איך ניתן להשיג פרטים נוספים?
-
@משה-מזרחי אין לי
אבל אם יהיה מידע מדוייק אוכל לנסות דרך מישהו -
@nbhgv אמר באיך ניתן להשיג פרטים נוספים?:
אני מאמין שכבר טיפלו בפירצה ואין איך להוריד אולי להשיג ממי שכבר הוריד..
@מה-הבעיה אמר באיך ניתן להשיג פרטים נוספים?:
@nbhgv אמר באיך ניתן להשיג פרטים נוספים?:
אני מאמין שכבר טיפלו בפירצה ואין איך להוריד אולי להשיג ממי שכבר הוריד..
לפי הכתבה מדובר שהם הורידו והעלו לרשת שיהיה זמין להורדה
-
@מישהו12 אמר באיך ניתן להשיג פרטים נוספים?:
@aiib אתם מדברים על מאגר אלקטור? הוא מאובטח הרבה יותר מפעם קודמת
מציאות שפרצו אותו (את של השנה)
@לומדעס אמר באיך ניתן להשיג פרטים נוספים?:
@מישהו12 אמר באיך ניתן להשיג פרטים נוספים?:
@aiib אתם מדברים על מאגר אלקטור? הוא מאובטח הרבה יותר מפעם קודמת
מציאות שפרצו אותו (את של השנה)
פרצו אותו, (לפי מה שהבנתי זה היה פריצה ממש קלה) אבל הם הספיקו לחסום את זה כמו שצריך (הם נתבעו על הפרת חוקים מסויימים בחוק המחשבים, והם מיד אחרי זה סידרו את זה) ולגבי המאגר עצמו, לפי מה שידוע לי זה לא חוקי בעליל להשתמש בו (חוץ מזה שנראה לי שההאקרים שפרצו את זה לא שיחררו את כל המאגר, אלא רק חלק קטן).
-
@מה-הבעיה אמר באיך ניתן להשיג פרטים נוספים?:
@nbhgv אמר באיך ניתן להשיג פרטים נוספים?:
אני מאמין שכבר טיפלו בפירצה ואין איך להוריד אולי להשיג ממי שכבר הוריד..
לפי הכתבה מדובר שהם הורידו והעלו לרשת שיהיה זמין להורדה
@aiib איך פרצו נלקח מאתר אינטרנט ישראל
שלב ראשון: השתמשתי בכלי הפריצה המחוכם “דפדפן” ונכנסתי לאתר אלקטור.
שלב שני: עשיתי view source. זה מה שראיתי בתוך קובץ הבאנדל היחיד שיש שם:
שלב שלישי: באמצעות כלי ההאקינג cmd c + cmd v עשיתי העתק והדבק של הכתובת אל ה”דפדפן”. התגלתה בפני רשימת מנהלי החשבונות השונים. רובם של חשבונות לא מעניינים. ניגשתי אל זה של הליכוד
שלב רביעי: חזרתי לאתר אלקטור ובאמצעות כלי הדיפ ווב הידוע בכינויו “עכבר”, לחצתי על הכפתור השחור הגדול שעליו כתוב “התחבר” (ניסיון התכנות שלי בהחלט משחק כאן תפקיד) והקלדתי את הסיסמה ואת שם המשתמש (טלפון) ולחצתי על “התחבר”.
שלב חמישי: HACK THE PLANET
הייתי בתוך המערכת עם גישה מלאה להכל.אז אילו כשלים תכנותיים היו פה?
כשל ראשון – API שעובד ללא אותנטיקציה מינימלית
כל API שהוא צריך לבצע אותנטיקציה עם token שנמצא בתוך http only cookie בלבד.
כשל שני – אין אימות דו שלבי
מערכת רגישה כל כך חייבת להיות עם אימות נוסף חוץ מסיסמה. בדיוק בגלל כשל כזה.
כשל שלישי – אין מערכת לוגינג
כשהתחברתי אל האתר עשיתי את זה תוך שימוש ב-proton VPN והתחברתי ממדינת עולם שלישי כלשהי. נכון, VPN הוא לא כלי של אנונימיות אבל הוא כלי מצוין כיוון שהוא מאפשר לי לראות אם מישהו מטמיע הגנה בשרת. מערכת הגנה טובה על מערכת ישראלית רגישה שאמורה להיות חשופה לישראלים בלבד – אמורה למנוע גישה ממדינות אחרות. המערכת גם נמצאת על קלאודפלייר, היה אפשר לעשות את זה בקלות.
כשל רביעי – אין הגנה מפעילויות חשודות
עשיתי באתר את המינימום של המינימום רק בשביל להבין שלא מדובר בנתוני דמה ומייד מיהרתי לדווח למערך הסייבר. אבל, וזה אבל גדול, ברגע שהמערכת מזהה יותר מדי שאילתות היא אמורה לפעול ולעצור את הבעיות האלו. בטח ובטח כשמדובר בהורדה של קבצים גדולים.
לסיכום – אני כל הזמן צוחק שאני עושה view source ומקבל תהילה על “פריצות”. זה לא מאוד רחוק מהמציאות אבל לא האמנתי שיבוא יום וזה אשכרה יקרה. view source.
-
@aiib איך פרצו נלקח מאתר אינטרנט ישראל
שלב ראשון: השתמשתי בכלי הפריצה המחוכם “דפדפן” ונכנסתי לאתר אלקטור.
שלב שני: עשיתי view source. זה מה שראיתי בתוך קובץ הבאנדל היחיד שיש שם:
שלב שלישי: באמצעות כלי ההאקינג cmd c + cmd v עשיתי העתק והדבק של הכתובת אל ה”דפדפן”. התגלתה בפני רשימת מנהלי החשבונות השונים. רובם של חשבונות לא מעניינים. ניגשתי אל זה של הליכוד
שלב רביעי: חזרתי לאתר אלקטור ובאמצעות כלי הדיפ ווב הידוע בכינויו “עכבר”, לחצתי על הכפתור השחור הגדול שעליו כתוב “התחבר” (ניסיון התכנות שלי בהחלט משחק כאן תפקיד) והקלדתי את הסיסמה ואת שם המשתמש (טלפון) ולחצתי על “התחבר”.
שלב חמישי: HACK THE PLANET
הייתי בתוך המערכת עם גישה מלאה להכל.אז אילו כשלים תכנותיים היו פה?
כשל ראשון – API שעובד ללא אותנטיקציה מינימלית
כל API שהוא צריך לבצע אותנטיקציה עם token שנמצא בתוך http only cookie בלבד.
כשל שני – אין אימות דו שלבי
מערכת רגישה כל כך חייבת להיות עם אימות נוסף חוץ מסיסמה. בדיוק בגלל כשל כזה.
כשל שלישי – אין מערכת לוגינג
כשהתחברתי אל האתר עשיתי את זה תוך שימוש ב-proton VPN והתחברתי ממדינת עולם שלישי כלשהי. נכון, VPN הוא לא כלי של אנונימיות אבל הוא כלי מצוין כיוון שהוא מאפשר לי לראות אם מישהו מטמיע הגנה בשרת. מערכת הגנה טובה על מערכת ישראלית רגישה שאמורה להיות חשופה לישראלים בלבד – אמורה למנוע גישה ממדינות אחרות. המערכת גם נמצאת על קלאודפלייר, היה אפשר לעשות את זה בקלות.
כשל רביעי – אין הגנה מפעילויות חשודות
עשיתי באתר את המינימום של המינימום רק בשביל להבין שלא מדובר בנתוני דמה ומייד מיהרתי לדווח למערך הסייבר. אבל, וזה אבל גדול, ברגע שהמערכת מזהה יותר מדי שאילתות היא אמורה לפעול ולעצור את הבעיות האלו. בטח ובטח כשמדובר בהורדה של קבצים גדולים.
לסיכום – אני כל הזמן צוחק שאני עושה view source ומקבל תהילה על “פריצות”. זה לא מאוד רחוק מהמציאות אבל לא האמנתי שיבוא יום וזה אשכרה יקרה. view source.
-
@לומדעס אמר באיך ניתן להשיג פרטים נוספים?:
@מישהו12 אמר באיך ניתן להשיג פרטים נוספים?:
@aiib אתם מדברים על מאגר אלקטור? הוא מאובטח הרבה יותר מפעם קודמת
מציאות שפרצו אותו (את של השנה)
פרצו אותו, (לפי מה שהבנתי זה היה פריצה ממש קלה) אבל הם הספיקו לחסום את זה כמו שצריך (הם נתבעו על הפרת חוקים מסויימים בחוק המחשבים, והם מיד אחרי זה סידרו את זה) ולגבי המאגר עצמו, לפי מה שידוע לי זה לא חוקי בעליל להשתמש בו (חוץ מזה שנראה לי שההאקרים שפרצו את זה לא שיחררו את כל המאגר, אלא רק חלק קטן).
@מוטי-אורן אמר באיך ניתן להשיג פרטים נוספים?:
@לומדעס אמר באיך ניתן להשיג פרטים נוספים?:
@מישהו12 אמר באיך ניתן להשיג פרטים נוספים?:
@aiib אתם מדברים על מאגר אלקטור? הוא מאובטח הרבה יותר מפעם קודמת
מציאות שפרצו אותו (את של השנה)
פרצו אותו, (לפי מה שהבנתי זה היה פריצה ממש קלה) אבל הם הספיקו לחסום את זה כמו שצריך (הם נתבעו על הפרת חוקים מסויימים בחוק המחשבים, והם מיד אחרי זה סידרו את זה) ולגבי המאגר עצמו, לפי מה שידוע לי זה לא חוקי בעליל להשתמש בו (חוץ מזה שנראה לי שההאקרים שפרצו את זה לא שיחררו את כל המאגר, אלא רק חלק קטן).
אני צריך איתם פגישה
-
@aiib אמר באיך ניתן להשיג פרטים נוספים?:
@לומדעס זה פריצה ישנה יותר
אני מדבר על פריצה חדשהממתי זה ?
-
@מוטי-אורן אמר באיך ניתן להשיג פרטים נוספים?:
@לומדעס אמר באיך ניתן להשיג פרטים נוספים?:
@מישהו12 אמר באיך ניתן להשיג פרטים נוספים?:
@aiib אתם מדברים על מאגר אלקטור? הוא מאובטח הרבה יותר מפעם קודמת
מציאות שפרצו אותו (את של השנה)
פרצו אותו, (לפי מה שהבנתי זה היה פריצה ממש קלה) אבל הם הספיקו לחסום את זה כמו שצריך (הם נתבעו על הפרת חוקים מסויימים בחוק המחשבים, והם מיד אחרי זה סידרו את זה) ולגבי המאגר עצמו, לפי מה שידוע לי זה לא חוקי בעליל להשתמש בו (חוץ מזה שנראה לי שההאקרים שפרצו את זה לא שיחררו את כל המאגר, אלא רק חלק קטן).
אני צריך איתם פגישה
-
@aiib הפריצה הייתה לאפליקציית אלקטור לפני שנה - בבחירות הקודמות,
ככה"נ מספר לא מבוטל של האקרים שמו את ידיהם על החומר ועכשיו אחד מהם החליט להדליף את החומרלפני תקופה חפרתי על זה הרבה עם דפדפן תור ולא מצאתי כלום כנראה שזה לא כ"כ פשוט למצוא את הדברים האלו אלא צריך לדעת איך להגיע לזה
-
@מוטי-אורן תקרא בכתבה שצירפתי
-
@aiib כן זה חלק ממה שהיה כתוב שם הינה ציטוט
"הליכוד העלה אל המערכת את ספר הבוחרים המלא שניתן לו על ידי ועדת הבחירות. בספר הבוחרים המלא יש את הפרטים של כל אזרח ישראלי הזכאי להצביע בבחירות. שם מלא, כתובת מעודכנת, מספר תעודת זהות, מין וכתובת הקלפי ומספרה. אל הפרטים האלו שודכו פרטים נוספים הנמצאים בידי הליכוד על חלק מהאזרחים: מספר טלפון, שם אב, שם אם וקשרים משפחתיים. מדובר באוצר מידע נדיר ובלום על לא פחות מ-6,453,254 אזרחי ישראל שכל ממשלה זרה, ארגון ביון או חברה מסחרית היו רוצים להחזיק." -
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}