דו״ח סייבר שבועי
עדכון שבועי 12.01.2023
עיקרי הדברים
-
ישראל: בית המשפט העליון אישר ל-WhatsApp לפתוח בהליכים משפטיים נגד NSO הישראלית; הרשות להגנת הפרטיות מטילה קנס בסך 95,000 ש"ח על עובד מדינה שפרסם בפייסבוק מידע אישי שהשיג דרך גישתו למאגר מידע ממשלתי.
-
סייבר במערכת הבריאות: מחקר חדש חושף כי בין 2016 ל-2021 התרחשו 374 מתקפות סייבר על ארגוני בריאות בארה״ב ומידע של יותר מ-42 מיליון מטופלים דלף; ה-CISA תתעדף ב-2023 הגנה על מוסדות רפואיים; אוסטרליה: גל מתקפות מסוג Gootkit פקד את מגזר הבריאות: טקסס: תביעה ייצוגית נגד המרכז הרפואי OakBend בעקבות דלף מידע שהתרחש במהלך מתקפת כופרה; מיזורי: בית החולים Fitzgibbon מודיע שמידע רפואי דלף במתקפת כופרה שאירעה ביוני; רומניה: מתקפת כופרה על בית החולים Sfântul Gheorghe; פנסילבניה: שירותי הבריאות לאם ולמשפחה (MFHS) מדווחים כי איתרו גישה בלתי מורשית לרשת ודליפה של מידע רפואי.
-
נורבגיה: חברת DNV הפועלת במגזר התעשייה הימית חווה מתקפת סייבר על תוכנה שבבעלותה; בריטניה: השילוח הבינלאומי בשירות הדואר המלכותי (Royal Post) מושבת עקב מתקפת סייבר.
-
איראן בלמה מתקפת סייבר על הבנק המרכזי במדינה.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה נותן מענה לחולשה במוצרי ניהול סיסמאות של ManageEngine
עדכון האבטחה החודשי של מיקרוסופט נותן מענה לחולשת Zero-day ול-98 חולשות אחרות, 11 מהן קריטיות
עדכון האבטחה החודשי של SAP נותן מענה ל-12 חולשות, 6 מהן קריטיות
עדכוני אבטחה למוצרי Adobe נותנים מענה לחולשות ברמת חומרה גבוהה
עדכוני אבטחה ל-Google Chrome כלולים בעדכון גרסת המוצר שתופץ בקרוב, חלק מהחולשות שייסגרו הן ברמת חומרה גבוהה
עדכון אבטחה שיפורסם בקרוב ייתן מענה ל-4 חולשות חדשות ב-Identity Service Engine של Cisc
התקפות ואיומים
Check Point: מנוע ה-AI ChatGPT משמש לתקיפות סייבר
Slack הודיעה על גישה לא מורשית למאגרי הקוד שלה
SpyNote: עלייה בכמות המכשירים שנדבקו ברוגלה לאחר הדלפת קוד המקור שלה
הנוזקה Kinsing זוהתה בתוך קלסטרים של Kubernetes בפלטפורמת Linux
חוקרי Phylum מנתחים חבילת PyPi חדשה שמפיצה נוזקת RAT בעלת יכולות מתקדמות לחמיקה מפתרונות אבטחה
המלחמה במזרח אירופה
קבוצת התקיפה הרוסית Turla נצפתה משתמשת בנוזקה ישנה נגד ארגונים אוקראינים
סייבר בעולם
קמפיין Dark Pink: רשויות ממשלתיות וצבאיות באסיה ובאזור הפסיפי הפכו קורבן למתקפות סייבר מתמשכות המתמקדות באיסוף מודיעין
איראן מדווחת כי בלמה מתקפת סייבר על הבנק המרכזי במדינה
מספר לקוחות של חברת התעופה KLM קיבלו הודעה לפיה מערכות החברה נפרצו ומידע אישי שלהם דלף
מיקרוסופט הפסיקה לפרסם עדכוני אבטחה ל-Windows 7 ו-Windows 8
ה-CISA מוסיפה שתי חולשות במוצרי מיקרוסופט ל״קטלוג החולשות המנוצלות הידועות
סייבר בגופי בריאות
מידע של יותר מ-42 מיליון מטופלים אמריקאים נחשף במתקפות סייבר בין 2016-2021; ה-CISA תתעדף הגנה על מוסדות בריאות והשכלה
טקסס: תביעה ייצוגית נגד המרכז הרפואי OakBend בעקבות דלף מידע שהתרחש במהלך מתקפת כופרה
מיזורי: בית החולים Fitzgibbon מודיע שמידע רפואי דלף במתקפת כופרה שאירעה ביוני
רומניה: מתקפת כופרה על בית החולים Sfântul Gheorghe
פנסילבניה: שירותי הבריאות לאם ולמשפחה (MFHS) מדווחים כי איתרו גישה בלתי מורשית לרשת ודליפה של מידע רפואי
אוסטרליה: גל מתקפות מסוג Gootkit פקד את מגזר הבריאות
סייבר בספנות ולוגיסטיקה
נורבגיה: חברת DNV הפועלת במגזר התעשייה הימית חווה מתקפת סייבר על תוכנה שבבעלותה
בריטניה: השילוח הבינלאומי בשירות הדואר המלכותי (Royal Post) מושבת עקב מתקפת סייב
סייבר ופרטיות - רגולציה ותקינה
הרשות להגנת הפרטיות מטילה קנס בסך 95,000 ש"ח על עובד מדינה שפרסם בפייסבוק מידע אישי על בסיס גישתו למאגר מידע ממשלתי
ארה״ב: בית המשפט העליון אישר ל-WhatsApp לפתוח בהליכים משפטיים נגד NSO הישראלית
אושרה הגשתה של תובעה ייצוגית נגד LastPass עקב פריצה שחשפה מידע אישי של עד 25 מיליון משתמשני "כספת הסיסמאות"
ישראל משתתפת בדיונים על האמנה המתגבשת למניעת פשע מקוון: מחלוקות בנושא ההגנה על זכויות אד
כנסים
הציטוט השבועי
״סייבר הוא מוצר חברתי. הוא עוסק בחוסן חברתי. והמסר שלי הוא שאנחנו צריכים לשנות מהיסוד את היחסים בין הממשלה לתעשייה.״
- ג'ן איסטרלי, מנהלת הסוכנות לאבטחת סייבר ותשתיות (CISA) של ארצות הברית, Yahoo!finance ,6.1.23.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון אבטחה נותן מענה לחולשה במוצרי ניהול סיסמאות של ManageEngine
העדכון שפרסמה החברה רלוונטי למוצריה הבאים:
Access Manager Plus 4308 וגרסאות מוקדמות יותר (יש לעדכן לגרסה Access Manager Plus 4309)
Password Manager Pro 12200 וגרסאות מוקדמות יותר (יש לעדכן לגרסה Password Manager Pro 12210ֿ)
PAM360 5800 וגרסאות מוקדמות יותר (יש לעדכן לגרסה PAM360 5801)
מקור החולשה (CVE-2022-47523) ב-SQL Injection והיא עלולה לאפשר לתוקף לגשת למידע הקיים בנתוני המוצר
.צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם האפשרי לגרסאותיהם האחרונות
עדכון האבטחה החודשי של מיקרוסופט נותן מענה לחולשת Zero-day ול-98 חולשות אחרות, 11 מהן קריטיות
בין החולשות שנסגרו בעדכון שפורסם ב-10 בינואר מצויות 39 חולשות העלולות לאפשר העלאת הרשאות, 33 חולשות העלולות לאפשר הרצת פקודות מרחוק (RCE), וכן 10 חולשות העלולות לאפשר מתקפת מניעת שירות (DDoS) ו-10 חולשות העלולות לאפשר גישה למידע המצוי במערכת. עוד נסגרו 4 חולשות העלולות לאפשר מעקף של אבטחת מיקרוסופט ושתי חולשות העלולות לאפשר התחזות למקור לגיטימי. חולשת ה-Zero-day, שנסגרה בעדכון (CVE-2023-21674, CVSS 8.2) עלולה אף היא לאפשר העלאת הרשאות במערכת.
צוות קונפידס ממליץ למשתמשים במוצרי מיקרוסופט לעדכנם בהקדם לגרסאותיהם האחרונות.
עדכון האבטחה החודשי של SAP נותן מענה ל-12 חולשות, 6 מהן קריטיות
עדכוני האבטחה של החברה לחודש ינואר מתקנים חולשות בכלל מוצריה, מחציתן ברמת חומרה בינונית ומחציתן קריטיות. החולשות הקריטיות שנסגרו בעדכון הן:
חולשה (CVE-2023-0016, CVSS 9.9) מסוג SQL Injection במוצר SAP Business Planning, חולשה (CVE-2023-0022, CVSS 9.9) בפלטפורמה SAP BusinessObjects Business Intelligence העלולה לאפשר הזרקת קוד מרחוק וחולשה נוספת (CVE-2022-41203, CVSS 9.9) באותו מוצר העלולה לאפשר פגיעה בנתוני מערכת, וכן 3 חולשות (CVE-2022-41272, CVSS 9.9; CVE-2022-41271, CVSS 9.4; CVE-2023-0017, CVSS 9.4) העלולות לאפשר גישה לא מורשית למגוון מוצרי SAP NetWeaver.
צוות קונפידס ממליץ למשתמשים במוצרי SAP לעדכנם בהקדם לגרסאותיהם האחרונות.
עדכוני אבטחה למוצרי Adobe נותנים מענה לחולשות ברמת חומרה גבוהה
העדכונים רלוונטיים למוצרים:
Dimension - גרסה 3.4.6 וגרסאות מוקדמות יותר.
InCopy - גרסה ID18.0 וגרסאות מוקדמות יותר.
InDesign - גרסה ID18.0 וגרסאות מוקדמות יותר.
Acrobat - גרסה 22.003.20282 וגרסאות מוקדמות יותר.
Reader - גרסה 22.003.20282 וגרסאות מוקדמות יותר.
החולשה החמורה ביותר (CVE-2023-21594, CVSS 7.8) שנסגרה בעדכון היא מסוג Heap-based Buffer overflow.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.
העדכון עבור הדפדפן, שיפורסם בימים או בשבועות הקרובים, יהיה רלוונטי לכל מערכות ההפעלה (Windows ,Mac ו-Linux) ויסגור 17 חולשות ברמות חומרה מנמוכה עד גבוהה, בהן גם:
חולשה (CVE-2023-0128) ברמת חומרה גבוהה מסוג Use-After-Free ב-Overview Mode, העלולה לאפשר הרצת קוד שרירותי במערכת.
חולשה (CVE-2023-0129) ברמת חומרה גבוהה מסוג Heap Buffer overflow ב-Network Service, העלולה הרצת קוד שרירותי במערכת.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסאותיו החדשות עם פרסומן.
עדכון אבטחה שיפורסם בקרוב ייתן מענה ל-4 חולשות חדשות ב-Identity Service Engine של Cisco
להלן פירוט החולשות שהתגלו במוצר:
CVE-2022-20964 - חולשה העלולה לאפשר הזרקת קוד שרירותי בעקבות אימות לא תקין של קלט מהמשתמש.
CVE-2022-20966 - חולשה מסוג Stored XSS בממשק הניהול האינטרנטי של המוצר.
CVE-2022-20967 - חולשה בממשק הניהול האינטרנטי של רכיב ה-External RADIUS Server, העלולה לאפשר לתוקף לבצע מתקפה מסוג Reflected XSS.
CVE-2022-20965 - חולשה בממשק האינטרנטי של המוצר, העלולה לאפשר לתוקף מאומת לעקוף הגבלות אבטחה בממשק.
צוות קונפידס ממליץ למשתמשי המוצר לעקוב אחר פרסומי Cisco ולעדכנו עם פרסום גרסתו המתוקנת. נכון לעכשיו, מומלץ להגביל את הגישה החיצונית אל ממשק הניהול האינטרנטי לרשת הפנימית בלבד, או באמצעות VPN.
התקפות ואיומים
Check Point: מנוע ה-AI ChatGPT משמש לתקיפות סייבר
בפרסום קודם של חוקרי Check Point אודות הממשק ששחררה OpenAI בנובמבר, הכולל יכולות נרחבות, בהן גם כתיבת סקריפטים וקטעי קוד (ראו ״הסייבר״, 29.12.22), הודגמו יכולותיו של ChatGPT בתחום כתיבת הנוזקות ויצירת שרשראות הדבקה, לרבות יצירת מיילי פישינג. כעת, בפרסום חדש מראים החוקרים שהאקרים ופושעי סייבר אכן משתמשים בכלי למתקפותיהם. ב-29 בדצמבר פורסם בפורומי האקינג מחתרתיים פוסט שכותרתו ChatGPT – Benefits of Malware, ואשר כותבו טוען כי ביצע ניסויים בממשק על מנת ליצור נוזקות. בין הדוגמאות ששיתף עם קוראיו נמצא קוד Python המחפש אחר סוגי קבצים נפוצים, מעתיק אותם לתיקייה, מכווץ אותם ומעלה אותם לשרת FTP.
בניתוח הסקריפט מצאו חוקרי Check Point שהוא אכן מבצע את הפעולות שתיאר מפרסם הפוסט. בדוגמה נוספת שפרסם המשתמש מוצג סקריפט שמוריד אל מחשב הקורבן את PuTTY, תוכנה לביצוע חיבור SSH, שלאחר הורדתה מותקנת ומורצת ברקע על ידי PowerShell. דוגמה אחרת לסקריפט זדוני שנכתב על ידי מנוע ה-AI פורסמה ב-21 בדצמבר על ידי המשתמש USDoD, שהדגיש כי זהו הסקריפט הראשון שאי פעם יצר. כאשר משתמש אחר הגיב לפרסום בטענה לפיה נראה שהסקריפט נכתב על ידי AI, אישר USDoD כי אכן ״נעזר״ בממשק. ב-31 בדצמבר שותפה בפורומים של האקרים דוגמה נוספת לשימוש זדוני במנוע ה-AI, הפעם כזה שאינו נוגע לכתיבת סקריפטים: בפוסט שכותרתו Abusing ChatGPT to create Dark Web Marketplaces scripts הדגים המפרסם כיצד השתמש ב-ChatGPT להקמת חנות למסחר במידע לא חוקי או גנוב. בשעה זו טרם ברור מה יהיו השלכות הממשק החדש על עולם הסייבר ופשיעת הסייבר, ואם השימוש בו יהפוך נפוץ יותר בקרב תוקפים, אך נכון לעכשיו ניכרת עלייה בשימוש הזדוני בו.
Slack הודיעה על גישה לא מורשית למאגרי הקוד שלה
החברה שבבעלותה מוצר המסרים המיידיים הפופולרי חקרה וגילתה גישה לא מורשית שבוצעה למאגרי ה-GitHub שלה, לאחר שנודע לה על פעילות חריגה שנרשמה בהם ב-29 בדצמבר. הגישה התאפשרה עקב גניבת פרטי התחברות למאגר ממספר עובדי Slack. עוד התגלה כי ב-27 בדצמבר אותו שחקן זדוני הוריד מאגרי קוד פרטיים של החברה. בעקבות הגילוי, Slack פעלה לביטול אסימוני הגישה הגנובים וכאמצעי בטיחות נוסף החליפה את כל ה-Credentials שנגנבו. יצוין כי המאגרים שהורדו על ידי התוקף לא כללו נתונים של לקוחות, ולא היתה לו גישה לסביבות נוספות של החברה, לרבות סביבת הייצור. טרם התברר כיצד נגנבו פרטי הגישה של עובדי החברה, אך Slack הודיעה שתמשיך בחקירתה, וכי לקוחותיה אינם נדרשים לנקוט בכל פעולה.
SpyNote: עלייה בכמות המכשירים שנדבקו ברוגלה לאחר הדלפת קוד המקור שלה
לאחר כשנתיים שבהן נוזקת ה-Android נמכרה בערוצי טלגרם שונים בגרסתה המקורית, SpyNote, גורמים שניסו להתחזות ליוצריה בפורומי האקינג הביאו לפרסום קוד המקור שלה ב-GitHub על ידי יוצריה המקוריים. דבר זה הביא למגמת העלייה שזיהו חוקרי חברת ThreatFabric בפעילותה של הרוגלה על גרסאותיה השונות (SpyMax ,CypherRat ואחרות), שהופיעו ברשת מיד לאחר מכן, וכוונו נגד לקוחות של בנקים שונים באירופה, בהם HSBC ,Deutsche Bank ועוד. פעולתן של כל גרסאות הרוגלה מסתמכת על בקשת הרשאות שונות מהקורבן ועל האפשרות להתקין במערכות מבוססות Android אפליקציות ממקורות שאינם מוכרים. בין היתר, הרוגלה מסוגלת להשתלט על מצלמת המכשיר הנתקף ולשלוח ממנו תצלומים לשרתי ה-C2 שברשות התוקפים, לגנוב מידע ופרטי גישה מרשתות חברתיות, לגנוב קודי אימות מאפליקציות כמו Google Authenticator, ואף לבצע Keylogging ולגנוב פרטי גישה לחשבונות בנק.
צוות קונפידס ממליץ להתקין אפליקציות אך ורק ממקורות מוכרים, כגון חנות האפליקציות Google Play, וכן להתקין על מכשירים את אפליקציית Play Protect, המאמתת את האפליקציות המותקנות על המכשיר.
הנוזקה Kinsing זוהתה בתוך קלסטרים של Kubernetes בפלטפורמת Linux
לאחרונה זוהה כי תוקפים מצליחים להשיג גישה ראשונית לקלסטרים האמורים על בסיס הגדרות שגויות ב-PostgreSQL או באמצעות חולשות ב-Image מסוים, דבר המאפשר להם להוריד נוזקות למערכות הקורבנות, בהן גם Kinsing, אשר פועלת על פלטפורמת Linux. החולשות (CVE-2020-14882, CVE-2020-14750 ו-CVE-2020-14883) ב-Images קיימות בעיקר בגרסאות שונות של PHPUnit ,Liferay ,WebLogic ו-WordPress, ועלולות לאפשר לתוקף להריץ פקודות מרחוק (RCE) על מערכת הקורבן. אותה פעולה זדונית מתאפשרת בגישה למערכות על בסיס הגדרות שגויות ב-PostgreSQL, שעשויות לנבוע, למשל, מהשמת Trust authentication, המזהה כל כניסה לשרת כ״מאושרת״ ומאפשר גישה למסדי הנתונים הקיימים בו.
צוות קונפידס ממליץ למשתמשים ב-PostgreSQL לבטל את ה-Trust authentication ולהקשיח את המשתמשים המורשים להיכנס למאגרי המידע בשרת. למשתמשים ב-Image מומלץ להתבסס על Registries מוכרים, להקפיד על עדכונם מעת לעת, לבצע סריקות שגרתיות אחר חולשות או נוזקות קיימות ולהקשיח את אפשרות הכניסה לשרת.
חוקרי Phylum מנתחים חבילת PyPi חדשה שמפיצה נוזקת RAT בעלת יכולות מתקדמות לחמיקה מפתרונות אבטחה
בחודש דצמבר סימנה פלטפורמת זיהוי הסיכונים האוטומטית של Phylum חבילה בשם pyrologin כחבילה חשודה, שבמבט ראשון נדמתה כנוזקת Python בסיסית, המריצה קוד זדוני שמקודד ב-Base64. ואולם, החוקרים הבחינו בדבר מה יוצא דופן: החבילה ביצעה משיכה של קובץ ZIP והכילה סטרינגים של קוד PowerShell, שמטרתו להסתיר את הקוד הזדוני המורץ על ידי הנוזקה בעמדה הנתקפת. כמעט שבוע לאחר מכן, המערכת החלה לזהות עוד ועוד חבילות חשודות שהכילו סממנים הזהים לאלה של החבילה הראשונה שסומנה. הדבר הוביל את החוקרים להסיק שמדובר במתקפה מסיבית על מפתחים בשפת Python ועל משתמשי PyPi. במהלך חקירת המתקפה התברר שלא מדובר בנוזקה פשוטה, אלא בנוזקת RAT "על סטרואידים", בעלת יכולות מתקדמות וממשק ניהול ב-GUI של אפליקציית Web, שמטרתה להקל על התוקפים לנהל ולשלוט במכשירי קורבנות המתקינים את הנוזקה. עוד כוללת הנוזקה יכולות של Infostealer הרצות בזמן ה-Boot, כך שגם אם יכולות ה-RAT נכשלות מלרוץ כמצופה - יכולות ה-Infostealer יעבירו אל התוקף את כל שיצליחו למצוא. הנוזקה האמורה מתאפיינת בפונקציות מתקדמות ביותר, והיא פותחה בקפידה ובאופן שמאפשר לתהליך ההדבקה לחמוק ממנועי אנטי-וירוס ופתרונות אבטחה רבים. הדבר מדגים היטב כיצד מתקפות על שרשראות אספקה ממשיכות וימשיכו להשתכלל.
המלחמה במזרח אירופה
קבוצת התקיפה הרוסית Turla נצפתה משתמשת בנוזקה ישנה נגד ארגונים אוקראינים
לדברי חברת Mandiant, ההאקרים השתמשו בנוזקה ANDROMEDA לפריצה ולתנועה ברשת הקורבן, ולהפצתן של שתי נוזקות נוספות: KOPILUWAK ו-QUIETCANARY. הנוזקה ANDROMEDA, שזוהתה כבר ב-2010 ומתפשטת בעיקר דרך כונני USB נגועים, מאפשרת לתוקף להריץ פקודות מרחוק על עמדות שנדבקו בה, בעוד ש-KOPILUWAK מאפשרת קבלת מידע מקיף על רשת הקורבן (נכסים, ארכיטקטורת הרשת ועוד) ו-QUIETCANARY יוצרת דלת אחורית המאפשרת לתוקף להיכנס לרשת הקורבן בכל עת. האירוע שתיעדה Mandiant החל בדצמבר 2021, אז הוכנס כונן USB נגוע לארגון אוקראיני, ועם הפעלתו הורדה אל העמדה הנוזקה ANDROMEDA. כמעט שנה לאחר מכן, בספטמבר 2022, התוקפים הורידו אל העמדה את שתי הנוזקות האחרות, לשם איסוף מידע והרצת פקודות זדוניות. בתמונה להלן מומחש תהליך ההדבקה.
צוות קונפידס ממליץ לארגונים לחסום את האפשרות להכניס כונני USB למחשביהם, להטמיע מערכות EDR חכמות לזיהוי התנהגויות חשודות ברשת ולהזין במערכות ההגנה את מזהי התקיפה (IOCs) המופיעים במחקר של Mandiant.
(מקור: Mandiant, 5.1.23)
סייבר בעולם
בדוח חדש של Group-IB, מתוארות לפחות שבע מתקפות סייבר מוצלחות שבוצעו נגד רשויות ממשלתיות וצבאיות בקמבודיה, באינדונזיה, במלזיה, בפיליפינים, בווייטנאם, ובבוסניה והרצגובינה, בגל שהחל בדצמבר ונמשך עד היום. הקמפיין מתאפיין בהערמה על קורבנות על מנת שיורידו למכשיריהם נוזקה הפועלת לאיסוף מודיעין וגונבת מסמכים, צילומי מסך, קובצי שמע והתכתבויות. זאת ועוד, בחיבור התקן USB למכשיר פגוע ״נדבק״ גם ההתקן, שמעביר את הנוזקה בצורה מהירה יותר לקורבנות נוספים. בשעה זו לא ידועה זהות התוקפים העומדים מאחורי הקמפיין ולא ידוע מיקומם הגיאוגרפי.
איראן מדווחת כי בלמה מתקפת סייבר על הבנק המרכזי במדינה
על פי דיווחים בטהרן נפרצו גם הרשתות החברתיות Bale ו-Rubika, כל זאת לאחר שבאוקטובר האחרון קבוצות תקיפה איימו שיפגעו בישויות איראניות ובגורמים רשמיים במדינה, כתמיכה בהפגנות האנטי-ממשלתיות המתחוללות בה. לדברי אמיר מוחמדזדי לאג׳וארדי, העומד בראש חברת תשתיות התקשורת של איראן, ב-5 בינואר חווה הבנק המרכזי מתקפת מניעת שירות (DDoS), שנבלמה על ידי צוותי אבטחת הסייבר האיראניים. בשעה זו הרשויות באיראן טרם מסרו מידע העשוי לשפוך אור על קבוצת התקיפה העומדת מאחורי האירוע. בספטמבר האחרון, אתרים ממשלתיים - לרבות אתר הבנק המרכזי - נפרצו על ידי האקרים, אשר טענו כי הם חלק מקבוצת ה״האקטיביסטים״ Anonymous.
מספר לקוחות של חברת התעופה KLM קיבלו הודעה לפיה מערכות החברה נפרצו ומידע אישי שלהם דלף
לקוח של שירות ה-Flying Blue של חברת התעופה ההולנדית צייץ בטוויטר כי קיבל מ-KLM הודעה בדבר אירוע הסייבר שחוותה ודלף המידע האפשרי, בציינה כי צוות הגנת הסייבר שלה זיהה התנהגות חשודה במשתמש שלו, שבוצעה על ידי גורם שאינו מאושר. עוד נמסר כי הצוות נקט באמצעים למניעת חשיפתו של מידע נוסף. ככל הנראה, האירוע הביא לדליפת פרטיו הבאים של הלקוח: שם מלא, מספר חשבון, ותק, מרחק טיסה מצטבר, מספר טלפון סלולרי, מייל ועסקאות אחרונות שביצע. לדברי החברה, לא נחשף מידע אודות אמצעי תשלום וכרטיסי אשראי. עוד נאמר כי חסמה את הגישה לחשבון הלקוח ודרשה ממנו להחליף את סיסמת ההתחברות לחשבונו. בתוך כך, לקוחות נוספים של KLM הגיבו לאותו ציוץ בטוויטר בדווחם כי קיבלו מהחברה הודעה זהה, חלקם אף ציינו כי המערכת אינה מאפשרת לבחור סיסמה בת יותר מ-12 תווים, דבר המטיל ספק במנגנוני האבטחה של KLM. יצוין כי שירות ה-Flying Blue שייך גם לחברות תעופה נוספות, בהן גם Air France. בשעה זו לא התקבלה תגובה רשמית מצד KLM או חברה רלוונטית אחרת.
מיקרוסופט הפסיקה לפרסם עדכוני אבטחה ל-Windows 7 ו-Windows 8החל מה-10 בינואר, וכחלק מתוכנית עדכוני האבטחה המורחבת של החברה (ESU), נפסקו עדכוני המערכת עבור מערכות ההפעלה האמורות. בתוך כך, מיקרוסופט ממליצה למשתמשיהן לשדרג את מחשביהם למערכות ההפעלה Windows 10 או Windows 11, בהתאם לתאימות חומרת המחשב שברשותם.
צוות קונפידס ממליץ להשתמש רק בגרסאות נתמכות של מערכת ההפעלה, על מנת להימנע ממצב בו מערכות יכילו חולשות שלא יקבלו מענה.
ה-CISA מוסיפה שתי חולשות במוצרי מיקרוסופט ל״קטלוג החולשות המנוצלות הידועות״
הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) הוסיפה לקטלוג שהיא מתחזקת חולשה (CVE-2022-41082) מסוג העלאת הרשאות בשרתי Microsoft Exchange, העלולה לאפשר לתוקף להריץ קוד מרחוק, וחולשה (CVE-2023-21674) ב-(Microsoft Windows Advanced Local Procedure Call (ALPC, העלולה לאפשר לתוקף להעלות הרשאות במערכת. החולשות נוספו לקטלוג על סמך מידע מבוסס ועדויות לניצולן על ידי קבוצות תקיפה. על אף שרק סוכנויות פדרליות מחויבות לטפל בחולשות המופיעות ברשימה, ה-CISA ממליצה לכל ארגון לפעול לטיפול בהן, על מנת לצמצם את חשיפת לתקיפות סייבר.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכם לגרסאותיהם האחרונות שפורסמו על ידי מיקרוסופט.
סייבר בגופי בריאות
על פי מחקר של פורום הבריאות של Jama, ארגונים במגזר הבריאות ניצבים בפני איום הולך וגובר של מתקפות כופרה, שנועדו לשבש את מתן הטיפול הרפואי באופן שעלול לעלות בחיי אדם, והסתמכותם ההולכת וגוברת של ארגוני בריאות על אמצעים טכנולוגיים חושפת אותם לעוד ועוד סיכוני סייבר. המחקר, במסגרתו התבצע מעקב אחר 374 מתקפות כופרה על שירותי בריאות בארצות הברית, חשף כי בין השנים 2016 ל-2021 עלה מספר המתקפות ביותר מפי שניים, ומידע של עשרות מיליוני מטופלים הודלף לגורמים שאינם מורשים. זאת ועוד, רק כ-20% מארגוני הבריאות שנתקפו הצליחו לשחזר את נתוניהם מגיבויים. המחקר העלה גם שכמעט מחצית ממתקפות הכופרה שיבשבו את אספקת שירותי הבריאות במוסדות המותקפים וגרמו לביטולי תורים ולהסטת אמבולנסים למרכזים רפואיים חלופיים. עוד נצפתה מגמת עלייה במספר מתקפות הכופרה על ארגונים גדולים, וניכר כי המתקפות הופכות מתוחכמות יותר ויותר. מרבית המתקפות שתועדו פגעו במרפאות, ואחריהן ברשימת הקורבנות מצויים בתי חולים, מרכזים כירורגיים ואמבולטוריים, מרפאות לבריאות הנפש, ומרפאות לטיפולי שיניים ולטיפולים דחופים.
על פי נתוני מכון CyberPeace, מתקפות סייבר על בתי חולים מביאות למניעת טיפול רפואי במשך 19 ימים בממוצע. עוד תיעד המכון 272 מתקפות סייבר נגד מגזר הבריאות בארצות הברית החל מאמצע 2020, ממוצע של 2.3 מתקפות בשבוע, כאשר מיוני 2020 ועד ספטמבר 2020 בלבד נתקפו 37 בתי חולים, 22 מרפאות, 21 מתקנים לבריאות הנפש, 2 שירותי אמבולנסים, 8 מעבדות ומרכזי אבחון, 14 יצרני תרופות ועוד. בתוך כך, הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) אמרה כי ב-2023 תתעדף הגנה על גופים שאין להם די משאבים להגנה עצמית במרחב הסייבר, בהם בתי חולים ובתי ספר. במקביל, ה-CISA חתמה על מזכר לשיתוף פעולה עם אוקראינה נגד התקפות רוסיות על תשתיותיהם הקריטיות של האוקראינים, הנמשכות מזה כמעט עשור. לדברי מנהלת ה-CISA ג׳ן איסטרלי, ניתן ללמוד מהאוקראינים רבות בנושא ההגנה על תשתיות.
טקסס: תביעה ייצוגית נגד המרכז הרפואי OakBend בעקבות דלף מידע שהתרחש במהלך מתקפת כופרה
ב-1 בספטמבר המרכז הרפואי, הפועל באזור יוסטון ומציע שירותי אשפוז, רפואה דחופה ועוד, נפל קורבן למתקפת כופר ודלף נתונים. בתביעה הייצוגית, שהוגשה על ידי תושבי ארצות הברית שמידע אישי שלהם דלף במסגרת האירוע, נטען כי חלו במוסד "נוהלי אבטחה שאינם הולמים", אשר אפשרו את המתקפה. לדברי התביעה, התוקפים השיגו גישה למידע מרשת המוסד, פעלו להצפנתו, ודרשו כופר בתמורה לשחרורו. לדברי התובעים, למרות שעל המרכז הרפואי חלות חובות המעוגנות בחוזים, בתקנים ובחוקים בנושאי שמירת פרטיות המידע והגנה מפני גישה לא מורשית למידע אישי של מטופלים, בפועל לא היה פיקוח ראוי על מערכות המרכז, ועל אף שהסיכון להתרחשות דלף מידע היה ידוע, לא ננקטו הצעדים הנדרשים לאבטחת המידע האישי. אחת מטענות התביעה היא שהמוסד הפגין אי-ציות להנחיות נציבות הסחר הפדרלית (FTC) בנוגע לאבטחת סייבר בארגונים, לתקני אבטחה בתעשייה ולרגולציה הלאומית בתחום הבריאות (HIPPA). על פי דיווח בתקשורת, מאחורי המתקפה עמדה קבוצת התקיפה Daixin, המתמקדת בארגונים במגזר הבריאות, ואשר מפניה הזהירו לאחרונה לשכת החקירות הפדרלית (FBI), הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) ומחלקת הבריאות ושירותי האנוש של ארצות הברית (HHS) (ראו ״הסייבר״, 24.11.22). לדברי Daixin, במהלך האירוע נגנבו יותר ממיליון רשומות של חולים, הכוללות שמות, תאריכי לידה, מספרי זהות ותוכניות טיפול, חלקן כבר פורסמו לציבור.
מיזורי: בית החולים Fitzgibbon מודיע שמידע רפואי דלף במתקפת כופרה שאירעה ביוני
לדברי בית החולים, מיד עם זיהויה של גישה בלתי מורשית לרשת שלו ב-6 ביוני, הוא פתח בהליך חקירה יסודי, תוך התייעצות עם מומחי אבטחת סייבר. לדברי המוסד הרפואי, ב-1 בדצמבר התגלה כי ישנה אפשרות שהושגה גישה לא מורשית גם למידע אישי של מטופלים, לרבות שמות מלאים, מספרי זהות ורישיונות נהיגה, מספרי חשבונות בנק, מידע אודות ביטוחים רפואיים ומידע רפואי אישי. בתוך כך, בית החולים ציין כי לא מדובר במידע אודות כל מטופליו, וכי לא ידוע לו על שימוש לא נאות שנעשה במידע שהודלף. הודאה מאוחרת זו מגיעה לאחר שכבר בחודש יוני דווח בתקשורת על מתקפת סייבר שחווה הארגון, לאחר שדובר מטעם קבוצת התקיפה Daixin פנה ישירות אל בית החולים ולקח אחריות על המתקפה, בטוענו כי הקבוצה פגעה במערכות הארגון ושמה את ידע על מידע בנפח של 40GB. עוד דווח בזמנו כי חלק מהמידע פורסם בפורום של הקבוצה ברשת האפלה.
רומניה: מתקפת כופרה על בית החולים Sfântul Gheorghe
במסגרת המתקפה שחווה בית החולים Sfântul Gheorghe שבעיר בוטושאן, התוקפים דורשים 3 מטבעות ביטקוין (כ-50,000 יורו) עבור מסירת מפתחות ההצפנה לשחרור שרתי המוסד ולשחזור נתוני חודש דצמבר, שהוצפנו. הצפנת הנתונים מונעת מבית החולים לדווח על השירותים שניתנו במהלך החודש הקודם ולקבל עבורם תשלום. המתקפה, שהתבססה על כופרת PHOBOS, התאפיינה בהצפנת קבצים ובהתחברות התוקפים למערכות בית החולים באמצעות RDP, כאשר בשעה זו מסתמן כי חדירת התוקפים למערכות ה-IT של בית החולים התבצעה על ידי חיבור מרחוק לאחת משתי חברות התחזוקה המספקות לו שירות. מנהל בית החולים קטלין דסקלסקו מסר כי פעילות המוסד נמשכת כעת בעצימות נמוכה, תוך תקווה שתשוב לסידרה בקרוב, וכי האירוע נמצא בחקירה. על מנת למנוע מתקפות דומות, מומחי מרכז ה-CYBERINT הלאומי של רומניה וה-CERT-RO, צוות החירום הרומני לטיפול באירועי מחשב, ממליצים לארגונים על יישום מדיניות ואמצעי אבטחה כגון שימוש באנטי-וירוס עדכני, השבתת שירותי RDP בכל התחנות והשרתים ברשת, עדכון כל מערכות ההפעלה והיישומים בהם נעשה שימוש, שינוי תכוף של סיסמאות המשתמשים, הכנת עותקי גיבוי של נתונים קריטיים ועוד. התקפה זו דומה למתקפה שאירעה בקיץ 2019 על ארבעה בתי חולים אחרים ברומניה, בהם בית החולים העירוני שבדורוחוי. במערכותיהם של כל ארבעת הארגונים לא היתה מותקנת תוכנת אנטי-וירוס.
שירותי ה-MFHS מסופקים ל-17 מחוזות במדינת פנסילבניה. לדברי הארגון, ב-4 באפריל התגלה כי הוא נתון במתקפת כופרה, ש״ייתכן והובילה לחשיפת מידע רגיש לאדם לא מורשה, בשוגג״. בעקבות כך, הארגון פנה למומחים חיצוניים ולמשפטנים על מנת לבחון את היקף הפעילות האמורה ולזהות אילו נתונים נפגעו. עוד נמסר כי הגישה הבלתי מורשית התרחשה בין אוגוסט 2021 לאפריל 2022, וכי בשעה זו נראה שהמידע שנחשף כולל שמות, כתובות, תאריכי לידה, מספרי ביטוח לאומי, מספרי רישיונות נהיגה, פרטי חשבונות בנק ופרטי כרטיסי אשראי, וכן מידע רפואי ומידע אודות ביטוחי בריאות של מטופלים. לדברי ה-MFHS, הארגון מבין את הקושי שנגרם למטופלים עקב האירוע, אך יחד עם זאת לא ידוע לו על ביצוע הונאה על בסיס המידע שנחשף או על שימוש לרעה בו.
אוסטרליה: גל מתקפות מסוג Gootkit פקד את מגזר הבריאות
Gootkit (או Gootloader) משתמשת בטקטיקה של שיבוש SEO, המשבשת פעולות אופטימיזציה של מנועי חיפוש לצורך גישה ראשונית למערכות הקורבנות, כל זאת על ידי ניצול לרעה של תשתיות לגיטימיות ופיזור מילות מפתח נפוצות במנועי חיפוש ובאתרים שונים. לאחר התקנתה, הנוזקה מסוגלת לגנוב נתונים מהדפדפן, לבצע מתקפות מסוג (Adversary in the Browser (AitB, לצלם צילומי מסך ועוד. כעת, מדוח חדש של חברת Trend Micro עולה שמילות המפתח "בית חולים", "בריאות", "רפואה" ו"הסכם ארגוני" הוצמדו במנועי חיפוש לשמות ערים שונות באוסטרליה, מה שמסמן את התרחבות הנוזקה, שעד כה התמקדה במשרדי רואי חשבון ועורכי דין. תחילת המתקפה בהפניית משתמשים המחפשים את מילות המפתח האמורות לבלוג WordPress נגוע, שם הם מפותים להוריד קובצי ZIP עם נוזקות, כאשר לדברי החוקרים באתר מוצג למשתמשים מסך שנראה כמו פורום לגיטימי. יתרה מכך, קוד ה-JavaScript המשמש לביצוע התחבולה מוזרק לקובץ JavaScript חוקי בקטעים אקראיים באתר הפרוץ. לדברי Trend Micro, הקמפיין האמור פעיל והופך אגרסיבי יותר כלפי מגזרים ואזורים גיאוגרפיים ספציפיים.
סייבר בספנות ולוגיסטיקה
נורבגיה: חברת DNV הפועלת במגזר התעשייה הימית חווה מתקפת סייבר על תוכנה שבבעלותה
החברה, המספקת גם בדיקות, הסמכות וייעוץ טכני בתחום הימי, מתמודדת עם מתקפה על תוכנת ניהול האוניות שלה ShipManager. על מנת להכיל את התקרית הושבתו השרתים הקשורים לתוכנה, ומהחברה נמסר שניתן להשתמש בגרסתה הלא-מקוונת. עוד אמרה DNV כי היא עובדת בשיתוף פעולה עם חברת אבטחת IT גלובלית לחקירת האירוע ולקביעת תוכנית התאוששות טכנית, במטרה להשיב במהרה את פעילותה המקוונת של התוכנה. החברה נמצאת בתקשורת גם עם משטרת נורבגיה. בתוך כך, DNV פתחה קו תמיכה הפועל 24/7 למתן מענה ללקוחות שהתקרית משפיעה על עבודתם.
בריטניה: השילוח הבינלאומי בשירות הדואר המלכותי (Royal Post) מושבת עקב מתקפת סייבר
על פי מגזין אבטחת המידע BleepingComputer, ה-Royal Mail הפסיק לספק שירותי שילוח בינלאומיים עקב מתקפת סייבר שזוהתה במערכותיו ב-10 בינואר. שירותי המשלוחים והאיסוף ברחבי בריטניה לא הושפעו מהאירוע, והחברה ממליצה ללקוחותיה לעצור באופן זמני את המשלוחים הבינלאומיים ואת הייצוא, כיוון שאין באפשרותה להעבירם אל יעדים מעבר לים. עוד נמסר כי עשויים לחול עיכובים במשלוחים שכבר יצאו לדרכם. למרות שהארגון לא חשף כי נפל קורבן למתקפת סייבר, הוא פרסם כי שכר מומחים חיצוניים לביצוע חקירה של האירועים, וכי הדבר דווח לרשויות, לרגולטורים הרלוונטיים ולסוכנויות הביטחון הבריטיות. עוד נמסר על ידי החברה כי "הצוותים שלנו עובדים מסביב לשעון כדי לפתור את הבעיה, ואנו נעדכן ברגע שיהיה בידינו מידע נוסף". לדברי BleepingComputer, לקוחות נתקלים בבעיות תשלום באתר החברה ומתקשים להדפיס תוויות לסימון מעטפות וחבילות. דובר המרכז הלאומי הבריטי להגנת סייבר (NCSC) ציין כי התקרית ידועה למרכז, אשר עובד בשיתוף פעולה עם ה-Royal Mail על מנת להבין את מלוא השפעת האירוע.
סייבר ופרטיות - רגולציה ותקינה
הרשות להגנת הפרטיות מטילה קנס בסך 95,000 ש"ח על עובד מדינה שפרסם בפייסבוק מידע אישי על בסיס גישתו למאגר מידע ממשלתי
ב-12 בינואר פרסמה הרשות את ההודעה בדבר הקנס, במסגרת מקרה שנמצא בבדיקתה מפברואר 2021, אז קיבלה הרשות תלונות על מידע אישי שהופיע בקבוצת הפייסבוק "קלוז'ר - חיפוש מכרים מהעבר שלך", המונה כ-86,000 חברים ומטרתה "לעזור לך למצוא קשר משמעותי שאבד לך מהעבר". התלונות שהגיעו לרשות התייחסו לשיתוף מידע אישי מסוג שבדרך כלל אינו נגיש בקבוצת הפייסבוק האמורה. בהמשך לתלונות פתחה הרשות בחקירה מינהלית לבירור העובדות, ובמהלכה התעורר חשד בנוגע לפעולות שביצע עובד במטה החקירות והמודיעין ברשות המסים. החקירה הובילה למסקנה שהעובד עשה "שימוש בלתי חוקי בהרשאות הגישה למאגרי מידע שניתנו לו במסגרת תפקידו הציבורי, לצורך העברת מידע אישי רגיש ליתר חברי הקבוצה", ובעקבות כך הוטל הקנס, מחמת 19 מקרים שונים של הפרת סעיף 8(ב) של חוק הגנת הפרטיות, התשמ"א-1981, האוסר על שימוש במידע הכלול במאגר רשום למטרה שלא לשמה הוקם המאגר. ראש הרשות להגנת הפרטיות עו"ד גלעד סממה הגיב לפרשה באמרו כי "שליפות המידע הללו אודות אזרחים נעשות תוך פגיעה קשה בפרטיות. בעיצומה של בירור הפרשה, הרשות להגנת הפרטיות הוציאה הודעה בתפוצה רחבה לכלל עובדי שירות המדינה, המתריעה כי מעשים מסוג זה מהווים הפרת חוק שעלולה להביא להעמדתם לדין פלילי, דין משמעתי או, כמו במקרה זה, הטלת קנסות כבדים".
ארה״ב: בית המשפט העליון אישר ל-WhatsApp לפתוח בהליכים משפטיים נגד NSO הישראלית
החלטת בית המשפט מה-9 בינואר מתירה ל-WhatsApp לתבוע את NSO על ניצול חולשה באפליקציית המסרים המיידיים להתקנת הרוגלה Pegasus על מכשירים ניידים, דבר שאיפשר מעקב אחר כ-1,400 איש ברחבי העולם. לטענת Meta, חברת האם של WhatsApp, ״הרוגלה של NSO איפשרה מתקפות סייבר נגד פעילי זכויות אדם, עיתונאים ועובדי ממשל; אנו מאמינים שפעילותה מפרה את חוקי ארצות הברית ושעליה לתת את הדין על פעולותיה הלא-חוקיות״.
אושרה הגשתה של תובעה ייצוגית נגד LastPass עקב פריצה שחשפה מידע אישי של עד 25 מיליון משתמשי "כספת הסיסמאות"
התובענה הוגשה ב-3 בינואר בבית משפט מחוזי במדינת מסאצ'וסטס, בעקבות הפריצה למערכות החברה באוגוסט 2022 (ראו ״הסייבר״, 1.9.22). LastPass, המובילה בתחום השמירה המאובטחת של סיסמאות ומונה יותר מ-30 מיליון מנויים, הודיעה ללקוחותיה בסוף 2022 אודות הפריצה שחוותה (ראו "הסייבר", 1.12.22), אך טענה בשעתו כי הפורצים הצליחו לקבל גישה רק ל"פריטי מידע מסוימים" של לקוחות. ואולם, בהמשך התברר כי מדובר בהיקף רחב בהרבה של מידע אישי וסיסמאות שנחשפו או שעלולים היו להיחשף. בתובענה הייצוגית שהוגשה, John Doe v. LastPass, מצוין כי "מדובר בתביעה ייצוגית לפיצויים נגד [LastPass] בגין אי-מימושה של זהירות סבירה באבטחת נתונים רגישים במיוחד של מיליוני משתמשי LastPass פוטנציאליים". בהמשך מפורטים סוגי המידע שלטענת התובעים נחשפו, לרבות פרטי קשר (שמות, כתובות לחיוב חשבונות, כתובות מייל, מספרי טלפון) ונתונים שלקוחות שמרו ב"כספות" האלקטרוניות הפרטיות שהציעה להם LastPass. טרם נקבע מועד לדיון בתובענה הייצוגית.
ישראל משתתפת בדיונים על האמנה המתגבשת למניעת פשע מקוון: מחלוקות בנושא ההגנה על זכויות אדם
השבוע, ובין ה-9 ל-20 בינואר, נמשכים הדיונים בהשתתפותה של ישראל על האמנה שמתגבשת בחסות האו"ם, במסגרת המושב הרביעי של ועדת האד הוק של משרד האו״ם למאבק בסמים ובפשיעה (UNODC) (ראו ״הסייבר״, 17.3.22, ״הסייבר״, 11.8.22 ו״הסייבר״, 1.9.22). בהודעה שפרסמה בנושא מחלקת המדינה של ארצות הברית, נמסר כי המושב הנוכחי צפוי לקדם את הפרקים באמנה שיעסקו בתחום הפשעים שיטופלו במסגרתה, באמצעים פרוצדורליים לשיתוף פעולה בין-מדינתי, באכיפה ובהוראות כלליות, על בסיס טיוטת האמנה הקיימת. בדיונים עולות מחלוקות בין המדינות וארגוני ה-NGO המשתתפים בהם, סביב סוגיות מרכזיות, כגון ההגנות שיוענקו לזכויות אדם במסגרת האמנה, לרבות פרטיות המידע האישי. לטענת הגורמים המבקרים את טיוטת האמנה על בסיס זה, נוסח האמנה הנוכחי עלול להפליל יחידים בעבירות שאינן מוגדרות ברמה מספקת, ושאינן כפופות להגנות הנדרשות על זכויות הפרט בדין הבינלאומי (כגון ההכרזה האוניברסלית בדבר זכויות האדם משנת 1948). ההגנות האמורות הן חלק מהאיזונים המקובלים בין צרכי האכיפה המדינתיים לבין זכויות היחיד לפרטיות, לעיסוק, להתאגדות ולחופש ביטוי, בין היתר. דוגמה מובהקת לכך היא ההפללה של "פעילות לגיטימית של עיתונאים, חושפי שחיתויות, חוקרי סייבר ואחרים". ניתן לעקוב אחרי התפתחויות בדיונים כאן.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, אלינה מיטלמן-כהן, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי, תמר מרדיקס, שירי מס ברזילי וגיא פינקלשטיין.