לפני חודש בערך קיבלתי פנייה טלפונית לתרומה כספית מעמותה בשם "תכלית", התומכת בכ-1,800 משפחות נזקקות ע"י חלוקת תוי קנייה למזון, חלוקת מזון לחגים, הסעת חולים לטיפולים ועוד.
אמרתי לנציגת העמותה שאשמח לתרום, אבל לא בטלפון, אלא דרך אתר האינטרנט שלהם.
כשנכנסתי לאתר, גיליתי שעמוד התרומה ה"מאובטח" שלהם שבו אני אמור לתת את פרטי כרטיס האשראי שלי - ממש לא מאובטח, ומאפשר למעשה לכל האקר חובב לגנוב את כל הפרטים האישיים שלי, ולצאת למסע קניות על חשבוני ברשת.
כמחווה של רצון טוב, פניתי מיד גם לעמותה עצמה וגם לחברה שבנתה את אתר האינטרנט שלה (קומנט - 011 שמקבלת כאן ציון "נכשל") והתרעתי לפניהם על הפירצה החמורה באתר שלהם - שחושפת למעשה את כל התורמים באתר שלהם.
אחרי כמה ימים, התקשר אלי מישהו שהציג עצמו כמנהל העמותה, ואמר - "קיבלנו את ההודעה שלך, הנושא בטיפול, תוך כמה ימים אני מבטיח שזה יתוקן."
אז אמר.
אחרי שבוע נכנסתי שוב לאתר שלהם לבדוק מה התחדש, ו-גורנישט.
כל התורמים לעמותה דרך האתר עדיין חשופים לגניבה, שאפילו לא דורשת יותר מדי תיחכום מצד הגנב.
אם תהיתם - עד לרגע זה ממש שום דבר לא תוקן....
כיוון שביצוע קניות, העברת תרומות וביצוע תשלומים שונים דרך האינטרנט כבר הפכו מזמן למשהו סטנדרטי לחלוטין, כדאי להזכיר שוב - למרות שזה כבר ידוע - מה צריך לבדוק לפני שממהרים לתת פרטים אישיים, פרטי חשבון בנק או פרטי כרטיס אשראי שלנו באינטרנט, ולא משנה לאיזה גוף.
הדברים שחשוב לבדוק - גזור ושמור
1. בתחילת הכתובת של אתר האינטרנט חייב להופיע https, ולא http. בלי לצלול לפרטים טכניים - האות S מציינת שהתקשורת עם האתר מוצפנת.
לדוגמא, כך נראית שורת הכתובת כשנכנסים לתיבת הדואר של ג'ימייל:
2. חפשו תמיד את סמל המנעול.
הסמל הזה מאשר שהאתר שאתם גולשים בו מזוהה ע"י הדפדפן שלכם כמאובטח. אם תקליקו על המנעול, תוכלו לקבל פרטים נוספים על שיטת האבטחה וכו'.
כך זה נראה באקספלורר:
לשם ההשוואה, כך ייראה אתר לא מאובטח - לא https ולא סמל מנעול - כמו באתר של עמותת תכלית:
לסיכומו של עניין - מתברר שאפילו עמותות שמבוססות על התרומות שלנו, ויודעות להשיג אותנו כדי שנעזור להן לפעול - מזלזלות בפרטיות שלנו, ועלולות לגרום לנו לנזקים כספיים והרבה עוגמת נפש.
כמו שכתבתי בפוסט שהתפרסם גם ב-ynet לגבי המחדל של ישראכרט בפסטיבל "שף תאכל" - כדאי מאוד לשים לב, כי אף אחד לא יעשה את זה במקומנו.
עדכון (פברואר 2011) - הבעיה תוקנה, אבל לא בקלות:
בעקבות פרסום הפוסט, ואחרי מס' פניות שלי הן לרשם העמותות, הן למנהלי העמותה והן לחברה שבנתה את האתר, בסופו של דבר - הבעיה תוקנה וטופס התרומה הפך למאובטח.
חבל מאוד שדבר כ"כ בסיסי, שאמור להיות מובן מאליו לכל מי שעוסק בנושא, דורש פניות חוזרות ונשנות עד שהוא מתוקן, אבל העיקר - סוף טוב, הכל טוב.
את טופס התרומה החדש והמאובטח אפשר למצוא כאן:
https://secures19.brinkster.com/011comnet/tachlit/visaSecured.asp
חושבים שהפוסט יכול להועיל לאנשים נוספים? שילחו להם לינק, או שתפו אותו בעזרת כפתורי השיתוף
שלמטה.
אשמח לקבל תגובות והערות גם במייל - myzarkor@gmail.com .
יניב טילינגר Yaniv Tillinger
אמרתי לנציגת העמותה שאשמח לתרום, אבל לא בטלפון, אלא דרך אתר האינטרנט שלהם.
כשנכנסתי לאתר, גיליתי שעמוד התרומה ה"מאובטח" שלהם שבו אני אמור לתת את פרטי כרטיס האשראי שלי - ממש לא מאובטח, ומאפשר למעשה לכל האקר חובב לגנוב את כל הפרטים האישיים שלי, ולצאת למסע קניות על חשבוני ברשת.
כמחווה של רצון טוב, פניתי מיד גם לעמותה עצמה וגם לחברה שבנתה את אתר האינטרנט שלה (קומנט - 011 שמקבלת כאן ציון "נכשל") והתרעתי לפניהם על הפירצה החמורה באתר שלהם - שחושפת למעשה את כל התורמים באתר שלהם.
אחרי כמה ימים, התקשר אלי מישהו שהציג עצמו כמנהל העמותה, ואמר - "קיבלנו את ההודעה שלך, הנושא בטיפול, תוך כמה ימים אני מבטיח שזה יתוקן."
אז אמר.
אחרי שבוע נכנסתי שוב לאתר שלהם לבדוק מה התחדש, ו-גורנישט.
כל התורמים לעמותה דרך האתר עדיין חשופים לגניבה, שאפילו לא דורשת יותר מדי תיחכום מצד הגנב.
אם תהיתם - עד לרגע זה ממש שום דבר לא תוקן....
כיוון שביצוע קניות, העברת תרומות וביצוע תשלומים שונים דרך האינטרנט כבר הפכו מזמן למשהו סטנדרטי לחלוטין, כדאי להזכיר שוב - למרות שזה כבר ידוע - מה צריך לבדוק לפני שממהרים לתת פרטים אישיים, פרטי חשבון בנק או פרטי כרטיס אשראי שלנו באינטרנט, ולא משנה לאיזה גוף.
הדברים שחשוב לבדוק - גזור ושמור
1. בתחילת הכתובת של אתר האינטרנט חייב להופיע https, ולא http. בלי לצלול לפרטים טכניים - האות S מציינת שהתקשורת עם האתר מוצפנת.
לדוגמא, כך נראית שורת הכתובת כשנכנסים לתיבת הדואר של ג'ימייל:
https - מציין תקשורת מוצפנת |
הסמל הזה מאשר שהאתר שאתם גולשים בו מזוהה ע"י הדפדפן שלכם כמאובטח. אם תקליקו על המנעול, תוכלו לקבל פרטים נוספים על שיטת האבטחה וכו'.
כך זה נראה באקספלורר:
חפשו את סמל המנעול |
לשם ההשוואה, כך ייראה אתר לא מאובטח - לא https ולא סמל מנעול - כמו באתר של עמותת תכלית:
אתר לא מאובטח - לא https ולא סמל מנעול |
לסיכומו של עניין - מתברר שאפילו עמותות שמבוססות על התרומות שלנו, ויודעות להשיג אותנו כדי שנעזור להן לפעול - מזלזלות בפרטיות שלנו, ועלולות לגרום לנו לנזקים כספיים והרבה עוגמת נפש.
כמו שכתבתי בפוסט שהתפרסם גם ב-ynet לגבי המחדל של ישראכרט בפסטיבל "שף תאכל" - כדאי מאוד לשים לב, כי אף אחד לא יעשה את זה במקומנו.
עדכון (פברואר 2011) - הבעיה תוקנה, אבל לא בקלות:
בעקבות פרסום הפוסט, ואחרי מס' פניות שלי הן לרשם העמותות, הן למנהלי העמותה והן לחברה שבנתה את האתר, בסופו של דבר - הבעיה תוקנה וטופס התרומה הפך למאובטח.
חבל מאוד שדבר כ"כ בסיסי, שאמור להיות מובן מאליו לכל מי שעוסק בנושא, דורש פניות חוזרות ונשנות עד שהוא מתוקן, אבל העיקר - סוף טוב, הכל טוב.
את טופס התרומה החדש והמאובטח אפשר למצוא כאן:
https://secures19.brinkster.com/011comnet/tachlit/visaSecured.asp
חושבים שהפוסט יכול להועיל לאנשים נוספים? שילחו להם לינק, או שתפו אותו בעזרת כפתורי השיתוף
שלמטה.
אשמח לקבל תגובות והערות גם במייל - myzarkor@gmail.com .
יניב טילינגר Yaniv Tillinger
הפרנויה שלך חוגגת....
השבמחקנראה לי שתגובה אנונימית רק מחזקת את הטענות שלי לגבי שמירה על פרטיות ברשת, לא?
השבמחק:-)