המערכות הפרוצות של איגוד האינטרנט הישראלי

בשבוע שעבר הוצג בפני הוועד המנהל דוח מקצועי ומפורט שהוכן בעקבות ביקורת אבטחת מידע שנערכה למערכות האיגוד ואתרי האינטרנט שברשותו. הדוח, לפי החלטת הוועד לא כלל את מערכות המרשם וה-IIX.

את תוצאות הדו"ח אפשר להגדיר במילה אחת – קטסטרופה. בסקירה שנעשתה לוועד הובהר כי פריצה היא עניין של "מתי" ולא "אם". בין היתר נתגלו שם "מספר רב של חשיפות ברמה קריטית באתרי האיגוד והשרתים שעלולים לאפשר לתוקף השתלטות על השרתים וגרימת נזק רב". הביקורת חשפה ליקויים נוספים שכבר החלו להיות מטופלים על ידי אנשי ה-IT. באופן חריג, לא אפרסם את הדו"ח כיוון שפרסומו יוביל לפריצה מיידית לשרתי האיגוד.

לא ברור לי עד עתה מדוע הוחרגו מערכות המרשם מהבדיקה המקיפה הזאת, אך הוועד אישר בדיקה נפרדת למערכות המרשם בערך באותו הזמן עם אישור הבדיקה לשאר המערכות. למרות שעברה את כל האישורים הנדרשים כולל תהליך רכש, הבדיקה לא יצאה לדרך.

את הבדיקה מעכבים שוב ושוב חברי וועדת התשתיות באיגוד, דורון שקמוני, אלעד זלומונס ורימון לוי. החלטה תמוהה כיוון שלא פעם טוענים שהמרשם נמצא תחת התקפות באופן שוטף וכן התקבלו איומים מפורשים על מערכות האיגוד בעבר.

כדי לנסות ולהבין כיצד מטפלים באבטחת המרשם, ביקשתי את תכניות העבודה של עובדים במחלקה, כדי להיות בטוח שהאבטחה מונחת על סדר יומם. במקרה הזה נתקלתי בקיר. העובדים טענו כי הורו להם לא להעביר את התוכניות, ומנהלת המרשם הזמנית, מי-טל גרייבר-שוורץ, הודיעה כי רק תוכנית עבודה כללית תפורסם בהמשך השבוע. ביקשתי שוב את המסמכים המפורטים, אך פניות אלו לא נענו.

את ההוראה לא להעביר את המידע קיבלו חברי הוועדה על דעת עצמם. חברי הוועדה הזאת, החליטו כי הם מעל לחוק העמותות, ויכולים להורות לעובד להמנע מהעברת מידע לחבר ועד אחר. זאת למרות סעיף מפורש בחוק העמותות שקובע כי כל עובד חייב להעביר מידע לחבר ועד הנחוץ לו למילוי תפקידו. אני לא רואה איך חברי ועד אחרים באיגוד יוצאים מנקודת הנחה כי המרשם מאובטח אם לא התבצעה בדיקה מעולם, ואם הם לא מקבלים מידע מפורט מהעובדים בענין. כחבר ועד אני אחראי לפעילותו התקינה של המרשם, לא ניתן לעשות זאת ללא ביקורת ומידע מסודר.

התופעה של קבוצה קטנה של אנשים באיגוד שחושבת שהיא יודעת מה טוב יותר מכולם, לא מפתיעה אותי. התופעה של העדר אבטחה למערכת המרשם, או עבודה ללא תוכניות עבודה מפורטות, גם לא מפתיעה אותי. מה שמפתיע הוא שעדיין יש אנשים באיגוד האינטרנט הישראלי שחושבים האיגוד שייך להם ורק להם, ולא מבינים שהוא שייך לכלל הציבור, וחייב בדין וחשבון אמיתי. אנשים שחושבים שהם מעל החוק ומעל ביקורת, ומרשים לעצמם לעכב מידע לא רק מהציבור אלא גם מחברי ועד אחרים.

נשלח ב איגוד האינטרנט
4 תגובות ב“המערכות הפרוצות של איגוד האינטרנט הישראלי
  1. שלום ישראכרד,

    בהמשך לשיחתי עם לילי ממח' בירורים.

    שמי מותקי שרוביני, בבעלותי חברה להקמת אתרים באינטרנט שקיימת משנת 1999, שבמסגרת פעילותה רוכשת דומיינים ישראלים ובינלאומיים, בונה ומעצבת אתרים ומבצעת קידום אורגני בגוגל (SEO).

    בתאריך 22.11.12 חידשתי דרך איגוד האינטרנט הישראלי, תוקף לדומיין (שם מתחם) בשם – .WWW.ORITHOUSE.ORG.IL
    לתקופה של שנתיים בהתאם למגבלות/דרישת האיגוד הנ"ל.
    חידוש זה התברר כטעות לאחר שיחה עם הלקוח שלי, לכן עוד באותו יום ביקשתי לבטל את העיסקה.
    למחרת בתאריך 23.11.12 התקשרה אלי בחורה בשם אורטל. הסברתי לה שאיני צריך את הדומיין, לכן מיהרתי לבטל אותו.
    היא אישרה שתבטל את הדומיין הנ"ל אבל החיוב בעינו יישאר, כלומר גם אשלם וגם לא אקבל את המוצר.
    אין לתאר את העלבון לאינטלגנציה שלי ואת ההשפלה שחשתי בזמן שדיברתי איתה.
    היא הסבירה לי שאין להתחרט היות והעדכון לחידוש נעשה תוך 10 דקות "לל מגע יד אדם" כהגדרתה, אז ביקשתי גם שללא מגע יד אדם שהחיוב יבוטל, יותר נכון שלא יועבר לישראכרד.
    במילים אחרות אורטל שיקרה במצח נחושה. עובדה שלמרות שאת הפעולה ביצעתי ב-22.11, ודיברתי איתה ב-23.11, רק היום, ב-27.11 הועבר החיוב אליכם.
    כלומר כן יד אדם מטפלת בענין, כלומר יד אדם יכולה גם לא להעביר חיוב. היה להם לפחות 4 (ארבעה!) ימים להיענות לבקשתי.
    אני קונה דרכם דומיינים לרוב, יש לי מאות לקוחות.
    למעשה זו הפעם היחידה (!) שאני מבקש בקשה כזו בתקופת עבודה של יותר מ-10 שנים.
    אני גם באמת לא מבין איך הגעתי למצב זה שאני כותב אליכם מכתב זה בגין ענין פשוט, בעיני לפחות, שיכול היה להיפתר בשניה מצד איגוד האינטרנט הישראלי, שנחשף כעת במלוא מערומיו כמונופול חסר רחמים.

    בברכה,
    מותקי שרוביני

    +972-54-4778707
    http://www.pookh.co.il

    וזו התשובה של ישראכרט:
    לקוח יקר שלום רב

    תודה על פנייתך

    מספר פנייה – 13923625

    ישראכרט רשאית לבטל חיובים לבקשת לקוח מ2 סיבות בלבד :

    • כאשר הלקוח לא ביצעה כלל את העסקה (אובדן /גניבת כרטיס )
    • כאשר בית העסק לא יכול לספק כל תמורה בזמן כפי שנקבע בינו לבין הלקוח ( ניתן לבטל חיוב עתידי )

    *כל סיבת ביטול אחרת כגון אי שביעות רצון ממוצר חרטה על קנייה וכו.. נעשה מול בית העסק בלבד על ידי שליחת בקשה לביטול לחברת האשראי .

    בכל שאלה נוספת נשמח לעמוד לרשותך,
    _____________________________________________
    לשירותכם תמיד, ניצנית

    מוקד שירות לקוחות | אגף שירות הלקוחות
    טל' מוקד שירות לקוחות: 03-6364333

    וגם שלחתי לרשות להגנת הצרכן, וזו תשובתם:
    שלום רב,

    הריני מאשרת את קבלת מכתבך שבנדון.

    נבקש להבהיר כי אנו מטפלים בעבירות פליליות על חוק הגנת הצרכן, התשמ"א-1981 .

    מבדיקת פנייתך עולה כי האמור בה אינו בתחום סמכותנו ואין באפשרותנו לעזור לך.
    זאת מאחר שאין מדובר בעסקה צרכנית כהגדרתה בחוק הגנת הצרכן, התשמ"א-1981.
    חוק הגנת הצרכן מגדיר צרכן כ"מי שקונה נכס או מקבל שירות מעוסק במהלך עיסוקו לשימוש שעיקרו אישי, ביתי או משפחתי".

    החוק חל על עסקאות בין עוסק לצרכן ולא בין עוסק לעוסק, ולכן אינו חל במקרה שלך.

    בברכה,

    נורית שחר
    מנהלת לשכת הממונה | הרשות להגנת הצרכן ולסחר ההוגן

    • לצערי, עליך לפנות לאיגוד ישירות בענין ולפעול נגדם בכל דרך שתמצא לנכון. עד כמה שידוע לי, אלו הנהלים. אני יודע שמספר רשמים העלו דרישה לזמן סביר של ביטול, אך האיגוד לא מצא את הדרך לפעול בעניין עד היום.

    • אבי קינן הגיב:

      אם אני זוכר נכון, הייתה בעבר תביעה נגד LiveDNS בנושא דומה,
      LiveDNS ניצחו כשאמרו שדומיין הוא מוצר שמיוצר במיוחד עבור הלקוח ולכן ע"פ החוק לא ניתן להחזירו תוך 14 יום.

  2. בינתיים ביקרתי בגלוב ושלחתי תלונה לרשם העמותות (תודה לתגובה 18 של גלעד):
    כך פונים לרשם העמותות ( http://www.justice.gov.il/MOJHeb/RasutHataagidim/RashamAmutot/YetziratKeser/):

    במסגרת השירות הניתן לציבור, ניתן לפנות לרשם העמותות באמצעות הדרכים הבאות:

    כתובת דוא"ל:
    פניות לרשם העמותות בנושאי בירורים, שאלות, בקשות שירות ותלונות על עמותות – יש לשלוח דוא"ל לכתובת : Moked-amutot@justice.gov.il
    פניות לרשם העמותות בנושאי תלונות על יחידת רשם העמותות ופניות ציבור – יש לשלוח דוא"ל לכתובת : Amutot-p@justice.gov.il

    טלפון: 1-700-70-60-44
    מענה טלפוני בימים א' – ה'
    בין השעות 8:30 – 16:00

    דואר: רשם העמותות
    רחוב ירמיהו 37 , מגדלי הבירה,
    ירושלים מיקוד 94467

    קבלת קהל:
    בימים א', ב', ד', ה' בשעות 12:30-8:30
    בימי ג' ניתן להפקיד מסמכים לביצוע בלבד.
    בימי ו', בערבי חג, בחול המועד סוכות ובחול המועד פסח הלשכות סגורות.
    רחוב ירמיהו 37 , מגדלי הבירה, ירושלים מיקוד 94467
    בפניות משפטיות הנוגעות לעמותה מסוימת, יש לצרף שם ומספר עמותה.
    אנו נשתדל כמיטב יכולתנו לבדוק את הפניה ולענות במהירות האפשרית.
    בשאלות לקבלת הנחיות באשר להתנהלות עמותה, יש לפנות באמצעות
    פקס מס' 6462548 02 בצירוף שם ומספר עמותה.

להגיב על רועי שלומי לבטל

האימייל לא יוצג באתר. שדות החובה מסומנים *

*

הרשמה לעדכונים

הזינו את כתובת המייל שלכם כדי לקבל עדכונים במייל