שהבנק מנפיק.

לאחר גלישה לכתובת easyway.com הגעתי לעמוד לא מאובטח שמראה פרסומות, ואת הכיתוב:
"!The domain easyway.com may be for sale by its owner"
נראה שהבעלים של הדומיין משתמש בשירות של חברה מתווכת לצורך איתור רוכש פוטנציאלי 


כניסה ללינק מפנה לאתר שדרכו נמסרות ההצעות לרכישת הדומיין, ולכאורה הוצעו 26 הצעות עד כה ולכן ההצעה הבאה חייבת להיות 25,000$.





 
בדיקת whois עכשווית והיסטורית לא הראתה קשר לבנק, וגם בדיקות ארכיון האינטרנט לא הביאו לתוצאה המיוחלת.












בשלב זה הבנתי שכדאי שהבנק יקבל פניה בנושא, ויתקן את הקישור לדומיין שהשתרבב לאתר הבנק.
 Timeline:
07.03.2021
איתור ואבחון הבעיה
08.03.2021
 פניה הועברה לבנק ירושלים דרך ה CERT במערך הסייבר הלאומי והתקבל מיד אישור קבלה 
09.03.2021
 יום לאחר מכן הועברה תשובה שהבנק טיפל בנושא (כפי שאכן בוצע).

חשיפת שמות תפקידים ונתונים אחרים בשב"ס - הבריחה מכלא גלבוע

אחרי הבריחה מכלא גלבוע הבוקר (06.09.2021), ראיתי שתמונה של תעודות האסירים פורסמה בתקשורת . לאחר בחינה ראשונית שלה, שמתי לב שהיא צולמה מעל...