יום ראשון, 30 בנובמבר 2014

Egged Integrated Yadwire solution, to provide In-browser content injection through WiFi

בקצרה:הזרקת פרסומות בזמן נסיעה באוטובוסים של אגד

לרוב אני מתמקד באבטחת מידע,הפעם המיקוד יהיה טכנולוגיה עם נגיעות קטנות לאבטחת מידע/פרטיות.

חברת אגד, הוסיפה בימים האחרונים מערכת חדשה, לצורך מיצוי מקסימלי של תשתית האינטרנט האלחוטי באוטובוסים.

המערכת מסופקת על ידי חברת Yadwire

מתוך אתר החברה:

"Targeted Advertising Platform

WiFi monetization by a patent pending system that allows us to inject any kind of content including ads, during the browsing session rather than just on the landing page like our competitors. Our deployment will allow advertisers to advertise by geo-location and segment in order to pinpoint the right audience.

Cloud Services
Simplicity in creating and editing landing and connection pages (and much more) with Yadwire’s back office and studio. Instead of paying an outrageous amount on a WiFi system with a landing page, with us it can be done in a minute, online! We have a series of products to offer as a WiFi service and they are all cloud based.

Management system
With our cloud management system, every WiFi owner or other IP related technology owner can manage messages, ads and any kind of content from the cloud. Owners can also communicate with their guest/employees on a real time basis."

אם עד היום התרגלתם לראות פרסומות על האוטובוסים של אגד, בקרוב תוכלו לצפות בפרסומות גם בזמן גלישה בזמן נסיעה,ואולי קצת יותר.

לא ברור עדיין מה מידת המעקב אחר הגולשים, אבל יש כאן מהפכה ביחס ליכולת של בתי עסק וגופים לפרסם פרסום ממוקד ומפולח למשתמשי הקצה ברשת האלחוטית.

כחלק ממכלול השירותים של השירות שמציעה Yadwire, היא מאפשרת פרסום ממוקד, שמשתלט על חלקים ממסך המחשב או הטלפון האישי של הגולש,לדוגמא באוטובוס של אגד.

אישית, אני בעמדה דואלית כלפי הנושא.

אני בעד תיעול של מערכת האינטרנט האלחוטי, אבל נגד איסוף פרטים אישיים.

אני חושב שאגד שהייתה הראשונה שהטמיעה אינטרנט אלחוטי באוטובוסים בישראל, מאמצת כאן חידושים טכנולוגיים שיקדמו אותה ויש לברך אות על הנושא.

מנגד, יש לשים לב לאבטחת המידע והפרטיות של הלקוחות.

יום שבת, 29 בנובמבר 2014

information disclosure vulnerability in TalentBrew by TMP Worldwide, effected eBay HP Walmart Officedepot and many others companies

The target: Job alert system

Part of:TalentBrew

Made by:TMP Worldwide

Amitay Dan (popshark1)

www,amitaydan.com

Looking for a job can take you into very interesting places.

That's how I found this security flaw in TMP Worldwide.

If you looking only for technical report, I'll make it simple for you.
Instead of typing password,attacker had abilities to insert the email of his victim.

http://ebay.tmpseoqa.com/SubscribeJobs.aspx?email=ineedadollar@sharklasers.com

My POC included the business analyzing, so you can jump into he end of the video.

I've added pictures as well.

Affected companies:

HP (1 and 2)
Walmart
Officedepot
eBay inc (1 and 2)
Scotiabank

There are more,but I can't get this information.
Affected potential workers over the world,unknown.

Attack scenario:

1.Attacker can brute force the password.
2.Attacker can cross the password by typing

http://jobs.ebaycareers.com/SubscribeJobs.aspx?email={user-email}

3.After checking more carefully there is another way to cross check point by typing

http://ebay.tmpseoqa.com/SubscribeJobs.aspx?email={user-email}

4.Attacker can Unsubscribe users via:

http://jobs.***.com/unsubscribe?email={user-email}

POC:

http://ebay.tmpseoqa.com/SubscribeJobs.aspx?email=ineedadollar@sharklasers.com
http://jobs.ebaycareers.com/SubscribeJobs.aspx?email=ineedadollar@sharklasers.com

After sock:

Attacker can check, where is the current location/wanted location of potential worker.
Attacker can send emails with offer to work under your company name.
Workers can be fired from jobs if the current employer find that's they want to change a job. (BI)

TMP Worldwide, didn't handle so well. they even told me to contact theirs client,instead of taking the problem into the hand.

eBay answer me,but didn't gave me new update for up then 45 days.
Since the major problem has been fixed, I'm publishing my finding.

פרצת אבטחה שאיתרתי בסוכן המשרות החכם של חברת TMP Worldwide פגעה בין היתר בחברות:
HP
Walmart
Officedepot
eBay inc

Scotiabank

כל המועמדים לעבודה בחברות אלו,אשר השתמשו במערכת שוכן המשרות החכם (Job Alert) היו חשופים לפגיעה.

רמת הפגיעה: נמוכה עד בינונית
היקף:רחב

Many of you are trying to get a job, In my recent journey to get one, I've found this security flaw in TMP Worldwide (Telephone Marketing Programs).

I really wanted a job,nothing more nothing less.

TMP got the warning first, I was trying phone call (i was ugly) as well as email exchange which started fine but then they disappeared.

SInce I was told by TMP representative to speak with the company where the problem appears, I was emailing eBay related to the issue.

eBay answer was

Into the point: you can read more about TMP Worldwide in theirs website or Wikipedia

In generally,they are independent recruitment advertising agency, The product which had a problem was theirs Job Alerts system, which is part of the TalentBrew

Source: TMP Worldwide

"Job Alerts

Stay connected with your candidates through e-mail sign-up and RSS feeds. Job Alerts give job seekers the ability to receive customized updates on job listings they are interested in."

After understanding who are TMP, let's try to understand more about the impact of the problem.

In the Talent service they gives, potential recruits got an offer to add his email,as well as the favourite countries/jobs. by then, the job alert system start to work,and the potential recruits get update for any new job listed in the website.

As a SAAS (Software as a service) product,and with great integration into verity of clients, TMP Worldwide got awards and made later on cooperation with major players over the world,such as Oracle which acquired Taleo Corporation (NASDAQ:TLEO) back in 2012.

The Impact is really clear, Taleo and TalentBrew in many recruits website, coming hand by hands, Teleo for the job offer, and TalentBrew to do many things behind the scene,like Job Alerts.

Since TMP Worldwide have verity of clients, in many cases they handle the whole recruits website,not only the TalentBrew integration.

To make things clear, the problem appears in TMP, Oracle is another way to sell the SAAS services of TMP.

Now to the problems:

Architecture - didn't fixed:

Basic system problem:

1.Password contain only six digits,number only which can be hacked very easy by brute force.
2.The channel is not secure with SSL
3.The emails came from tmp.com which is not eBay/PayPal or any of your group.

Attack scenario:

Attacker can brute force the password

Those problem never fixed.

The problem which has been fixed,is the ability to hack into the recruits alert system,when you know the target's email.

Attack scenario:
Using the email of the target, and by having the database of eBay's workers, the HR office can check if someone added him self into HP recruits website,this gave the attacker ability to know what are the planes or wanted jobs of his workers.

By the way, remember this? "Apple, Google, Intel, Adobe to pay $325 million to settle hiring lawsuit" ..

Example:
http://ebay.tmpseoqa.com/SubscribeJobs.aspx?email={user-email}
http://jobs.mcafee.com/unsubscribe?email={user-email}

Which companies got effected by the information disclosure vulnerability?
I have only small list, but I'm sure there are many others.

eBay inc.
HP and here
Walmart
Office Depot
Scotibank

We can just imagine how many workers, are using Job alert system every year.
Potential workers should get better security.

After sock:

Attacker can know now now where is the current location/wanted location of potential worker.
Attacker can send emails with offer to work under your company name.
Workers can be fired from his jobs, if the current employer find out who want to change a job. (BI)

eBay inc

Wallmart

OfficeDepot

Scotibank

In here you can see how I've spotted the SQL vulnerability VIA Google:

To add more data, I've added this who.is proof to show the conncetion into TMP Worldwide.

If you really want to see the video, here is the POC related to eBay inc.

And HP

יום רביעי, 12 בנובמבר 2014

The Israeli WikiLeaks - In the name of the Movement for Freedom of Information, your privacy will be lost

13.11.2014

02:06

"Dear Diary: Meeting logs ministers revealed"

The Israeli Movement for Freedom of Information,exposed again private and sensitive data, of many private and public personal this included phone numbers and more sensitive data.

To be clear, I blame the minister offices,who gave them the files.
I blame the NGO - Movement for Freedom of Information who publish it - as is.
I blame as well any information security and legal advisory who didn't edit the private information in the files.

The exposed took place during usual act of sharing with the public, information which was hidden until now.

In the 2th of Nov. 2014 just couple of days ago,the NGO exposed data of up to 85 mental ill people,who were mention in a list,given them by the ministry of health.

Unlike the ministry health,who took responsibility,and apologized, the NGO answer the the issue was (Calcalis) blaming only the ministry of health. they didn't said anything about the fact that's they published online information of people against the privacy of them.

"והיה גם המקרה המוזר של משרד הבריאות, שהעביר לנו רשימת ספקים שכללה בין השאר גם שמות של חוסים ופגועי נפש שהוא מעביר להם תשלומים. הסבנו את תשומת לבו של משרד הבריאות לעניין וביקשנו לקבל רשימה מעודכנת (המגנה גם על צינעת הפרט). משרד הבריאות טרם שלח רשימה מעודכנת."

Really ?

Four days ago, in November 9th, 2014, The Israeli Movement for Freedom of Information,published new article in there’s website: "Dear Diary: Meeting logs ministers revealed".

They said: "We asked the ministers to their appointment calendar for 2013. Despite the directive of the Attorney General determined that this information should be published - only 14 ministers from the 23 we gave them, and they partially. And these are the names of ministers who have not shared the public in their path: Gideon Sa'ar Yuval Steinitz and Israel Katz. Prime Minister Benjamin Netanyahu ignored our request" (Google translate from Hebrew)

Well,they did published many dairies which is good,but many information related to private people, phone numbers and much more has been published as well.

The NGO used to blame anyone who send him info,and said "we don't touch it" but saying that's you don't take any responsibility on information which is giving you by others, doesn’t put you with clear hand.

I really like what they do,but I'm sure everyone who want to publish information about elected officials,or government ministry ,should see if more people will be in the line of exposure.

I don't accept the answer of "We publish as is".

This story can't be understood ,without knowing that's now days,there is a very cool project in Israel which called "100 days of Transparency" founded by Tomer Avital.

This different project had a significant success,by getting crowd funding of 159,151 ILS from 1473 Backers,as well as making people in the parliament,looking around to see if there is a private investigator.

Having this kind of activity,can be really good,as long as you don't harm the public,like the Movement for Freedom of Information, done at least in the story related the the mental ill people.

The story have a twist,since not only the government ministry have a responsibility,of sharing other people information with NGO,knowing it will be publish,we can realized that's there is lasting impact against privacy in Israel.

Last week we have heard about the story of the Dog centre apps, which have been published here in the first time,and made the Minister of agriculture
agreed with the problem of the apps, and even consider of taken it down..

Now,back to our story, I can see how the project "100 days of Transparency" can be change to "100 days of protecting the privacy"...

I really hope that's this project of Tomer Avital will be a great story,I really like it.
Moreover,I will do my best to help the Movement for Freedom of Information,but I can't accept the idea of publishing private information like they did,with blaming others on the miss editing.

As the government as the NGO,they both did mistakes. Unlike the NGO the ministry of health took responsibility,while they refuse to do it,end even insist to keep the same process in the future.

Since it's contain many pages, I'm adding them now for the public review.

This page will be update later with more info.

To remind you, the ministry of health,as well as the NGO did a bigger mistake not so long ago.

In my opinion,the Movement for Freedom of Information should double check any data they publishing,as well as the people who giving it to them,which is mostly government officials.

Sharing data with the public should have more privacy related rules,and guarding the privacy of the public, should be integrated into the motivation of sharing all we knows about the Elected officials.

Update 15:52 13.11.2014:

Answers from the NGO

09:23 AM

אמיתי שלום רב,
ראשית חשוב להבהיר שהתנועה מפרסמת מידע כמו שהוא נמסר לה. ללא כל שינוי, הוספה או גריעה.
שיקול הדעת כיצד למסור את המידע מצוי בידו של מוסר המידע, במקרה זה משרדו של בנט, על כן ממליצה לך לפנות אליהם ולהביע הסתייגותך מהאופן בו בחרו למסור את המידע.

בברכה,
רחלי אדרי, עו"ד
התנועה לחופש המידע

10:56 AM

אמיתי,

כפי שאתה הצלחת להשיג אותנו בטוחה שמי שמחפש גם כן ימצא. לא מסובך, אנו זמינים לרוב בטלפון במשרד ובמייל הזה וכפי שאתה רואה עונים לכל פונה.

לגבי משרד הבריאות, המידע לא התפרסם, אנו הסבנו לכך את תשומת לב משרד הבריאות, וביקשנו מהם שישלחו רשימה חדשה ללא שמותיהם של חוסים. טרם קיבלנו רשימה כזו ולכן מכל רשימות הספקים שקיבלנו הרשימה של משרד הבריאות חסרה, על אף שנמצאת ברשותנו.

גם פה, הטעות הייתה של משרד הבריאות וכמו שכתבתי אילולא תשומת הלב שלנו היה נגרם עוול גדול מאוד לעשרות חוסים.

הנהלים שאנו עובדים לפיהם הם הוראות חוק חופש המידע ותו לא.

כמו שכתבתי לך במייל הקודם כל טענה על המידע שנשלח עליך להפנות למי ששלח את המידע.

למיטב הבנתי, לשכת בנט עובדת על רשימה חדשה כשזו תשלח אנו כמובן נעדכן, בינתיים לא קיבלנו כל פניה רשמית ממשרדו של בנט להסיר את המידע.

ᐧ

רחלי אדרי, עו"ד
התנועה לחופש המידע המסלול האקדמי המכללה למנהל
ת.ד. 25073 ראשון לציון, מיקוד - 7502501
טלפון: 03-9560146 | פקס: 03-9560359 |

אתר אינטרנט | Facebook

Sources:

I found a lead to this story in Besheva,and after publishing, I saw one place who had something related to the problem ,this in Rotter.

If you have any leads, feel free to contact me.

יום שישי, 7 בנובמבר 2014

101 Dalmatians (1996) The story behind the information disclosure in the Israei Dog Center DB

מישהו רצה סרט לסופש?

גם את זה אפשר לעשות עם אפליקציית "מאגר הכלבים" של משרד החקלאות:

http://popshark11.blogspot.co.il/2014/11/441_5.html

In the news

http://www.haaretz.co.il/captain/software/1.2478779

Microchip Scanner

https://klav.im/store/1/%D7%A1%D7%95%D7%A8%D7%A7%D7%99_%D7%A9%D7%91%D7%91%D7%99%D7%9D

http://www.ebay.com/sch/Pet-Supplies-/1281/i.html?_nkw=Microchip+Halo&_in_kw=1&_ex_kw=mid02+mid05+mid08&_sacat=1281&_udlo=&_udhi=&LH_BIN=1&LH_ItemCondition=3&_ftrt=901&_ftrv=1&_sabdlo=&_sabdhi=&_samilow=&_samihi=&_sadis=15&_stpos=&_sargn=-1%26saslc%3D1&_salic=1&_sanli=1&_sop=15&_dmd=1&_ipg=200

101 Dalmatians (1996)

http://www.imdb.com/title/tt0115433

יום רביעי, 5 בנובמבר 2014

אתם חשופים בשם החוק והכלב! גרסת הנגישות - שירות 441 דרך הכלב

אתם חשופים בשם החוק והכלב! גרסת הנגישות

שירות 441 דרך הכלב

מאת: אמיתי דן

חוקר אבטחת מידע ומערכות פיזיות

www.amitaydan.com

כיצד חקיקה גורמת לפגיעה מתמשכת בפרטיות?

זוכרים את מאגר אגרון, המאגר שנגנב ממשרד הפנים.. המאגר הבא הינו חינמי חוקי לא תופס מקום ונגיש גם מהנייד.

במאמר זה אסביר למה בגלל הכלב שלכם אבטחת המידע שלכם נפגעת, ועל ההשלכות של הפגיעה בביטחון האישי,והפרטיות, ואיך יוזמה שבאה ממקום חיובי של שיפור השירות הממשלתי,צריכה לשנות את ניהול הסיכונים האישי שלכם.

אתם מוזמנים לפנות לחבר הכנסת שאתו אתם בקשר, יתכן שהוא יוכל לשנות את החקיקה שגורמת למצב.

בכל מקרה,חשוב לפרגן לממשל זמין,ולמשרד החקלאות האפליקציה אכן מנגישה שירותים בצורה מעולה.

אני מקווה שיעשו זאת גם עם שרותים אחרים,כאלה שלא פוגעים בפרטיות.

מהיום כשאתם הולכים ברחוב,או מפרסמים תמונה שלכם עם הכלב - קל מתמיד לאתר אותכם,וזה חוקי.

זה לא נושא חדש,אבל עד היום נדרשתם לגלוש לאתר מסורבל,בעייתי בשם "מאגר כלבים" אשר דרש שימוש ב Internet Explorer,מאז השתפרנו ויש אפליקציה חדשה למובייל.

מנכ"ל משרד החקלאות ופיתוח הכפר, רמי כהן: "האפליקציה החדשה הנה חלק ממהלך כולל במשרד לשיפור השירות לאזרח, הנגשת המידע והקלת הבירוקרטיה" (מתוך אתר המשרד)

מה שאתם צריכים כעת זה להוריד אפליקציה,להזין שם פרטי,או משפחה ולהתחיל לצוד אנשים,כל עוד יש להם כלב (או היה) הם שם.

זה לא משנה אם אתם חסויים בכל מקום אחר,עובדי מדינה בכירים,או פעילים במקומות בלתי חוקיים,ניתן לדעת שיש לכם כלב מסוג מסוים,ואת שמו.

לפני שנה,אפילו פיתחו במסגרת אירוע Geekcon אפליקציה וחומרה בשם
RFIDog שמדגימה כיצד לבצע את תהליך האיתור בעזרת טלפון סלולרי,עם אביזר נלווה ,וככה יכלו לאתר את פרטי הבעלים, בעזרת העברת האביזר מעל הכלב,כאשר הוא בתורו מושך את הפרטים משרת Dog Center של משרד החקלאות.

לדעתכם,מישהו יסרב ללחוץ על לינק בהודעת SMS נכנסת שמודיעה לו שהכלב בשם "משמש" נדרס,ותלחץ כאן כדי ליצור קשר עם המרפאה לצורך קבלת פרטים,ותשלום מקדמה?

ככה נדבקים היום בווירוסים,מנצלים את החולשות שלכם,את החברים הכי טובים - הכלבים.

אתם תמסרו הרבה פרטים למי שיודיע לכם שהכלב שלכם חשוד בתקיפה,ויודע מי אתם, זה לא מקרה שבו לא מכירים אותכם אלא כזה שיש עליכם המון פרטים חשופים.

ניקח תסריט אחר,יש לכם תמונה עם הכלב בפייסבוק,ומישהו מנסה לאתר אותכם.

חשוב לי לציין שכל בעל כלב רוצה שיוכלו לאתר אותו אם הכלב אבד,ומודעות של אבד כלב ופרס כספי למוצא,הנן מחזה נפוץ ומי שיאתר כלבים אבודים כמקור פרנסה ירוויח לא מעט כסף...

אם מישהו נשך אותכם (כלב?),יש חשיבות עצומה לבירור של פרטי הנושך,ופרטי הבעלים שלו.

ברור שבמקרה של כלבים מסוכנים איתור הבעלים ומעקב אחריהם מקבל חשיבות יתרה.

לפעמים,הבעלים מסרב לתת פרטים,ואז היכולת לברר מיהו השכן שהינו בעל הכלב הנה קריטית לצורך קבלת טיפול רפואי.

כיצד פותרים?

בקצרה,שינוי חקיקה,וקודם לכן חשיפת המצב לציבור תוך המחשה.

אני מקווה שמישהו,חבר או חברת כנסת שאכפת לה תתעורר ותפתור את החוק שמאפשר את המצב, תוך איזון בין הצורך לביטחון האישי ,הפרטיות,והאחריות הפלילית של בעלי הכלב יחד עם הצורך שלהם לגדל את חיית המחמד ולמצוא אותה לאחר שהיא אבדה,לבין הרצון של הציבור לאתר את הבעלים ולדעת האם הכלב חוסן במקרה של תקיפה.

לצורך העלאת המודעות מחדש,בחרתי להביא לדוגמא את איציק שמולי, אני מקווה שהוא ירים את הכפפה.

בנוסף,אני ממליץ לקרוא על מספר פרצות אבטחה שאיתרתי, ולהבין למה מספר הטלפון הנייד שלכם, הוא משהו שכדאי להסתיר או לפחות לנהל בצורה טובה יותר..

ניתן לבקש הסרה ושינוי פרטים במאגר:

מתוך אתר מאגר כלבים

"לבירורים נוספים ניתן לפנות למרכז הרישום בטלפון: 9681610 - 03 או בפקס 9485939 - 03 או לכתוב אלינו ב דואר אלקטרוני
פניות באמצעות טופס ממשלתי לשינוי פרטי מגורים או העברת בעלות יש לפנות לווטרינר הרשותי באיזור מגורייך"

-מתוך אתר משרד החקלאות-

איבדתם את הכלב? מחפשים רופא וטרינר? רוצים לפנות לרופא הווטרינר הרשותי בעירכם? אפליקציה חדשה של משרד החקלאות תסייע

מנכ"ל משרד החקלאות ופיתוח הכפר, רמי כהן: "האפליקציה החדשה הינה חלק ממהלך כולל במשרד לשיפור השירות לאזרח, הנגשת המידע והקלת הבירוקרטיה"

אפליקציה חדשה של משרד החקלאות ופיתוח הכפר מאפשרת גישה ישירה, קלה ונוחה ל"מאגר הכלבים" של המשרד מכל טלפון חכם. האפליקציה, פרי פיתוח של "ממשל זמין", מאפשרת חיפוש קל ויעיל של כלל הרופאים הווטרינריים בישראל, פרטיים ורשותיים, וכן את "מרשם האוכלוסין" של כלל הכלבים בישראל. עד היום הגישה התאפשרה רק ממחשב שולחני.

האפליקציה כוללת את כלל הכלבים הרשומים כיום בישראל, כ- 350,000 כלבים, מספר השבב של הכלב, הגזע, המין ושם הכלב, האם הכלב סורס או עוקר, מתי חוסן לאחרונה נגד כלבת ומי מחזיק אותו.

האפליקציה תאפשר לציבור לאתר את בעליהם של כלבים משוטטים שאבדו ולהשיבם לבעליהם. בזכות האפליקציה ניתן יהיה לעשות "איחוד משפחות" של כלבים אבודים ובעליהם באמצעות הצלבת נתונים של כלבים אבודים וכאלה שנמצאו, ולמנוע מקרים עצובים של כלבים שאבדו ולא מצליחים לאתר את בעליהם.כמו כן, במקרה של נשיכה או תקיפה, ישנה אפשרות לברר את פרטי הכלב, תוקף רישיונו וחיסונו נגד מחלת הכלבת, לפי פרטי הבעלים. המשרד ממליץ לכל בעלי הכלבים לבדוק באמצעות האפליקציה את נכונות פרטי הכלב המשפחתי, כדי לאפשר את איתורו אם ילך לאיבוד. פרטי הכלבים במרכז נסמכים על נתונים שהתקבלו ממחלקות וטרינריות של הרשויות והמועצות המקומיות בכל הארץ.

בנוסף, האפליקציה מאפשרת לברר האם אדם הוא אכן רופא וטרינר רשום ומורשה במדינת ישראל, מתי קיבל הווטרינר את רישיונו, מהי התמחותו (אם קיימת) והאם הוא מורשה חיסון לפי חוק. בנוסף, ניתן למצוא בחיפוש פשוט לפי שם הרשות מקומית מי הוא הרופא הווטרינר הרשותי וכיצד ניתן להגיע אליו.

האפליקציה פותחה על ידי "ממשל זמין", וזמינה להורדה, חינם כמובן, בחנות האפליקציות של אפל ואנדרואיד – חפשו את האפליקציה "מאגר כלבים" App Store, Google Play

-מתוך אתר משרד החקלאות-סוף

כתבה על פרצה בפנגו שבה הסברתי את פוטנציאל השימוש במספר טלפון נייד, בהקשר מאגר הכלבים.

http://www.mako.co.il/news-money/tech/Article-97c17b6af5da241004.htm

MSISDN to User agent - or how I had abilities to know which useragent any client of Orange has ,only by using his phone number

http://popshark11.blogspot.co.il/2014/03/msisdn-to-user-agent-or-how-i-had.html

לפרוץ את החתונה-פרצה באורנג שאפשרה לגרום לבטל חתונות על פי ההלכה