Sunday, November 30, 2014

Egged Integrated Yadwire solution, to provide In-browser content injection through WiFi


בקצרה:הזרקת פרסומות בזמן נסיעה באוטובוסים של אגד


לרוב אני מתמקד באבטחת מידע,הפעם המיקוד יהיה טכנולוגיה עם נגיעות קטנות לאבטחת מידע/פרטיות.

חברת אגד, הוסיפה בימים האחרונים מערכת חדשה, לצורך מיצוי מקסימלי של תשתית האינטרנט האלחוטי באוטובוסים.
המערכת מסופקת על ידי חברת  Yadwire
מתוך אתר החברה:









"Targeted Advertising Platform

WiFi monetization by a patent pending system that allows us to inject any kind of content including ads, during the browsing session rather than just on the landing page like our competitors. Our deployment will allow advertisers to advertise by geo-location and segment in order to pinpoint the right audience.

Cloud Services
Simplicity in creating and editing landing and connection pages (and much more) with Yadwire’s back office and studio. Instead of paying an outrageous amount on a WiFi system with a landing page, with us it can be done in a minute, online! We have a series of products to offer as a WiFi service and they are all cloud based.

Management system
With our cloud management system, every WiFi owner or other IP related technology owner can manage messages, ads and any kind of content from the cloud. Owners can also communicate with their guest/employees on a real time basis."

אם עד היום התרגלתם לראות פרסומות על האוטובוסים של אגד, בקרוב תוכלו לצפות בפרסומות גם בזמן גלישה בזמן נסיעה,ואולי קצת יותר.

לא ברור עדיין מה מידת המעקב אחר הגולשים, אבל יש כאן מהפכה ביחס ליכולת של בתי עסק וגופים לפרסם פרסום ממוקד ומפולח למשתמשי הקצה ברשת האלחוטית.

כחלק ממכלול השירותים של השירות שמציעה Yadwire, היא מאפשרת פרסום ממוקד, שמשתלט על חלקים ממסך המחשב או הטלפון האישי של הגולש,לדוגמא באוטובוס של אגד.



אישית, אני בעמדה דואלית כלפי הנושא.
אני בעד תיעול של מערכת האינטרנט האלחוטי, אבל נגד איסוף פרטים אישיים.

אני חושב שאגד שהייתה הראשונה שהטמיעה אינטרנט אלחוטי באוטובוסים בישראל, מאמצת כאן חידושים טכנולוגיים שיקדמו אותה ויש לברך אות על הנושא.

מנגד, יש לשים לב לאבטחת המידע והפרטיות של הלקוחות.




























Saturday, November 29, 2014

information disclosure vulnerability in TalentBrew by TMP Worldwide, effected eBay HP Walmart Officedepot and many others companies


The target: Job alert system 
Part of:TalentBrew
Made by:TMP Worldwide

Amitay Dan (popshark1)


Looking for a job can take you into very interesting places.
That's how I found this security flaw in TMP Worldwide.

If you looking only for technical report, I'll make it simple for you.
Instead of typing password,attacker had abilities to insert the email of his victim.

http://ebay.tmpseoqa.com/SubscribeJobs.aspx?email=ineedadollar@sharklasers.com

My POC included the business analyzing, so you can jump into he end of the video.

I've added pictures as well.

  
Affected companies:

HP (1 and  2)
Walmart
Officedepot
eBay inc (1 and 2)
Scotiabank

There are more,but I can't get this information.
Affected potential workers over the world,unknown.

  
Attack  scenario:

1.Attacker can brute force the password.
2.Attacker can cross the password by typing

http://jobs.ebaycareers.com/SubscribeJobs.aspx?email={user-email}

3.After checking more carefully  there is another way to cross check point by typing
 
http://ebay.tmpseoqa.com/SubscribeJobs.aspx?email={user-email}

4.Attacker can Unsubscribe users via:

http://jobs.***.com/unsubscribe?email={user-email}


POC:

http://ebay.tmpseoqa.com/SubscribeJobs.aspx?email=ineedadollar@sharklasers.com
http://jobs.ebaycareers.com/SubscribeJobs.aspx?email=ineedadollar@sharklasers.com

After sock:

Attacker can check, where is the current location/wanted location of potential worker.
Attacker can send emails with offer to work under your company name.
Workers can be fired from jobs if the current employer find that's they want to change a job. (BI)

TMP Worldwide, didn't handle so well. they even told me to contact theirs client,instead of taking the problem into the hand.

eBay answer me,but didn't gave me new update for up then 45 days.
Since the major problem has been fixed, I'm publishing my finding.



פרצת אבטחה שאיתרתי בסוכן המשרות החכם של חברת TMP Worldwide פגעה בין היתר בחברות:
HP
Walmart
Officedepot
eBay inc 
Scotiabank

כל המועמדים לעבודה בחברות אלו,אשר השתמשו במערכת שוכן המשרות החכם (Job Alert) היו חשופים לפגיעה.
רמת הפגיעה: נמוכה עד בינונית
היקף:רחב

Many of you are trying to get a job, In my recent journey to get one, I've found this security flaw in TMP Worldwide (Telephone Marketing Programs).

I really wanted a job,nothing more nothing less.

TMP got the warning first, I was trying phone call (i was ugly) as well as email exchange which started fine but then they disappeared.

SInce I was told by TMP representative  to speak with the company where the problem appears, I was emailing eBay related to the issue.

eBay answer was

Into the point: you can read more about TMP Worldwide in theirs website or Wikipedia
 
In generally,they are independent recruitment advertising agency, The product which had a problem was theirs Job Alerts system, which is part of the TalentBrew 

"Job Alerts
Stay connected with your candidates through e-mail sign-up and RSS feeds. Job Alerts give job seekers the ability to receive customized updates on job listings they are interested in."









After understanding who are TMP, let's try to understand more about the impact of the problem.

In the Talent service they gives, potential recruits got an offer to add his email,as well as the favourite countries/jobs. by then, the job alert system start to work,and the potential recruits get update for any new job listed in the website.

As a SAAS (Software as a service) product,and with great integration into verity of clients, TMP Worldwide got awards and made later on cooperation with major players over the world,such as Oracle which acquired Taleo Corporation (NASDAQ:TLEO) back in 2012.

The Impact is really clear, Taleo and TalentBrew in many recruits website, coming hand by hands, Teleo for the job offer, and TalentBrew to do many things behind the scene,like Job Alerts.

Since TMP Worldwide have verity of clients, in many cases they handle the whole recruits website,not only the TalentBrew integration.





 

To make things clear, the problem appears in TMP, Oracle is another way to sell the SAAS services of TMP.


Now to the problems:

Architecture - didn't fixed:

Basic system problem:

1.Password contain only six digits,number only which can be hacked very easy by brute force.
2.The channel is not secure with SSL
3.The emails came from tmp.com which is not eBay/PayPal or any of your group.
Attack  scenario:
Attacker can brute force the password

Those problem never fixed.

The problem which has been fixed,is the ability to hack into the recruits alert system,when you know the target's email.

Attack  scenario:
Using the email of the target, and by having the database of eBay's workers, the HR office can check if someone added him self into HP recruits website,this gave the attacker ability to know what are the planes or wanted jobs of his workers.

By the way, remember this? "Apple, Google, Intel, Adobe to pay $325 million to settle hiring lawsuit" ..


Example:
http://ebay.tmpseoqa.com/SubscribeJobs.aspx?email={user-email}
http://jobs.mcafee.com/unsubscribe?email={user-email}


Which companies got effected by the information disclosure vulnerability?
I have only small list, but I'm sure there are many others.


eBay inc.
HP and here
Walmart
Office Depot
Scotibank 

We can just imagine how many workers, are using Job alert system every year.
Potential workers should get better security.  

After sock:

Attacker can know now now where is the current location/wanted location of potential worker.
Attacker can send emails with offer to work under your company name.
Workers can be fired from his jobs, if the current employer find out who want to change a job. (BI)



 HP


 eBay inc





 Wallmart





OfficeDepot






 Scotibank



 In here you can see how I've spotted the SQL vulnerability VIA Google:






 To add more data, I've added this who.is proof to show the conncetion into TMP Worldwide.



 If you really want to see the video, here is the POC related to eBay inc.



And HP



Wednesday, November 12, 2014

The Israeli WikiLeaks - In the name of the Movement for Freedom of Information, your privacy will be lost

13.11.2014
02:06
The Israeli Movement for Freedom of Information,exposed again private and sensitive data, of many private and public personal this included phone numbers and more sensitive data.

To be clear, I blame the minister offices,who gave them the files.
I blame the NGO - Movement for Freedom of Information who publish it - as is.
I blame as well any information security and legal advisory who didn't edit the private information in the files. 

The exposed took place during usual act of  sharing with the public, information which was hidden until now.

In the 2th of Nov. 2014 just couple of days ago,the NGO exposed data of up to 85 mental ill people,who were mention in a list,given them by the ministry of health.
 
Unlike the ministry health,who took responsibility,and apologized, the NGO answer the the issue was  (Calcalis) blaming only the ministry of health. they didn't said anything about the fact that's they published online information of people against the privacy of them.

"והיה גם המקרה המוזר של משרד הבריאות, שהעביר לנו רשימת ספקים שכללה בין השאר גם שמות של חוסים ופגועי נפש שהוא מעביר להם תשלומים. הסבנו את תשומת לבו של משרד הבריאות לעניין וביקשנו לקבל רשימה מעודכנת (המגנה גם על צינעת הפרט). משרד הבריאות טרם שלח רשימה מעודכנת."

Really ?




  

They said: "We asked the ministers to their appointment calendar for 2013. Despite the directive of the Attorney General determined that this information should be published - only 14 ministers from the 23 we gave them, and they partially. And these are the names of ministers who have not shared the public in their path: Gideon Sa'ar Yuval Steinitz and Israel Katz. Prime Minister Benjamin Netanyahu ignored our request" (Google translate from Hebrew)

Well,they did published many dairies which is good,but many information related to private people, phone numbers and much more has been published as well.

The NGO used to blame anyone who send him info,and said "we don't touch it" but saying that's you don't take any responsibility on information which is giving you by others, doesn’t put you with clear hand.

I really like what they do,but I'm sure everyone who want to publish information about elected officials,or government ministry ,should see if more people will be in the line of exposure.

I don't accept the answer of "We publish as is".





This story can't be understood ,without knowing that's now days,there is a very cool project in Israel which called "100 days of Transparency" founded by Tomer Avital.

This different project had a significant success,by getting crowd funding of 159,151 ILS from 1473 Backers,as well as making people in the parliament,looking around to see if there is a private investigator

Having this kind of activity,can be really good,as long as you don't harm the public,like the Movement for Freedom of Information, done at least in the story related the the mental ill people.

The story have a twist,since not only the government ministry have a responsibility,of sharing other people information with NGO,knowing it will be publish,we can realized that's there is lasting impact against privacy in Israel.

Last week we have heard about the story of the Dog centre apps, which have been published here in the first time,and made the Minister of agriculture
agreed with the problem of the apps, and even consider of taken it down..

Now,back to our story, I can see how the project "100 days of Transparency" can be change to "100 days of protecting the privacy"...

I really hope that's this project of Tomer Avital will be a great story,I really like it.
Moreover,I will do my best to help the Movement for Freedom of Information,but I can't accept the idea of publishing private information like they did,with blaming others on the miss editing.

As the government as the NGO,they both did mistakes. Unlike the NGO the ministry of health took responsibility,while they refuse to do it,end even insist to keep the same process in the future.
Since it's contain many pages, I'm adding them now for the public review.

This page will be update later with more info.

http://www.meida.org.il/wp-content/uploads/2014/11/timetable_tourism_2013.pdf
http://www.meida.org.il/wp-content/uploads/2014/11/timetable_defense_2013.pdf
http://www.meida.org.il/wp-content/uploads/2014/11/timetable_agriculture_Shamir_2013.pdf
http://www.meida.org.il/wp-content/uploads/2014/11/timetable_agriculture_Noked_2013.pdf
http://www.meida.org.il/wp-content/uploads/2014/11/timetable_Development_of_the_Negev_and_Galilee_2013.pdf
http://www.meida.org.il/wp-content/uploads/2014/11/timetable_technolgy_2013.xlsx
http://www.meida.org.il/wp-content/uploads/2014/11/timetable_finance_2013.pdf
http://www.meida.org.il/wp-content/uploads/2014/11/culture_sport_2013.pdf
http://www.meida.org.il/wp-content/uploads/2014/11/timetable_foreign-affairs_2013.pdf
http://www.meida.org.il/wp-content/uploads/2014/11/timetable_welfare_2013.pdf
http://www.meida.org.il/wp-content/uploads/2014/11/timetable_energy_2013.pdf
http://www.meida.org.il/wp-content/uploads/2014/11/timetable_construction_2013.pdf
http://www.meida.org.il/wp-content/uploads/2014/11/Oref.pdf
http://www.meida.org.il/wp-content/uploads/2014/11/Time-tabel-Amir-Peretz-2013.pdf
http://www.meida.org.il/wp-content/uploads/2014/11/timetable-Ministry-of-the-Interior.pdf
http://www.meida.org.il/wp-content/uploads/2014/11/timetable_senior_2013.pdf
http://www.meida.org.il/wp-content/uploads/2014/11/Bennet-schedule.pdf
 
To remind you, the ministry of health,as well as the NGO did  a bigger mistake not so long ago.

In my opinion,the Movement for Freedom of Information should double check any data they publishing,as well as the people who giving it to them,which is mostly government officials.

Sharing data with the public should have more privacy related rules,and  guarding the privacy of the public, should be integrated into the motivation of sharing all we knows about the Elected officials.

 Update 15:52 13.11.2014:

Answers from the NGO

09:23 AM
אמיתי שלום רב,
ראשית חשוב להבהיר שהתנועה מפרסמת מידע כמו שהוא נמסר לה. ללא כל שינוי, הוספה או גריעה.
שיקול הדעת כיצד למסור את המידע מצוי בידו של מוסר המידע, במקרה זה משרדו של בנט, על כן ממליצה לך לפנות אליהם ולהביע הסתייגותך מהאופן בו בחרו למסור את המידע.
בברכה,
רחלי אדרי, עו"ד
התנועה לחופש המידע


10:56 AM
אמיתי,
כפי שאתה הצלחת להשיג אותנו בטוחה שמי שמחפש גם כן ימצא. לא מסובך, אנו זמינים לרוב בטלפון במשרד ובמייל הזה וכפי שאתה רואה עונים לכל פונה.
לגבי משרד הבריאות, המידע לא התפרסם, אנו הסבנו לכך את תשומת לב משרד הבריאות, וביקשנו מהם שישלחו רשימה חדשה ללא שמותיהם של חוסים. טרם קיבלנו רשימה כזו ולכן מכל רשימות הספקים שקיבלנו הרשימה של משרד הבריאות חסרה, על אף שנמצאת ברשותנו.
גם פה, הטעות הייתה של משרד הבריאות וכמו שכתבתי אילולא תשומת הלב שלנו היה נגרם עוול גדול מאוד לעשרות חוסים.

הנהלים שאנו עובדים לפיהם הם הוראות חוק חופש המידע ותו לא.
כמו שכתבתי לך במייל הקודם כל טענה על המידע שנשלח עליך להפנות למי ששלח את המידע.
למיטב הבנתי, לשכת בנט עובדת על רשימה חדשה כשזו תשלח אנו כמובן נעדכן, בינתיים לא קיבלנו כל פניה רשמית ממשרדו של בנט להסיר את המידע. 

--


רחלי אדרי, עו"ד
התנועה לחופש המידע 
המסלול האקדמי המכללה למנהל
ת.ד. 25073 ראשון לציון, מיקוד - 7502501
טלפון: 03-9560146 | פקס: 03-9560359 |

Sources:

I found a lead to this story in Besheva,and after publishing, I saw one place who had something related to the problem ,this in Rotter.
 
If you have any leads, feel free to contact me.

 

Friday, November 7, 2014

סיפור לשבת על חכמי חלם כלבים ועל הכנסת The Israeli Dog Center Data base & Tales of Chelm

 Tales of Chalem
By Amitay Dan





מוקדש לאלו שיודעים,שתקו או דיברו.. לחברים שעזרו,לתנועה לזכויות דיגיטליות ולכתבים שכתבו.

המאמר כולל הדרכה כיצד ניתן לאתר פרטים של אנשים בהצלבה,אתם יכולים לדלג לשם,אם  לא מעניין אותכם לקרוא קצת על עבודת הכנסת,על כתבים,ניגודי איטרסים ודברים צהובים אחרים.

מכירים את העיר חלם? רצוי לחקוק את הסיפור על חכמי חלם במדריך לעבודה הפרלמנטרית,נראה שלפעמים מעשה חלמאי אחד יוצר אגדה שלמה.
היו שם יהודים,זאת עיר אמיתית,האגדה אפשרית וכנראה מבוססת מציאות במידה זו או אחרת,גיליתי שיש גם מדליה,ככה שזה בדם שלנו.

כמו שאתם יודעים,לאחרונה סקרתי אפליקציה בשם "מאגר כלבים" ,האמת שדיברתי על היכולת הזו בעבר,כשהסברתי איך ניתן להשתמש בה כדי לפרוץ לשערים חשמליים,או לאתר לוחיות זיהוי של רכבים,על ידי פרצה באפליקצית פנגו.

לפני הכל,מסתבר שלמישהו אכפת עדיין מהפרטיות כפי שמשתקף בויראליות של הסיפור:

עיתונאים לרוב לא אוהבים לספר משהו שכבר נכתב עליו,אלא אם כן הנושא הפך ויראלי,וחדשותי - שיחת היום. השיחה הזו כבר בוצעה פעם אחת,על ידי Ynet כבר ב2007 ,אז דובר באתר האינטרנט. שימו לב שבשנת 2007 היו בישראל 250,000 כלבים ,בעוד שכיום על פי הצהרת משרד החקלאות ישנם 350,00 כלבים.

חשוב לזכור,שהמאגר כולל בתוכו פרטי בעלים של כלבים מתים או כאלו שאבדו,כך שמצד אחד גם הם נמצאים שם,ומצד שני לא ידוע לי כרגע כמה כלבים חיים קיימים בישראל.

נתון זה חשוב כדי להבין כמה בתי אב חשופים עקב מאגר המידע,שלפי טענות חוקר אבט.

תשובת משרד החלקאות ב2007: 


"המרכז הארצי לרישום כלבים הוקם על-מנת להסדיר את הפיקוח על כלבים במדינה וליצור מאגר נתונים אחד, כלל ארצי, הכולל בתוכו את פרטי כל הכלבים הרשומים בארץ. המאגר מאפשר לעקוב אחר הכלבים מבחינה בריאותית, אחר עיקורם וסירוסם, ולדעת אם הינם משתייכים לקבוצת הכלבים המסוכנים".

לדברי אנשי המשרד, "החוק להסדרת הפיקוח על כלבים מונה בבירור את הפרטים שצריכים להופיע במאגר, כדוגמת שם וכתובת. נושא הפרטים האישיים נידון בוועדת הכלכלה של הכנסת בעת אישור החוק. כל המשרדים הרלוונטיים וחברי הוועדה נתנו את דעתם בנושא, ולבסוף הוחלט כי האינטרס הציבורי ליצור מאגר מידע אמין ונגיש לציבור גובר על אינטרס צנעת הפרט".


"החוק להסדרת הפיקוח על כלבים מונה בבירור את הפרטים שצריכים להופיע במאגר, כדוגמת שם וכתובת. נושא הפרטים האישיים נידון בוועדת הכלכלה של הכנסת בעת אישור החוק. כל המשרדים הרלוונטיים וחברי הוועדה נתנו את דעתם בנושא, ולבסוף הוחלט כי האינטרס הציבורי ליצור מאגר מידע אמין ונגיש לציבור גובר על אינטרס צנעת הפרט"

תשובת משרד החקלאות ב2014:


 "המרכז הארצי לרישום כלבים במשרד החקלאות ופיתוח הכפר הוקם על מנת להסדיר את הפיקוח על כלבים במדינת ישראל וליצור מאגר נתונים אחד, כלל ארצי, הכולל בתוכו פרטים של כל הכלבים הרשומים בישראל. המאגר מאפשר לעקוב אחר הכלבים מבחינה בריאותית (חיסון כלבת), עיקורם / סירוסם והאם הינם משתייכים לקבוצת הכלבים המסוכנים. המטרה – פיקוח על הכלבים מתוך דאגה לבריאות בעלי החיים והציבור".

"החוק להסדרת הפיקוח על כלבים מונה בבירור את הפרטים שחייבים להופיע במאגר (שם, כתובת וכו'). נושא זה אף נידון בכנסת (בוועדת הכלכלה) בעת אישור החוק, ושם הוחלט כי האינטרס הציבורי ליצור מאגר מידע אמין ונגיש לציבור גובר על אינטרס צנעת הפרט".
"כל המשרדים הרלוונטיים (חקלאות, פנים ומשפטים) וחברי הוועדה נתנו דעתם בנושא ולבסוף הוחלט כאמור כי האינטרס הציבורי ליצור מאגר מידע אמין ונגיש לציבור גובר על אינטרס צנעת הפרט".
"הכנסת אף קבעה כי ניתן לפנות למרכז הרישום במשרד בבקשה להסתיר את מספר הטלפון שלך. אם אזרח מעוניין להסתיר את מספר הטלפון שלו הוא יוכל לעשות זאת דרך כפתור "כתוב לנו" באפליקציה החדשה או דרך פנייה במייל למאגר הכלבים".

אם מעניין אותכם כיצד דרדרת מתחילה,אתם מוזמנים לקרוא את הכתבה בYnet משנת 2007:

אביא ממנה קטעים מסויימים:

האתר

"הפגיעה בפרטיות עוררה סערה שהביאה להסתרת מספרי הזהות באתר. מזה כחודש מספק האתר מידע על שמו ועיר מגוריו של בעל הכלב, ומפנה לשירותים הווטרינריים של מועצה או רשות מקומית."

הוטרינרים

"השמירה על פרטיות בעלי הכלבים גררה מחאה של ווטרינרים, שטענו כי החסימה עלולה לפגוע בכלבים. לפני החסימה הם היו יכולים לאתר בקלות את בעליו של כלב משוטט, גם בשעות הלילה או בסופי השבוע. לאחר החסימה נמנעה יכולתם זו והם נאלצו להמתין עד לבוקר או ליום העבודה הבא כדי למצוא את בעל הכלב ולהודיע לו שכלבו אותר."

(לשיפוטכם)
 חברי הכנסת

בתהליך האישור מחדש של התקנות בנושא הוחלט כאמור לאפשר גישה חופשית למידע - למעט מספרי תעודת הזהות - אך הוחלט גם להוסיף את מספרי הטלפון של הבעלים. חברי הוועדה, ח"כ משה כחלון, רונית תירוש ואבשלום וילן, אמרו שמדובר בדאגה לבריאות הציבור שגוברת במקרה זה על הזכות לפרטיות. השינויים היו אמורים להיכנס לתוקף בעוד מספר שבועות אולם כעת הוחלט כי מספרי הטלפון של בעלי הכלבים יישארו חסומים, משום שמשרד החקלאות אינו יכול לתת לציבור אפשרות לשמור בכל זאת על פרטיותו.

חבר הוועדה הכלכלה, ח"כ אבשלום וילן אינו מרוצה מההחלטה. לדבריו, העובדה שמרכז הרישום הארצי לכלבים אינו זמין בסופי השבוע היא שערורייה כדבריו. "אם מצאת כלב ביום חמישי בערב לא תוכל לאתר את בעליו עד יום ראשון. זה בלתי נתפס", הוא אמר ל-ynet. "זו מדינת חלם שרק דרך לשכות השרותים הווטרינריים ניתן יהיה להשיג את פרטי הבעלים, אך למעשה הן פתוחות רק בשעות העבודה ולא בשעות הערב. לשירותים הווטרינרים יש אינטרס שכל כלב ישהה אצלם יותר ימים במטרה לעשות עליו כסף, אבל בסופו של דבר הכלבים משלמים את המחיר ומורדמים, כי לא מוצאים את בעליהם ואין מאגר מסודר".

לדברי וילן, פרסום מספר הטלפון של בעלי הכלבים באתר יקצר את תהליך השבת הכלבים לבעליהם. "לא יתכן שלבעל הכלב לא יהיה לאן להתקשר כשהוא נמצא במצוקה והוא יתקל בבירוקרטיה", הוא אומר. "מי שלא רוצה לחשוף את מספרו, יצטרך להודיע זאת, אך משרד החקלאות טוען שמדובר בבעיה טכנית ואין להם כוח אדם לטפל בה. זו עבודה כמו בימי הביניים". וילן ציין כי במהלך השנה הקרובה יחוייב משרד החקלאות למצוא פתרונות אופרטיביים לבעיה.

ממשרד החקלאות נמסר בתגובה: "כפי שאישרה ועדת הכלכלה, האתר יפעל במתכונתו המקורית ולאחר שתפורסמנה התקנות ברשמות בעוד מספר שבועות, יפורסמו שמות וכתובות בעלי הכלבים באתר. בעזרת פרטי בעלי הכלבים המופיעים באתר מרכז הרישום הארצי, ניתן יהיה לאתר את מספרי הטלפון שלהם באמצעות שרותי המודיעין של בזק וחברות הסלולר".

לשאלה כיצד מתכוונים במשרד לטפל במצוקת בעלי הכלבים בסופי השבוע ובשעות הערב השיבו במשרד: "במידה ומגיעות בקשות למרכז מעבר לשעות הפעילות הרגילות, ישנה הפנייה באתר לטלפון סלולרי של אנשי המשרד למקרים דחופים".
אז אנחנו רואים שבעצם היו פה הרבה אינטרסים,אנשים שטענו שחלם זה מה שהיה,ויצרו חלם חדשה,חברי כנסת מוועדת הכלכלה, שממש לא ברור לא הם עוסקים בסוגיה של מאגר מידע שחושף אנשים הכוללים אישיות בטחוניות,אוכלוסיות בסיכון כמו עיוורים,ועוד.

נראה שטובת הכלב מוצגת כאן,אבל בעצם מדובר בטענה שניתן להפריך ולהגיד שהוטרינר לא רוצה שיפריעו לו לישון. לא ברור האם בשנים שעברו,משרד החקלאות עבר למתכונת מלאה. ולכן שוב משתמע שהווטרינרים המטפלים בכלב ביקשו לחסוך את הטלפון הלילי (אפשר להבין אותם).

  • לדעתי,צריך להקים מוקד מאויש ללא הפסקה,שיתן מענה לפניות הציבור.
  • יש צורך בהגנה פרואקטיבית על המאגר,מניסיונות שאיבה של הנתונים שבו (Scraping)
  • צריך להגן יותר טוב על אוכלוסיות חסרות ישע כמו עיוורים,שניצול המאגר לרגע יכול לשמש לפגיעה בהם,אנחנו חוטאים להם כחברה.
  • האתר הבא ניסה להתמודד עם הבעיה,, אבל יש להם טעות בהבנת הסיטואציה,כי לאחר נשיכה אנחנו נרצה לדעת מי הבעלים,ולא נוכל תמיד לגשת אליהם, לפעמים להם כלבים מסוכנים גדרות ומצלמות אבטחה וגישה קצת מאיימת). 
  •  
  •  
הידיעה על השלכות המאגר הישן

  1. (פורסם: 06.06.2007 12:10) Ynet
  2. (פורסם 06.11.2007 14:47) Ynet 
  3. (פורסם  
 הידיעה על האפליקציה
  1. (פורסם לפני: 06.11.2014 10:05) בלוג אבטחת המידע והטכנולוגיה של אמיתי דן                   וגם בקבוצות הפייסבוק: אבטחת מידע  DC9723

  2. (פורסם: 06.11.2014 13:04Ynet
  3. (פורסם: 06.11.2014 13:11) הארץ
  4. (פורסם: 06.11.2014 13:24) The Marker
  5. (פורסם: 06.11.2014 13:33) כלכליסט
  6. (פורסם: 06.11.2014 14:16) חדשות 2 - mako
  7. (פורסם: 00:48
  8. (פורסם: 07.11.2014 01:35) ישראל היום
  9. Geektime  
  10.  designntrend.com
  11.  vocativ.com
  12. dailymail.co.uk

אם אתם רוצים לחפש אנשים חסויים,כאלו שלא נמצאים ב144,וכנראה גם לא ב441, זה מקום טוב להתחיל בו.

בהנחה שהתקדמתם וחיפשתם אדם וקבלתם כלב,או שיש לכם התקן RFID שבניתם,אתם תקבלו בין היתר את הפרטים הבאים:


השאלה היא מה לכל הרוחות עושים עם מספר טלפון? איך ממשיכים ממנו הלאה? ואיך מגיעים אליו?

יש כמה דרכים שכדאי לשים אליהן לב:

1. מסתבר שאפליקציית Whatsapp נותנת לכם יכולת לצפות בפרטי הבעלים של בעל המכשיר,לפעמים גם בשם שהוא נתן לעצמו (אם התכתבתם)

2.ניתן לדלות מידע בעזרת שיחה נכנסת ממספר שאיתרתם,תוך שינוי השיחה המזוהה והתקשרות למספר אחר שבו מותקנת אפליקציה שמאתרת מידע על מספרים נכנסים (כמו CallApp)

3.ניתן לפתוח שער חשמלי,תוך שימוש במזהה השיחה ושינוי שיחה מזוהה.

4.ניתן לחדור למרכזיות טלפוניות, שבהם ההזדהות הינה בעזרת שיחה מזוהה.








101 Dalmatians (1996) The story behind the information disclosure in the Israei Dog Center DB

Wednesday, November 5, 2014

אתם חשופים בשם החוק והכלב! גרסת הנגישות - שירות 441 דרך הכלב



אתם חשופים בשם החוק והכלב! גרסת הנגישות

שירות 441 דרך הכלב

מאת: אמיתי דן

חוקר אבטחת מידע ומערכות פיזיות

 www.amitaydan.com

 

כיצד חקיקה גורמת לפגיעה מתמשכת בפרטיות?
זוכרים את מאגר אגרון, המאגר שנגנב ממשרד הפנים.. המאגר הבא הינו חינמי חוקי לא תופס מקום ונגיש גם מהנייד.
במאמר זה אסביר למה בגלל הכלב שלכם אבטחת המידע שלכם נפגעת, ועל ההשלכות של הפגיעה בביטחון האישי,והפרטיות, ואיך יוזמה שבאה ממקום חיובי של שיפור השירות הממשלתי,צריכה לשנות את ניהול הסיכונים האישי שלכם.

אתם מוזמנים לפנות לחבר הכנסת שאתו אתם בקשר, יתכן שהוא יוכל לשנות את החקיקה שגורמת למצב.

בכל מקרה,חשוב לפרגן לממשל זמין,ולמשרד החקלאות האפליקציה אכן מנגישה שירותים בצורה מעולה.
אני מקווה שיעשו זאת גם עם שרותים אחרים,כאלה שלא פוגעים בפרטיות.






מהיום כשאתם הולכים ברחוב,או מפרסמים תמונה שלכם עם הכלב - קל מתמיד לאתר אותכם,וזה חוקי.

זה לא נושא חדש,אבל עד היום נדרשתם לגלוש לאתר מסורבל,בעייתי בשם "מאגר כלבים" אשר דרש שימוש ב Internet Explorer,מאז השתפרנו ויש אפליקציה חדשה למובייל.







מנכ"ל משרד החקלאות ופיתוח הכפר, רמי כהן: "האפליקציה החדשה הנה חלק ממהלך כולל במשרד לשיפור השירות לאזרח, הנגשת המידע והקלת הבירוקרטיה" (מתוך אתר המשרד)



מה שאתם צריכים כעת זה להוריד אפליקציה,להזין שם פרטי,או משפחה ולהתחיל לצוד אנשים,כל עוד יש להם כלב (או היה) הם שם.

זה לא משנה אם אתם חסויים בכל מקום אחר,עובדי מדינה בכירים,או פעילים במקומות בלתי חוקיים,ניתן לדעת שיש לכם כלב מסוג מסוים,ואת שמו.



לפני שנה,אפילו פיתחו במסגרת אירוע Geekcon אפליקציה וחומרה בשם
RFIDog שמדגימה כיצד לבצע את תהליך האיתור בעזרת טלפון סלולרי,עם אביזר נלווה ,וככה יכלו לאתר את פרטי הבעלים, בעזרת העברת האביזר מעל הכלב,כאשר הוא בתורו מושך את הפרטים משרת Dog Center של משרד החקלאות.

video



לדעתכם,מישהו יסרב ללחוץ על לינק בהודעת SMS נכנסת שמודיעה לו שהכלב בשם "משמש" נדרס,ותלחץ כאן כדי ליצור קשר עם המרפאה לצורך קבלת פרטים,ותשלום מקדמה?

ככה נדבקים היום בווירוסים,מנצלים את החולשות שלכם,את החברים הכי טובים - הכלבים.



אתם תמסרו הרבה פרטים למי שיודיע לכם שהכלב שלכם חשוד בתקיפה,ויודע מי אתם, זה לא מקרה שבו לא מכירים אותכם אלא כזה שיש עליכם המון פרטים חשופים.













ניקח תסריט אחר,יש לכם תמונה עם הכלב בפייסבוק,ומישהו מנסה לאתר אותכם.



חשוב לי לציין שכל בעל כלב רוצה שיוכלו לאתר אותו אם הכלב אבד,ומודעות של אבד כלב ופרס כספי למוצא,הנן מחזה נפוץ ומי שיאתר כלבים אבודים כמקור פרנסה ירוויח לא מעט כסף...



אם מישהו נשך אותכם (כלב?),יש חשיבות עצומה לבירור של פרטי הנושך,ופרטי הבעלים שלו.

ברור שבמקרה של כלבים מסוכנים איתור הבעלים ומעקב אחריהם מקבל חשיבות יתרה.

לפעמים,הבעלים מסרב לתת פרטים,ואז היכולת לברר מיהו השכן שהינו בעל הכלב הנה קריטית לצורך קבלת טיפול רפואי.



כיצד פותרים?

בקצרה,שינוי חקיקה,וקודם לכן חשיפת המצב לציבור תוך המחשה.





אני מקווה שמישהו,חבר או חברת כנסת שאכפת לה תתעורר ותפתור את החוק שמאפשר את המצב, תוך איזון בין הצורך לביטחון האישי ,הפרטיות,והאחריות הפלילית של בעלי הכלב יחד עם הצורך שלהם לגדל את חיית המחמד ולמצוא אותה לאחר שהיא אבדה,לבין הרצון של הציבור לאתר את הבעלים ולדעת האם הכלב חוסן במקרה של תקיפה.



לצורך העלאת המודעות מחדש,בחרתי להביא לדוגמא את איציק שמולי, אני מקווה שהוא ירים את הכפפה.









בנוסף,אני ממליץ לקרוא על מספר פרצות אבטחה שאיתרתי, ולהבין למה מספר הטלפון הנייד שלכם, הוא משהו שכדאי להסתיר או לפחות לנהל בצורה טובה יותר..



ניתן לבקש הסרה ושינוי פרטים במאגר:



מתוך אתר מאגר כלבים

"לבירורים נוספים ניתן לפנות למרכז הרישום בטלפון: 9681610 - 03 או בפקס 9485939 - 03 או לכתוב אלינו ב דואר אלקטרוני
פניות באמצעות טופס ממשלתי לשינוי פרטי מגורים או העברת בעלות יש לפנות לווטרינר הרשותי באיזור מגורייך"





-מתוך אתר משרד החקלאות-


איבדתם את הכלב? מחפשים רופא וטרינר? רוצים לפנות לרופא הווטרינר הרשותי בעירכם? אפליקציה חדשה של משרד החקלאות תסייע



מנכ"ל משרד החקלאות ופיתוח הכפר, רמי כהן: "האפליקציה החדשה הינה חלק ממהלך כולל במשרד לשיפור השירות לאזרח, הנגשת המידע והקלת הבירוקרטיה"

אפליקציה חדשה של משרד החקלאות ופיתוח הכפר מאפשרת גישה ישירה, קלה ונוחה ל"מאגר הכלבים" של המשרד מכל טלפון חכם. האפליקציה, פרי פיתוח של "ממשל זמין", מאפשרת חיפוש קל ויעיל של כלל הרופאים הווטרינריים בישראל, פרטיים ורשותיים, וכן את "מרשם האוכלוסין" של כלל הכלבים בישראל. עד היום הגישה התאפשרה רק ממחשב שולחני.

האפליקציה כוללת את כלל הכלבים הרשומים כיום בישראל, כ- 350,000 כלבים, מספר השבב של הכלב, הגזע, המין ושם הכלב, האם הכלב סורס או עוקר, מתי חוסן לאחרונה נגד כלבת ומי מחזיק אותו.

האפליקציה תאפשר לציבור לאתר את בעליהם של כלבים משוטטים שאבדו ולהשיבם לבעליהם. בזכות האפליקציה ניתן יהיה לעשות "איחוד משפחות" של כלבים אבודים ובעליהם באמצעות הצלבת נתונים של כלבים אבודים וכאלה שנמצאו, ולמנוע מקרים עצובים של כלבים שאבדו ולא מצליחים לאתר את בעליהם.כמו כן, במקרה של נשיכה או תקיפה, ישנה אפשרות לברר את פרטי הכלב, תוקף רישיונו וחיסונו נגד מחלת הכלבת, לפי פרטי הבעלים. המשרד ממליץ לכל בעלי הכלבים לבדוק באמצעות האפליקציה את נכונות פרטי הכלב המשפחתי, כדי לאפשר את איתורו אם ילך לאיבוד. פרטי הכלבים במרכז נסמכים על נתונים שהתקבלו ממחלקות וטרינריות של הרשויות והמועצות המקומיות בכל הארץ.

בנוסף, האפליקציה מאפשרת לברר האם אדם הוא אכן רופא וטרינר רשום ומורשה במדינת ישראל, מתי קיבל הווטרינר את רישיונו, מהי התמחותו (אם קיימת) והאם הוא מורשה חיסון לפי חוק. בנוסף, ניתן למצוא בחיפוש פשוט לפי שם הרשות מקומית מי הוא הרופא הווטרינר הרשותי וכיצד ניתן להגיע אליו.

האפליקציה פותחה על ידי "ממשל זמין", וזמינה להורדה, חינם כמובן, בחנות האפליקציות של אפל ואנדרואיד – חפשו את האפליקציה "מאגר כלבים" App Store, Google Play

-מתוך אתר משרד החקלאות-סוף



כתבה על פרצה בפנגו שבה הסברתי את פוטנציאל השימוש במספר טלפון נייד, בהקשר מאגר הכלבים.







MSISDN to User agent - or how I had abilities to know which useragent any client of Orange has ,only by using his phone number






לפרוץ את החתונה-פרצה באורנג שאפשרה לגרום לבטל חתונות על פי ההלכה



כך אפשרה אורנג' לגלות מי מחזיק בטלפון לא כשר







מה מספר הטלפון שלך אומר עלייך, ולמה חשוב שתשמור עליו?


מאת עורך דין יונתן קלינגר






בחדרי חרדים ·פרצה באורנג איפשרה לחשוף חרדים שמשתמשים בטלפונים לא כשרים









ההודעה לציבור באתר משרד החקלאות






רוטר




הידיעה במקור "הפורטל הישראלי לחקלאות טבע וסביבה"




הביקורת שYnet העביר על הנושא כבר ב2007











ידיעות נוספות






עיריית בת ים תקים מאגר גנטי לצואת כלבים






להורדת האפליקציה מאגר כלבים



Iphone - App Store






Android - Google Play






חקיקה תקנות והצעות בכנסת


חוק להסדרת הפיקוח על כלבים, תשס"ג-2002




תקנות להסדרת הפיקוח על כלבים התשס"ה-2005






תקנות להסדרת הפיקוח על כלבים (יבוא והחזקה של כלבים מסוכנים) (התשס"ה-2004)






חוק להסדרת הפיקוח על כלבים תיקון - מרכז רישום ארצי


פרויקט כנסת פתוחה


חוק להסדרת הפיקוח על כלבים תיקון סירוס ועיקור כלבים


פרויקט כנסת פתוחה


חוק צער בעלי חיים תיקון חובת עיקור או סירוס של כלבים וחתולים


פרויקט כנסת פתוחה




חוק חובת סימון בעלי חיים והקמת מאגר גנטי חוק חדש


פרויקט כנסת פתוחה




ההסתייגויות של אנונימוס לקראת אישור חוק הכלבים בכנסת, מאי 2002