מה שהכי מרתיח אותי זה שככ קל היה למנוע את כל זה, ישראל ממש נתפסה עם המכנסיים למטה.

למה? כי עכשיו משרד המשפטים יושב לבעלי השרתים והאתרים שנפרצו על הראש (ראיתי את זה במו עיני) ויש סיכוי סביר מאוד להעמדה לדין פלילי שלהם. כי עכשיו יש תביעה ייצוגית שיכולה להסתיים בפיצוי כספי גדול מאוד. כי יש שורה ארוכה של פרסומים בתקשורת המיינסטרימית על בעיות אבטחה באתרים.

אז הסבירות שהבעלים של אתר "בוזגלו מכירות" יתחיל להשקיע קצת באבטחת האתר עלתה בצורה משמעותית.

חדשות בנוגע להאקר שהיתראיין - http://tech.walla.co.il/?w=/4/1891799

http://israeli2.blogspot.com/2012/01/blog-post.html

נראה כמו חובבן גמור לפי איך שעלו עליו (בהנחה שזה הוא) http://3.bp.blogspot.com/-LUij3-3V4rI/TwZO7NFoMwI/AAAAAAAAAPM/nPu-4Tz2sQ8/s1600/aaa.JPG

כרגע נתקלתי בהודעה "חדשה" של ההאקר 0xomar מאתמול בשעה 21:35 ... מה שנראה כפרסום נוסף של מאות מספרי כרטיסי אשראי מספרי טלפון ואי-מיילים . .. . כפי שזה נראה אף אחד לא פרסם על זה בתקשורת הישראלית ... מן הסתם אני לא אפרסם את זה פה .

איך ולמי אני יכול לשלוח את זה שיחסמו את הכרטיסים הנ"ל????????????

בדוק באתרים של ויזה כאל וישראכארד.

הסאגה נמשכת : http://it.themarker.com/tmit/article/18105

"בנק אוצר החייל, בנק מסד מקבוצת הבינלאומי, אוניברסיטת בר אילן, אולג'ובס, אייויס (Avis) ואוטו סנטר הם רק חלק מהאתרים שהופיעו ברשימה שפורסמה בשעה האחרונה על ידי קבוצת האקרים המציגה את עצמה כפלסטינית, כאתרים ישראלים המועדים לפריצה. כלומר, אתרים שניתן לפרוץ אליהם בקלות יחסית."

עכשיו העולם הערבי יודע ש-75% מאתרי האינטרנט בישראל לא מאובטחים כראוי. אני מניח שאם alljobs יפרץ זה כבר יהיה ממש ממש מוגזם...

מה שכן,קיבלנו Wake-up call מצלצל.

איך אפשר לדעת מאיזה אתר נגנבו הפרטים?

באיזה אתר לא להשתמש?

נגנבו לי פרטים שאני לא זוכר ששמתי באתר אינטרנט! שני מספרים סלולאריים וכתובת אי מייל שאני לא נוהג להכניס באתרים (אלא אם כן זה אתר שאני רוצה לקבל ממנו הודעות, ואין הרבה כאלה)...

יש רשימה של אתרים שנפרצו?

יש מצב שאם קניתי משהו ממוקדן של חנות אינטרנטית (נגיד olsale) אז שאני אומר לו את הפרטים הוא מכניס את זה למאגר שפרצו אותו?

אם ככה אז גם קניה בטלפון אינה בטוחה?

יש איפשהו רשימה של פלאפונים ומיילים?? אני רוצה לבדוק אם שלי נכנסו

אני משוכנע מאוד שעליתי על הCIDR שלו ואני משוכנע מאוד (בגלל הדרך שבה הוא "פרץ") שההאקר הזה אחראי על התקרית הזאתי גם כן

http://www.ynet.co.il/articles/0,7340,L-3535801,00.html

בגלל אותו השימוש של השיטה (SQL INJECTION) [במקרה הידוע לנו כיום עם כרטיסי האשראי הוא פשוט עשה INJECT לסקריפט ש"מקשיב ושולח" נתונים, זה היה אפשרי בגלל רמה פחות מאובטחת של האתר, את זה הסקתי בגלל שינוי המקורות בPHP שמראה גוגל מי לפני שבוע ושינויים ברמות הHEX ששמתי לב אליהם וניתחתי אותם]

במקרה של בנק ישראל, הם פשוט עשו INJECT לדף-בית אחר, בגלל שמסד הנתונים הפנימי היה מאובטח ברמה כמו שאתר בנק ישראל אמור להיות, לא נקלחו נתונים, אבל זה היה נראה כמו שיפור קטן, אתם לא חושבים? אחרי שלמד לעשות INJECT לLAYOUT וPHP וHTML לכל אתר שהוא חפץ, הוא למד אחר-כך לעשות INJECT לסקריפטים שהוא בנה, זה למה אני מסיק שזה אותו בן-אדם, הCIDR לא מפורט כלכך אבל ניתן גם להסיק שהבן-אדם משתמש ברשת אלחוטית (WIFI) וזה לא חכם מצידו כי ציפים של WIFI הם בעלי MAC מזדהה ייחודי שנכתב לתוך הBOOTROM שלהם, כלומר עם הCIDR הזה אני מניח שאפשרי מאוד לדעת באיזה בן-אדם מדובר או לפחות למי הלקוח WIFI (כלומר המחשב או הפלאפון או מה שזה לא יהיה שתופס את האינטרנט מהנקודה החמה שלו) שמשתמש בזה, בנוסף לMAC ADDRESS...ילד קטן שהתחיל ללמוד טיפה מגוגל, לא סקנת עולם, אם אני הצלחתי להגיע למסקנות האלה ולהשיג את הCIDR אני מניח שרבים יכולים - דרך אגב, זה למה משתמשים הרבה יותר בVPN כדי להחביא את עצמך כיום ולא בפרוקסי, אתרי פרוקסי כיום כולם עם DNS רשום, כלומר אפשר לאתר להם את הבעלים, אף אחד לא ימכור DNS עם הפרטים שלו בסכנה לשטויות האלה לכן יש הסכם שינוי פרטי הצרכן לכל כתובת DNS קיימת, לכן אתרי פרוקסי משאירים סקריפט פתוח שעושה לוג מפורט על השניה של השימוש באיזה כתובת נכנס מי וכל הפרטים שהם יכולים לאסוף עליו, שהאקר מתרברב ברמות כאלה אתרי פרוקסי לא חושבים פעמים ולא מגנים עליו\משחררים מידע עליו כדי להמנע מהאשמות, כולל דרך אימייל, לכן להתחבא מאחורי פרוקסי זה יותר מסוכן מאשר עוזר בזמן הזה בגלל שכיום להצליב נתונים זה עניין של מה בכך... לעומת זאת VPN אתה מתחבא מאחורי חומה שאתה יוצר, אבל אתם באמת חושבים שהוא יכול לייצור חומה בלתי ניתנת לאיתור? אין דבר כזה, לכל דבר יש חור, הוא לא היה משחרר את השם שלו ומתרברב אם היה לו VPN עוצמתי כדי להמנע מריבוי אנליציה של מה שנשאר מההתקפה שלו, שזה יקח אותנו ישירות אליו... רק בגלל שהוא התרברב אני המרתי על הפרוקסי והאמונה שהפרוקסי יגן עליו, את משחק הפרוקסי גיליתי בגיל 13, עד היום זה לא החביא אף אחד, רק נתן טיפה דיליי, מה שכן מה נעשה ברגע שנדע מי הוא? אני לא הייתי תוקף כדי למנוע סכסוך מטומטם שניתן לפתור בקלות, במילים אחרות, אל תדאגו, המוח הישראלי כבר מעבר לתעלומה, אני לא מחשיב את עצמי האקר, אני מכיר הרבה יותר דגולים ממני בעיקר מארצות אסיאתיות, ילדות בנות 14 שמסוגלות לעצור פועלות ברשת ללא צורך במלא מחשבים (כלומר ללא התקפה של DDoS) רק בגלל שהם מבינות את דרך הפעולה של שרתים בצורה מפורטת שאני לא מאמין