פריצת האקרים לשירביט - האם יש סיבה לאדם הפרטי לדאגה?

[yor2]

שני סיפורים מתקופת הקורונה.

אחד, מתקשרים לאבא של חבר ואומרים לו שהעסקה על תשתית וקו נגמרת

אבל צריך כרטיס אשראי אי אפשר להמשיך תאורת קבע בבנק.

חשבו ואמרו תתקשרי יותר מאוחר.

דרך הגב הם ידעו כמעת מה המחיר שהם משלים.

 

מתקשר אלי החבר אמרת לו, לא לתת כרטיס אשראי.

שלך לי תחש בונות טלפון בדקתי ואמרתי לנתק מגע איתם.

ניסו ללחוץ אמרתי תאים שתתקשר למשטרה.

 

דבר שני אחד הבנקים בישראל חסם העברות בנקאיות לכל לקוחתו.

מתברר שאנשים קיבלו מייל מסרו פרטים ופרצו לחשבונות.

וגנבו כסף.

 

 

 

עריכה אחרונה ב-5 לדצמבר, 2020 על ידי yor2

[TsachiE]

לפני 9 דקות, Shay_u כתב:

 

ולראייה, צחי שבטוח בעצמו שלא ייפול להונאה, נפל לאפליקציית איסוף מידע ששמה truecaller.

מקווה שאין לו מספרי טלפון או נתונים רגישים:)

 

על אותו משקל שגוגל אוספת נתונים עלייך.

די להגזים. 

עריכה אחרונה ב-5 לדצמבר, 2020 על ידי TsachiE
שגיאת כתיב

[save]

בנק מיושן כנראה. העברות בנקאיות למוטב שאינו ברשימה: דורשות כיום OTP. קוד אקראי שנשלח כמסרון

[sperial]

מוטב שאינו ברשימה? אני צריך להזין סיסמה חד פעמית כאשר אני מעביר 100 ש"ח לבן שלי שמנהל חשבון באותו סניף.

 

כאן הבעיה אחרת - הטלפון הופך לאמצעי הזיהוי.

[yor2]

לפני 35 דקות, save כתב:

בנק מיושן כנראה. העברות בנקאיות למוטב שאינו ברשימה: דורשות כיום OTP. קוד אקראי שנשלח כמסרון

נכון. אחשב הם דורשים קוד חד פעמי.

וזה לא בנק קטן.

עריכה אחרונה ב-5 לדצמבר, 2020 על ידי yor2

[natco]

כבומר, שגם כך ההבנה שלו במאגרי נתונים נמוכה, אשמח אם תסבירו לי משהו:

 

מה, כל המידע, של כל המבוטחים, כולל כל ענפי הביטוח, מכל השנים, פשוט יושבים על איה hd בתוך תיקיות ווינדוס עם שמות מטופשים? כמו התיקיות של התמונות מהחופשות המשפחתיות במחשב האישי שלי?

 

כאילו, אין איזו הפרדה או מידור, בין מחלקות? פרצת מנעול אחד = פרצת את כל החברה? 

 

נתונים של כ"א לא אמורים בכלל להיות מוצפנים בנפרד באיזה שהוא פרוטוקול מתקדם?

מה, הם שומרים את זה בגליון אקסל יחד עם האימיילים שמקבלת שיראל, הפרחה ממחלקת ערבוב לקוחות?

 

נראה לי מאד פרמיטיבי כל העסק.

חשבתי שזה יותר מתקדם מזה...

 

 

 

[farkash7]

תחשוב שוב. יש גופים שמתייחסים לאבטחה בצורה סופר בזיונית ומתנהלים כמו שוק.
אם אתה תשמע איך החברה האלה פרצו כנראה שתיפול לך הלסת, ולא אין לי מושג איזה חולשת אבטחה הם ניצלו, אבל אני מהמר שזה היה משהו בזיוני. 

[Katom]

https://tech.b48.club/2020/12/04/shirbit-black-shadow.html

 

"במקרה של “שירביט” רשימת הכשלים ארוכה ומביכה, החל משרת VPN עם חולשות ידועות בנות כשנתיים שלא עודכן כי תירוצים, גרסת שרת דוא”ל לא מעודכנת, המשך בטביעת רשת גדולה משמעותית מהנדרש, כולל חשיפה של שרתי פיתוח ובדיקות לרשת הציבורית, ניהול גיבויים לא נכון, והרשימה עוד ארוכה. הם לא יוצאי דופן,הם פשוט נתפסו הפעם עם הסנדלים על האוזניים, כי סייבר סייבר זו בעיה רק כשהיא הופכת לבעיה. עד אז תנו לגאון הצעיר משמונה גרביים משכורת מנופחת כי הוא זורק ביטויים אניגמטיים כמו “פרוקסי” לאוויר, ואף אחד לא רוצה להתווכח כדי לא להצטייר כלא מבין בסייבר סייבר, חלילה."

[natco]

אני לא מכיר את רוב המונחים בכתבה, אבל את המסר הכללי הבנתי:

זה מתנהל כמו שרוב הדברים כאן מתנהלים....

אולי תביעה שתנער מהם רווחים של שנה תגרום לדביל הבא בתור להזהר יותר.

 

אגב- כמבוטח שלהם אני יכול לספר, שפרט לסמס גנרי של כמה שורות,  לא קיבלתי מהם שום הסבר או הודעה אם אני בין הנפגעים או לא, ומה בדיוק נגנב במקרה שלי, כך שרוכל להתגונן (להחליף כ"א או לחדש תעודה).

 

[מרק10]

לפני 22 דקות, Katom כתב:

https://tech.b48.club/2020/12/04/shirbit-black-shadow.html

 

"במקרה של “שירביט” רשימת הכשלים ארוכה ומביכה, החל משרת VPN עם חולשות ידועות בנות כשנתיים שלא עודכן כי תירוצים, גרסת שרת דוא”ל לא מעודכנת, המשך בטביעת רשת גדולה משמעותית מהנדרש, כולל חשיפה של שרתי פיתוח ובדיקות לרשת הציבורית, ניהול גיבויים לא נכון, והרשימה עוד ארוכה. הם לא יוצאי דופן,הם פשוט נתפסו הפעם עם הסנדלים על האוזניים, כי סייבר סייבר זו בעיה רק כשהיא הופכת לבעיה. עד אז תנו לגאון הצעיר משמונה גרביים משכורת מנופחת כי הוא זורק ביטויים אניגמטיים כמו “פרוקסי” לאוויר, ואף אחד לא רוצה להתווכח כדי לא להצטייר כלא מבין בסייבר סייבר, חלילה."

 

דווקא את האתר הזה החלטת לצטט. מי אלה האנשים מאחורי המאמר/כתבה ?

[farkash7]

מה זה משנה מי אלה? משנה אם הם דוברים אמת.
שוב אני לא האקר או מומחה אבטחה, אבל מהמעט מאוד שיצא לי לראות, דוברים אמת.
הפורצים האלה אולי לא ישיגו ביטקויין, אבל יש מצב שכמה חברות ביטוח אחרות התקשרו אליהם כדי לשכור אותם בתור יועצים.

[Transporter]

לפני 8 שעות, TsachiE כתב:

אתה צודק כי קשה מאוד בעולם של היום לא לתת פרטים/ לבצע עסקאות בטלפון

 

בחיים שלי לא התקשרו וביקשו פרטים

אלא אם כן זאת שיחה שאני יודע עליה

בת זוג שלי מזמינה דברים מפקטורי ומתחרטת לפני שהפריט נשלח,

צריך להתקשר אליהם לבטל עסקה. הם מבקשים פרטי כרטיס...ברור לי שזה לא גניבה כי אני יודע שבדיוק דברנו

אבל אם מחר פתאום יתקשרו אליי מפקטורי סתם ככה לא אתן פרטים

באופן כללי

אף גוף נורמלי לא מבקש פרטי אשראי סתם ככה "בגלל תקלה במערכת"

 

[sperial]

@Transporter כשתהיה חברת ביטוח, בנק או משהו בסדר הגודל הזה נדבר. אפילו עם הדירה במגדל יוקרה כנראה שאתה עדיין לא מעניין אותם. חשבון הבנק שלך אולי, אבל במסגרת הבנק כולו.

[save]

למי שהוא לקוח של שירביט : לא יודע למה אתם מחכים. קחו את האשראי שלכם לחברה אחרת. לא חסרים ביטוחים אחרים בארץ.
קרה לי מקרה אחר עם פרצת אבטחה שמצאתי באתר של הבנק שלי.
התקשרתי אליהם , הסבירו שאין שום בעיה. הבחור שם לא הבחן חצי מהביטויים הטכניים . אחרי חודש הם תיקנו את הפירצה אבל אני כבר הייתי בסיום העברת החשבון לבנק אחר.
מה שמדהים: הבנק לא ענה למיילים בנושא וגם בטלפון סירבו להגיב.
הפירצה לשירביט אינה המסוכנת ביותר בארץ אבל היא כן הכי מיוחצנת .
אני מכיר גם מקרים ששילמו את הכופר. זה רק ממריץ את הגנבים .

[TsachiE]

אני באמת עדיין לא מצליח להבין למה זה אמור להפריע לי שהאקרים גנבו לי את הת"ז.

זה לא  אמור לפגוע בי בשום צורה גם אם ישתמשו בה. לשום חשבון באינטרנט הם לא יצליחו להיכנס עם הת"ז שלי בלבד. הם יצטרכו להזין עוד סיסמאות ונתונים שאין להם עליי.

 

אנחנו לא חברי כנסת או קים קרדשיין. כך שבסופו של יום, אנחנו מהמהעמד הבינוני האנשים האנונימיים לא באמת מעניינים אף אחד, לא אנחנו ולא התעודות זהות שלנו.

 

בגלל זה אני מגחך כל פעם שאנשים מנסים להפחיד אותי שגוגל או אפליקציה כזו או אחרת אוספת עליי מידע. את מי זה מעניין? שיאספו כמה שבא להם.

 

גוגל ואפליקציות אחרות אוספות נתונים כן, סה"כ נתונים סטטיסטיים על הרגלי הגלישה שלך ושל מליונים אחרים בכדי להתאים פרסומות ולשפר מנועי חיפוש. נראה לכם שמישהו בגוגל יודע מי זה צחי ואני בכלל מעניין אותו? אני סה"כ עוד מספר שם שמצטרף לסטטיסטיקות שלהם לשם ניתוח ושיפורים. אנשים אוהבים להיכנס לסרטים.

 

וגם אם היה מעניין אותם איזה פורנו מר X מחפש במנועי החיפוש שלהם, הם מעולם לא יעיזו להוציא את זה החוצה מהחשש לתביעות ענק ואובדן אמון.

עריכה אחרונה ב-6 לדצמבר, 2020 על ידי TsachiE