29.10.2009

גוגל כרום לא אוהב את גוגל אדוורדס

הדפדפן של גוגל, "כרום", היה סבור שיש בעיה עם אתר גוגל אדוורדס (Google AdWords).
בזמן גלישה ב"אדוורדס" עלתה הודעה "דף זה מכיל תוכן לא מאובטח". המצב תוקן בספטמבר 2011.



24.10.2009

אסור לסמוך יותר מדי על גוגל

הסתמכות גדולה מדי על תוצאות טובות ב"גוגל" עלולה להפוך לבומרנג דיגיטלי; קחו לדוגמה את יוסף שניידר, הבעלים של "המרכז הישראלי לממציאים", שהכניס לאתר שלו תוצאות חיפוש שחושפות אותו בתור נוכל סדרתי

באוקטובר 2009 התפוצצה פרשת "שיטת שניידר" - חשד להונאה בחברה המכונה "המרכז הישראלי לממציאים בשיטת שניידר". יוסף שניידר, מייסד החברה, נעצר על ידי המשטרה בעקבות חקירת מפלג הונאה שהחלה לאחר שידור תחקיר "כולבוטק". שניידר חשוד בגניבת מליוני שקלים בסדרת של מעשי הונאה נגד ממציאים רבים, וגניבה גדולה משותפו לעסקים אביב צידון, שתפקידו בפרשה עדיין לא ברור.

לפני תחקיר "כולבוטק" נהנה שניידר ממוניטין סביר, ככל הנראה.
אין דרך אחרת להסביר מדוע באתר הרשמי של "המרכז הישראלי לממציאים" הוא הכניס תחת המדור "כתבו עלינו" את הקישור הבא: "תוצאות מגוגל".

אתר שיטת שניידר - כתבו עלינובתמונה: צילום מסך מאתר המרכז הישראלי לממציאים
מדור "כתבו עלינו" - שימו לב לקישור "תוצאות מגוגל"
תוצאות מגוגל הן חיה דינמית - לעתים מחמיאות, לעתים מביכות. במקרים קיצוניים, הן עשויות לייצר תדמית כה טובה עד שאדם יכול לקבל הצעות עסקיות משלל גורמים מכובדים -- אך גם לחשוף תרמיות ולמוטט אדם עד למצב שבו הקריירה שלו מגיעה לסופה המר. לעתים, תוצאות חיפוש חושפניות במיוחד מסתיימות בבית הסוהר.

בתקופה שלפני תחקיר "כולבוטק", שניידר נהנה מתוצאות חיפוש טובות עליו. ממציאים שעשו חיפוש על שמו קיבלו כתבות יח"צנות (הכתבה "רב של ממציאים" מאת אסף מליחי ב-ynet, היא דוגמה טובה), שהושפעו בין השאר מהשתתפותו בתוכנית "הכרישים", וסיפורים יפים על השתתפותו בכנסי ממציאים. כך חי שניידר מתדמית שיצר לעצמו: אדם כריזמטי ומוכשר, המסייע לממציאים לעשות כסף. תדמית זו השתקפה במנועי חיפוש כמו גוגל.

אלא שלאחר תחקיר "כולבוטק", ובמיוחד לאחר מעצרו המתוקשר - השתנו לרעה תוצאות החיפוש, ובמהירות גדולה מכדי ששניידר עצמו יספיק להבחין בכך. ייתכן שהאתר שלו כבר לא מנוהל באופן שוטף, מפני שהעסק "המרכז הישראלי לממציאים בשיטת שניידר" למעשה נמצא בתהליך של קריסה לאחר מעצרו של שניידר. מכל מקום, אחת מתוצאות החיפוש עליו, המופיעה פיזית בתור "מסגרת" (Frame) באתר שלו, נראית כך:

תוצאות חיפוש מאתר שיטת שניידר
אף מנהל שפוי לא יאפשר מצב שבו באתר הרשמי של הארגון שלו יופיע שם הארגון ולצידו הכיתוב "הבלוף הגדול", כאשר מנהל הארגון מכונה "פרי באושים", אשר "תרמית והונאה יסודו".

אף מנהל גם לא ירצה לחשוף באתר הבית שלו את העובדה שהוא נחשד בהונאת מליונים:

תוצאת חיפוש נוספת מאותו עמוד הגיעה מפורום שבו דובר על התארגות נפגעים להגשת תביעה משפטית נגד שניידר. תוצאת חיפוש נוספת שולפת תביעות משפטיות שכבר החלו נגד שניידר (מאתר "תקדין"). לחיצה על הקישור "לעמוד הבא" בתוצאות גוגל אף מביאה ידיעות חדשותיות על מעצרו של שניידר.

הנה למשל צילום מסך מוגדל של עמוד התוצאות כפי שהופיע בתאריך פרסום פוסט זה.
ואם זה לא מספיק, הנה צילום מסך מוגדל של עמוד התוצאות השני, עם כתבות על המעצר.

הלקח הוא לא לסמוך יותר מדי על גוגל. קישור ישיר לתוצאות חיפוש בגוגל, המשתנות באופן תדיר (לטוב ולרע) הוא למעשה הימור - על השם הטוב שלך, על תדמית הארגון שלך, ועל החיים שלך באופן כללי. הסתמכות מוחלטת על גוגל בתור כלי לניהול מוניטין היא למעשה בומרנג דיגיטלי.


13.10.2009

ספריה פתוחה? מנועי החיפוש יחשפו לך אותה

בלעדי: אחת מחברות ההפקה הגדולות בישראל שכחה לנעול ספריית קבצים באתר שלה, ובכך חשפה את כתובות הדוא"ל של אלפים מלקוחותיה, חברות מובילות במשק הישראלי ומשרדי ממשלה; הפירצה נסגרה בעקבות פנייה מוקדמת של עורך הבלוג

על קובץ אקסל אחד יושבות להן 13,812 כתובות דוא"ל של עובדים יקרי-ערך בארגונים החזקים והגדולים ביותר בישראל כיום: משרדי ממשלה, חברות הייטק, בנקאות, פיננסים, תקשורת, מחשבים, מזון, תעופה, רפואה וביטוח. זו רשימה שכל ספאמר-דוא"ל היה מוכן לשלם כמה אלפי דולרים כדי לקבלה. אך אין צורך: מחדל אבטחה בסיסי חשף אותה במנועי החיפוש, לכל מחפש סקרן.

על קצה המזלג, מדובר בחברות-ענק כגון בנק הפועלים, בזק, פלאפון, בנק מזרחי, בנק דיסקונט, אינטל, יבמ, קוקה-קולה, נס (Ness), מגדל, אלווריון, קסלמן וקלסמן PwC, איי-די-בי (idb), נייס, תנובה, בריטמן-אלמגור (דלויט), אמדוקס, טבע, שטראוס-עלית, אסותא, נייס, סיסקו, מוטורולה, סקאל, אוסם, משרדי ממשלה רבים ומאות חברות נוספות.

חברת הפקות ישראלית ידועה, ששמה לא יתפרסם כאן מחשש לתביעה דיבה מיותרת, שכחה "לנעול" את אחת מספריות הקבצים שלה. בכך חשפה 42 קבצי אקסל שבהם כ-20,000 כתובות דוא"ל של בכירים במשק הישראלי, מנהלי שיווק, עובדי הייטק, עובדי מדינה - ואנשים חשובים (VIP) המשתתפים באירועים, כנסים ותערוכות על בסיס שוטף.

בין החשופים המרכזיים: מאות עובדי חברת אינטל בישראל; כ-140 עובדי יבמ ישראל; כל עובדי חברת ראד (rad); עשרות עובדי אמדוקס ישראל; עובדי רפא"ל; עשרות עובדי מוטורלה ישראל; בכירים בכל הבנקים הגדולים (פועלים, לאומי, דיסקונט, מזרחי); עשרות עובדי סלקום, סיסקו, קונצרן כלל, קופ"ח כללית, אי-סי-איי (eci), גלובס, הארץ, היולט-פקארד (hp) ישראל, יס (yes), דפי זהב, דן (תחבורה), רשות שדות התעופה, משרד החינוך, חברת החשמל, ישקר, צ'קפוינט, קומברס, ישראכרט, בנק ישראל, דלתא, לשכת עורכי הדין, טבעול, רשות הנמלים, ג'רוזלם פוסט, משרד המשפטים, קונצרן כור, KPMG ישראל, לאומי קארד, לומניס, מעריב, מ.ל.מ. מערכות, מקורות, חברת המתנ"סים, מנורה, רשות המיסים, משרד הבינוי והשיכון, קבוצת מגדל, דלויט ישראל, משרד הקליטה, משרד התמ"ת, משרד הרווחה, משרד התחבורה, משרד המדע, בכירי אורנג', אל-על, אלביט, אפלייד מטיריאלס, מפעל הפיס, הפניקס, רשות הדואר, פסגות-אופק, ריטליקס, רויטרס, בי"ח שיבא תל-השומר, שופרסל, משרד עו"ד שיבולת, טרה, טמבור, ידיעות תקשורת, צים, טבע, משרד התיירות, תנובה - ועוד עשרות רבות של חברות וארגונים בישראל.

בין כתובות הדוא"ל שנחשפו - גם כתובות פרטיות של עובדים ומנהלים בכירים, להבדיל מכתובות דוא"ל ארגוניות.

את הפירצה ניתן היה לאתר בקלות יחסית - כל מה שצריך לעשות הוא לחפש לפחות אחת מכתובות הדוא"ל המופיעות ברשימה; כאשר מדובר ב-20 אלף בכירים במשק הישראלי, קל יחסית לאתר לפחות אחד מהם. מספיק שאדם נכנס לגוגל או מנוע החיפוש של וואלה, ומקליד כתובת דואל של אחד מלקוחות חברת ההפקות - יופיע לו קובץ אקסל ובו שאר אלפי הלקוחות של חברת ההפקות.

סביר להניח שהפירצה גרמה לכך שרבים מן המופיעים ברשימה כבר הותקפו על ידי ספאמרים, שסורקים את תוצאות החיפוש של גוגל על בסיס קבוע. באחד הקבצים, למשל, המכונה "אינטל" - מופיעות 349 כתובות דוא"ל של עובדי החברה; מכאן ועד שליחת מייל המוני לכל העובדים - הדרך קצרה.

ב-9 באוקטובר 2009 הודענו לחברת ההפקות על הפירצה באתר שלה, כמה ימים לפני הפרסום. תוך ימים ספורים נחסמו הספריות הפתוחות, וכעת הן מחזירות הודעת 403 ("Forbidden") לכל ביקור באמצעות דפדפן. עם זאת, הקבצים עצמם עדיין קיימים, וניתן לפתוח אותם באמצעות קישורים שעדיין מופיעים במנועי חיפוש מקומיים כגון גוגל ישראל או "וואלה! חיפוש".

לאחר שיקול דעת, הוחלט לא לחשוף את שם החברה בבלוג "חופש החיפוש", בגלל היעדר עניין לציבור. אנו מקווים שלא גרמנו להם נזק כלשהו, ומבהירים כי פרסום זה נועד להדגים כיצד חוסר תשומת-לב לפרטים עשוי לגרום למנועי חיפוש לחשוף כתובות דוא"ל רגישות של בכירי מדינת ישראל. אנו מצפים מחברת ההפקות להסיר בהקדם את הקבצים מן הספרייה הנדונה, כיוון שמנועי החיפוש עדיין מספקים קישורים עמוקים לקבצי האקסל הנדונים. שמרנו צילומי מסך של הספרייה הפתוחה, ועותקים של כל קבצי האקסל המדוברים.

הלקח לבעלי אתרים, וובמסטרים ומנהלי מערכות מידע של אתרי אינטרנט: בדקו היטב שספריות האתר נעולות לגלישה סתמית. אם ניתן לעיין בקבצים באמצעות ביקור פשוט בכל ספרייה, הרי שאתם עשויים לחשוף את עצמכם למקרים מביכים, ואולי אף מסוכנים. מרגלים תעשייתיים יהנו מאוד לגלות את הלקוחות שלכם, התכתובות שלכם ואולי אף החומרים הסודיים שבטעות חשפתם בפני גוגל, וואלה! ודומיהם.

4.10.2009

גלעד שליט: חייל חטוף או חייל שבוי?

ע"פ גוגל, יש לפחות 40,000 אזכורים של המונח "החייל החטוף" ברשת. זאת לעומת פחות מ-3,000 אזכורים של המונח "החייל השבוי". מנועי החיפוש משקפים נכונה את השגיאה הנפוצה של הישראלים בקשר לפרשת גלעד שליט

כל הזכויות שמורות לבלוג חופש החיפוש 2007-2012