יום רביעי, 1 ביוני 2016

Projects and articles

Mini CV 
Project and articles - mixing of Hebrew and English
Feel free to contact me for a job,projects and challenges 

My art Blog : www.hacktevision.blogspot.com
(about art and lights hacking)
My personal website: www.amitaydan.com



מגזין Digital Whisper

הבנקאי הטלפוני- כבר לא כל כך בטוח...
-חדירה לחשבונות בנק דרך הטלפון-

http://www.digitalwhisper.co.il/0x3E

כשלים בתהליכי הטמעת מוצרים טכנולוגיים

http://www.digitalwhisper.co.il/issue26


שימוש במזהה חד חד ערכי לאיתור מאגרי מידע פרוצים

http://www.digitalwhisper.co.il/issue29


מתקפות מבוססות The Text Warzone - SMS

http://www.digitalwhisper.co.il/issue30


זיהוי אנשים ומטופלים על פי מבנה כף יד ורנטגן

http://www.digitalwhisper.co.il/issue35

 התנגשויות בין חוקים, תקנות, פקודות ומידע אישי

 http://www.digitalwhisper.co.il/issue38


תקיפת בתי חולים על ידי מטופלים









http://www.digitalwhisper.co.il/issue44

פרצות בשערים חשמליים

http://www.haaretz.co.il/captain/net/1.2193204

http://www.israeldefense.co.il/?CategoryID=760&ArticleID=5519

פרצת אבטחה באפליקציית פנגו - (שרותי חניה) מסע ממספר טלפון ללוחית זיהוי

 http://www.mako.co.il/news-money/tech/Article-97c17b6af5da241004.htm

http://popshark11.blogspot.co.il/2013/12/blog-post.html

פרצת אבטחה בחברת אורנג - From MSISDN user-agent of the phone

 http://popshark11.blogspot.co.il/2014/03/msisdn-to-user-agent-or-how-i-had.html

http://www.haaretz.com/news/1.584241#

http://www.haaretz.co.il/captain/gadget/.premium-1.2289303

פרצת אבטחה בחברת אינטרנט רימון

http://www.haaretz.co.il/captain/net/1.2400447

מאמרים נוספים:


 GeekTime
 פרצה חוקית מאפשרת לגלות ברשת מהי העמדה הפוליטית של הסובבים אתכם

http://www.newsgeek.co.il/elections-and-the-internet

Israel Defense Tech
סימון מטרות סלולריות

http://tech.israeldefense.co.il/?q=node/154

פעילות פרלמנטרית

הזכות לפרטיות בעידן הטכנולוגי - לציון יום זכויות האדם הבינלאומי
התרעה והמלצות בנושא גניבת זהות טלפונית וזיופי שיחות

ENGLISH ARTICLES


Hackin9

Online Banking Security Magazine
 Security Bridge in DTMF

http://hakin9.org/online-banking-security-magazine-12011-2

Hakin9
The Day When Fingerprints Has Rule Out From Being An Evidence

http://hakin9.org/hakin9-062012-biometrics


Geekcon 2012

  Team project
License Plate Generator

http://www.geekcon.org/2012/tiki/tiki-index.php?page=Geekapixel
http://lph.intrpx.com

Walls of fame/awards


Security Researcher Acknowledgments for Microsoft Online Services

http://technet.microsoft.com/en-us/security/cc308575

Eventbrite Security Wall Of Fame 

https://www.eventbrite.com/walloffame

Zendesk Contributors and acknowledgement list


Media

 English


http://www.haaretz.com/news/1.584241#


 http://www.vosizneias.com/160935/2014/04/07/jerusalem-it-security-expert-finds-loophole-that-allows-scofflaw-haredi-smartphone-users-to-be-detected/

 http://matzav.com/users-of-non-kosher-phones-revealed-through-security-loophole

 http://www.jewishhigh.com/view/129360.html

 http://www.i24news.tv/fr/actu/technologie/140407-waze-propose-de-localiser-les-bains-juifs-rituels

 Hebrew

http://www.haaretz.co.il/captain/gadget/.premium-1.2289303

 http://www.kikarhashabat.co.il/%D7%90%D7%95%D7%A8%D7%A0%D7%92-%D7%90%D7%A4%D7%A9%D7%A8%D7%94-%D7%9C%D7%92%D7%9C%D7%95%D7%AA-%D7%9E%D7%99-%D7%9E%D7%97%D7%96%D7%99%D7%A7-%D7%90%D7%99%D7%99.html

 http://www.ch10.co.il/%D7%98%D7%90%D7%A6/%D7%A1%D7%9C%D7%95%D7%9C%D7%90%D7%A8%D7%99/%D7%9B%D7%9A-%D7%99%D7%9B%D7%9C%D7%95-%D7%9C%D7%97%D7%A9%D7%95%D7%A3-%D7%97%D7%A8%D7%93%D7%99%D7%9D-%D7%A9%D7%94%D7%A9%D7%AA%D7%9E%D7%A9%D7%95-%D7%91%D7%9E%D7%9B%D7%A9%D7%99%D7%A8%D7%99%D7%9D-%D7%9C/?ModPagespeed=noscript

http://www.bhol.co.il/Article.aspx?id=66828&cat=34

יום שני, 14 במרץ 2016

Medical information of a child got exposed by New York Times

העיתון New York Times, חשף את פרטיו האישיים של ילד שנדבק בווירוס Zika.

הפרטים נחשפו בתמונת MRI של ילד שהעיתון פרסם והפיץ לגופי תקשורת נוספים.

אירוע זה צריך לשמש כתמרור אזהרה, לארגונים וחברות הנלחמים בווירוס.

אם מעניין אותכם לסקר את הנושא, אתם מוזמנים ליצור קשר

עד כה אמצעי תקשורת ישראלי, ובן לאומי אחר סרבו לפרסם את הנושא.

תגובת העיתון הייתה שהאמא של הילד הייתה מודעת לפרסום, מה שמעלה שתי סוגיות נוספות

1.האם האמא ידעה שהפרטים האישיים של הילד נחשפים בצילום, מלבד הראש של הילד
2.האם ניתן לתבוע את האם על פגיעה בפרטיות הילד שלה
3.האם העיתון צריך לטשטש פרטים אישיים כאשר הוא מפרסם נתונים רפואיים.
4.האן יש כאן פגיעה בכללי האתיקה המקצועית

חשוב לציין שבארצות הברית, זכויות הילד שונות ממדינות אחרות מבחינה משפטית, ומצד שני האם והילד לא מתגוררים בארה"ב

עד כה העיתון לא פרסם הודעת התנצלות

לדעתי, השאלה כאן הינה יותר אתית מאשר משפטית, וראוי לעורר דיון בנושא

יום ראשון, 17 בינואר 2016

Schooly exposed in Amazon AWS

Today, Haaretz newspaper published my study, about Schooly, a platform, which enable schools to have online system, to support verity of activities related to the schools needs

 There was a huge exposure, included very sensitive information of kids
 

It's all started from a research that's me and Samuel Crdillo were doing, about Amazon AWS, and later a tool has been created which called "Bucket-Hunter"





Before publishing, out work, I was thinking how can I limit the impact on Israeli users

So I went to Google, and made some Google Dorks (strings, which brings you sensitive results).


As more as I checked, Schooly were the main results, all over Google, this while checking for Hebrew words, like ID + s3.amazonaws.com 

The problem went far away, since it was not only Google exposure, but the main bucket were open to anyone






Just before speaking with Schooly, they fixed the ability to see the bucket list. Yet, downloading the files were possible even after few month

In the situation when young kids are being exposed, the government should open protection program.







The problem were in both side, Schooly as well as the schools who publish sensitive information of kids (six years old is too sensitive) 

The files which exposed in the bucket were under schooly care, yet if a school is published something it's different story.

It's time for the ministry of education, to make a change - since this is a big failure of 100,000, kids which have a potential identity and physical reaction to the exposure.



Personal security exposure of passengers in the Gett/Uber

Companies and ordinary people are using everyday Caller ID as a way to identified incoming calls, its easy and help us to communicate. Spoo...