דו"ח טכנולוגי
איך השיגה פייסבוק את כל הודעות ה-SMS ואת יומן השיחות שלי?
פרשת קיימברידג' אנליטיקה גרמה למשתמשי פייסבוק לקלוט עד כמה נרחב המידע שנאסף עליהם, ההאקר שחשף את המיילים של הילרי קלינטון מתגלה כסוכן ריגול רוסי, המאגר הביומטרי של הודו שוב דולף וארה"ב מנסה להתמודד עם ירי בבתי ספר באמצעות תוכנה גרועה
מספר גדול יחסית של משתמשים, שהזדעזע מפרשת קיימברידג' אנליטיקה שנחשפה בשבוע שעבר, הציץ וגילה איזה מידע עליו מחזיקה פייסבוק. בהנהלת הרשת החברתית כנראה שהתחרטו על שאיפשרו לצפות במידע הזה ולהגביל את חשיפתו: המשתמשים נדהמו לגלות שפייסבוק שמרה תיעוד של כל השיחות היוצאות והנכנסות שלהם, את היסטוריית הודעות ה-SMS ועוד.
יש שלושה דברים משותפים למשתמשים הללו: הם משתמשי אנדרואיד; הם איפשרו לפייסבוק גישה לאנשי הקשר שבסלולרי; והם נתנו לה גישה למספר הטלפון שלהם. בפייסבוק מיהרו לומר שהמשתמשים יכולים להאשים רק את עצמם: פייסבוק נתנה להם את האפשרות להעניק לה את המידע והם, ראו זה פלא, בחרו בה. בפייסבוק יטענו שמדובר בשימוש בחופש הבחירה של המשתמש, אבל מותר להניח שרובם בחרו באופציה בהיסח הדעת, כי הם לא הבינו על מה הם חותמים.
אלה חדשות רעות לפייסבוק הן משום שהיא מתגלה, שוב, כקריפ של השכונה והן משום שבאיחוד האירופי, שגם כך שוקל להגביל את הגישה של ושל חברות מדיה חברתית אחרות (כמו גם ג'ימייל) למידע משתמשים, צפויים לקבל בחוסר הבנה את ההנהלות הזו. מומלץ לכל משתמש להוריד את הקובץ הזה, משום שהוא מאפשר לכם גם לדעת (תחת ads) לאילו מפרסמים פייסבוק מכרה את המידע שלכם (איך מגלים? כתבנו עבורכם מדריך). הופתעתי לגלות, למשל, שהמידע שלי הגיע איכשהו לחברות ביטוח בית בארה"ב. כמובן, הרשימה הזו לא כוללת את רשימת החברות שלקחו את המידע שלכם מפייסבוק באמצעות אפליקציה שהפעילו חברים שלכם, כך שהיא רחוקה מלהיות כוללנית. אבל היא מספקת הצצה מועילה.
כל זה הכניס את פייסבוק למוד פאניקה. היא מיהרה להודיע למפרסמים שיהיה בסדר; ביום ו' האחרון ערך צוקרברג ישיבת עובדים (סגורה לקהל) שבה ניסה להרגיע את העובדים הנסערים, שהמוראל שלהם צנח אפילו יותר ממניית החברה. חלק מעובדי החברה, דווח, כבר החלו לבקש שיעבירו אותם מהפרויקט העיקרי של החברה (פייסבוק) לפרויקטים אחרים (כמו ווטסאפ). מגייסים מביעים חשש שהנזק לשמה הטוב של החברה יקשה עליה לשכור מפתחים בעלי מצפון.
והבאלגן הזה לא הולך להיגמר בקרוב; הוושינגטון פוסט חשף בסוף השבוע שהחוקר אלקסנדר קוגאן - האדם שגנב את המידע מפייסבוק והעביר לקיימברידג' אנליטיקה - בעצם עבד עם שני מומחים מטעם פייסבוק. ואם לא די בכך, הם עבדו עם הבחור גם ב-2015, אחרי שפייסבוק כבר ידעה על מה שקיימברידג' אנליטיקה עשתה. כשצוקרברג יגיע להעיד בפני הקונגרס, הוא יצטרך כנראה להסביר גם את זה. ואולם, השמועות על מותה של פייסבוק מוקדמות מאוד ועד כה, שום מפרסם גדול לא הודיע על עזיבת הפלטפורמה.
אנחנו רק שבוע אחרי החשיפה והמידע הזה מחלחל לאט. אם להסתכן בנבואה, אז לדעתי מה שיקרה הוא שמצד אחד, פייסבוק תמשיך לגנוב את המידע של המשתמשים (כי אין לה יכולת קיום אחרת), ומצד שני הרבה משתמשים יצמצמו את המגע שלהם עם פייסבוק. הם לא ימחקו את החשבון כי יש להם יותר מדי אנשי קשר שמשתמשים בו, אבל ישתפו פחות מידע. פייסבוק תדמם כסף ועל כן תציג יותר פרסומות (בדגש על מודעות שאי אפשר להתעלם מהן, כמו סרטונים מצווחים). בהתאם, הסלידה של המשתמשים מהשירות תגבר. אם שירות מתחרה יצוץ עוד שמונה חודשים-שנה בערך, ויתגבר על המכשול העיקרי (רכישה מקדימה לצרכי חיסול על ידי פייסבוק), יכול להיות שעוד שנתיים פייסבוק תהיה במצבה של מייספייס.
הפתעה!
זוכרים את גוצ'יפר 2.0, ההאקר שהעביר את המידע של הקמפיין של הילארי קלינטון לוויקיליקס? ההוא שטען שהוא האקר בודד? ובכן, תחקיר של הדיילי ביסט חושף את האמת: גוצ'יפר הוא סוכן מודיעין רוסי, ספציפית קצין במודיעין הצבאי הרוסי, ה-GRU. גוצ'יפר טען שהוא רומני, אבל כבר ביוני 2016 חשף Motherboard את העובדה שהוא לא יודע מילה ברומנית.
גוצ'יפר ניסה להסתיר את זהותו באמצעות שימוש ב-VPN, אבל פעם אחת הוא נפל: הוא שכח להפעיל את ה-VPN לפני שהתחבר לרשת, וכתוצאה מכך אפשר היה לעלות על כתובת ה-IP שלו. היא מובילה ישירות למחשב של קצין ספציפי במטה ה-GRU ברחוב גריז'ודובובוי במוסקבה. אופס.
ה-GRU, שתמיד קיבל יחסי ציבור יותר גרועים מאלה של ה-KGB, אחראי למעשה לחלק ניכר מההצלחות המודיעיניות של רוסיה. לפי הערכות, הוא זה שמפעיל את נבחרת ההאקרים הידועה כ-Fancy Bear. מה שמעניין כאן, מבחינת החוקרים של קשרי רוסיה-טראמפ, הוא שיועציו של טראמפ יצאו מגדרם כדי לטעון שההדלפה הגיעה לא ממקורות רוסיים אלא מגוצ'יפר, שהיה לטענתם האקר עצמאי. עכשיו צריך לברר האם הם ידעו שהם משקרים או שסתם היו "אידיוטים מועילים" של פוטין.
עוד חור בקיר
בהודו יש מערכת ביומטרית לאומית בשם Aadhar. השימוש בה בינתיים איננו חובה, רשמית, אבל אם אתה רוצה לפתוח חשבון בנק או לקבל הלוואה מסודרת, אתה צריך להיות במערכת. יש בה פרטים, כולל פרטים ביומטריים, של 1.1 מיליארד משתמשים. ולמערכת יש היסטוריה של פרצות אבטחה.
בסוף השבוע הודיע ZdNet שהוא זיהה פרצת אבטחה חדשה במערכת, כזו שלא היתה ידועה עד כה. לדברי חוקר האבטחה שאיתו עובד המגזין, פרצת האבטחה מאפשרת לכל אדם להוציא מידע על כל חבר במערכת, כולל שמות אמיתיים, מספרי זיהוי וחשבונות בנק.
הפרצה איננה במערכת עצמה, אלא בחברת צד שלישי שמופעלת על ידי הממשלה, שיש לה גישה למערכת. וזו תמיד הבעיה: אפשר להגן על מערכות, בערך, אבל ברגע שלמישהו מפוקח פחות יש גישה אליהן, יש פרצה. בהודו טוענים כעת שהם לא מכירים פרצה כזו, כי הכחשה נשמעת טוב יותר מהודאה ברשלנות וטיפול בבעיות.
וכמו תמיד, נזכיר: מאגר המידע על אזרחי ישראל דלף ממשרד הפנים. מישהו חושב שזה יהיה אחרת עם המאגר הביומטרי?
קצרצרים
1. בתי ספר בארה"ב, שנאלצים בשנים האחרונות לערוך שוב ושוב תרגילים למקרה בו ייכנס אליהם איזה קוקו שקנה רובה סער בפיצוציה הסמוכה, מנסים פתרון נואש: הפעלת תוכנת AI בנסיון לחזות מי מהתלמידים שלהם ירצח את חבריו לספסל הלימודים. הנחת היסוד היא שלתלמידים אין זכות לפרטיות בתחומים החשובים ביותר של חייהם, ושלבתי הספר יש זכות להתייחס אליהם כחשודים פליליים. החוקרים אומרים שהם רק מנסים לאבחן דפוסי שפה: לזהות את הצורה שבה רוצחים מתבטאים ולמצוא תלמידים שמתבטאים באופן דומה. ובכן, מה יקרה כאשר יגיעו למסקנה שג'ארד או צ'אד (כמעט בלי יוצא מן הכלל, הרוצחים הם גברים) נשמעים 71% כמו צ'ארלס מנסון? יבודדו אותם? יזהירו תלמידים אחרים מפניהם? יבקשו מהמשטרה לחפש אצלם נשק? היא לא יכולה. תדפיס מחשב הוא לא ראיה קבילה לצו חיפוש. החברה הרלוונטית כבר נקטה בהצהרת חוסר האחריות הנדרשת, והודיעה שא. יש לה false positives, כלומר שהיא מפלילה תלמידים על לא עוול בכפם, ב. יש לה false negatives, כלומר תלמידים שהיא לא מזהה שבנו בונקר תחמושת ושחולמים להיות פול פוט, וג. היא בכלל לא כלי לצורכי חקירה.
2. אחת הערים הגדולות בארה"ב, אטלנטה שבג'ורג'יה, מצאה את עצמה בימים האחרונים תחת מתקפת כופר. שורה של שירותים ממשלתיים, מתשלום חשבונות מים ועד רישום אסירים חדשים, לא זמינים לתושבים ולרשויות. בעיר עדיין עובדים על תגובה הולמת לדרישת הכופר, ופקידים אמרו שזו התקפת הסייבר הגדולה ביותר בהיסטוריה של העיר. ההנחה היא שגם אם העיריה לא תכנע ולא תשלם, היא עדיין תצטרך להוציא סכומים גדולים. ואם זה לא היה מספיק, קיים חשש שהתוקף גם הצליח לגנוב פרטים של עובדי ממשלה וסתם אזרחים ששמרו את הפרטים שלהם כשבאו לשלם ארנונה. כיף.
3. בנושא קשור, מחקרים מעלים שברבעון האחרון של 2017 עלה מספר התקפות ה-cryptojacking – השתלטות על מחשבים לצרכי כריית מטבעות קריפטו – ב-8,500%. צריך להזכיר, עם זאת, שברבעון ההוא מטבעות קריפטו היו בשיאם, לפני הנפילה הגדולה. החוקרים מצאו שהרבה יותר קל להשתיל נוזקה שטוחנת לך את ה-CPU (במיוחד אם אתה לא שם לב אילו אפליקציות התקנת), מאשר להשתיל וירוס שיגנוב ממך כסף ישירות.
4. כנס מפתחי המשחקים השנתי בארה"ב עורר כמה כותרות השנה, בין השאר בשל הסירוב של ממשל טראמפ לאשר ל-12 מפתחים מחוץ לארה"ב להגיע לכנס. אחד הנושאים היותר בוערים על סדר היום הוא התאגדות של מפתחי משחקים כדי להגן על זכויותיהם. הבעיה הנפוצה ביותר בענף היא הדרישה הבלתי פוסקת לעבוד שעות נוספות מטורפות, דרישה שמטרתה להוציא את המשחק המגניב של החברה כמה שיותר מהר לשוק. בדרך, יש לנו מפתחים שנדרשים להפר גסות את איזון החיים-עבודה שלהם ונשחקים במהירות. ההתארגנות בשלביה הראשוניים, ומאחר וזו ארה"ב, בינתיים היא גם חשאית ותת קרקעית. נעדכן.
5. משחק חדש, Neo-Cab, שם אתכם בנהליה של לינה רומרו, דמות של עובדת אנושית בעיר בה רוב המשרות נתפסו בידי רובוטים. רומרו היא עובדת כלכלת החלטורה, בחברה דמויית אובר, והיא צריכה איכשהו לשרוד כלכלית ובו זמנית לשמור על איזון אמוציונלי. הבעיה היא שהשניים באים זה על חשבון זה. הבחירה בדמות של אשה ממוצא היספני היא מכוונת, ואחד האלמנטים במשחק יהיה החומה שטראמפ מפנטז לבנות וההשפעות שלה על הגזענות האמריקאית בעולם שבו הכל נשלט על ידי חברות מעקב. המשחק מתבסס על ראיונות עם מאות עובדים בתעשיית החלטורה, שמדווחים על מה שעבר עליהם. כיף זה לא הולך להיות.