דרוש מידע אשכול התורים הנחוץ והמבוקש למשרד הפנים - רשות האוכלוסין וההגירה>>>

א.ש! · 9/6/22

נכתב ע"י mg3:
במעלה אדומים זה רק לתושבי מעלה אדומים, לא?

היה בעבר,
היום זה רק במודיעין- מכבים רעות
בכל אופן לפי האתר של משרד הפנים...

א.ש! · 9/6/22

נכתב ע"י HP מעצבת:
הבוט הזה לא עובד במחשב שלי.
יש פתרון?

אותו קוד שגיאה כמו שכתבו פה אחרים?
(שגיאת שרת 500)

HP מעצבת · 9/6/22

נכתב ע"י א.ש!:
אותו קוד שגיאה כמו שכתבו פה אחרים?
(שגיאת שרת 500)

לפעמים ככה, לפעמים משהו אחר.

המוכשר !!! · 9/6/22

נכתב ע"י HP מעצבת:
לפעמים ככה, לפעמים משהו אחר.

כנראה האתר הזה לא עובד אצל כולם

HP מעצבת · 9/6/22

נכתב ע"י המוכשר !!!:
כנראה האתר הזה לא עובד אצל כולם

יש בוט אחר?

המוכשר !!! · 9/6/22

נכתב ע"י HP מעצבת:
יש בוט אחר?

אני לא מכיר
אבל שמעתי שיש בוטים בוואצסאפ, אין לי מושג עליהם

HP מעצבת · 9/6/22

נכתב ע"י המוכשר !!!:
אני לא מכיר
אבל שמעתי שיש בוטים בוואצסאפ, אין לי מושג עליהם

תודה.
איפה שמעת?

המוכשר !!! · 9/6/22

נכתב ע"י HP מעצבת:
תודה.
איפה שמעת?

איפה ששומעים בדרך כלל....

שמעון גוטליב · 9/6/22

אם אני צריך תור למשרד הפנים ממתי כבר אפשר להזמין בוא נגיד לעוד שנתיים אפשר גם

א.ש! · 9/6/22

כל הבוטים והיו המון נחסמו
רק הבוט הזה שמבוסס על תוסף עובד
תקראו פה

הבוט לחידוש דרכון חוזר עם טוויסט חדש: ''אין להם דרך לחסום אותנו'' | גיקטיים

אחרי שחברת CallFlow חסמה את הבוטים לחידוש דרכון ישראלי, חוקר אבטחה החליט שלא לוותר, ומצא דרך לעקוף את מנגנון הקאפצ'ה

www.geektime.co.il

א.ש! · 9/6/22

נכתב ע"י שמעון גוטליב:
אם אני צריך תור למשרד הפנים ממתי כבר אפשר להזמין בוא נגיד לעוד שנתיים אפשר גם

עכשיו יש רק עד דצמבר 2022

א.ר.ז. · 10/6/22

נכתב ע"י א.ש!:
הבוט הזה שמבוסס על תוסף

אולי שייך לקבל את קובץ ההתקנה של התוסף לבד?
מה שם קובץ ההתקנה? מה שם התוסף?

שלום יצחקי · 10/6/22

יש לי תור במעלה אדומים בראשון הקרוב ב12 בבוקר A88091746אין לכתוב כתובת מייל

א.ש! · 10/6/22

נכתב ע"י א.ר.ז.:
אולי שייך לקבל את קובץ ההתקנה של התוסף לבד?
מה שם קובץ ההתקנה? מה שם התוסף?

https://codeload.github.com/SharonBrizinov/PickTime/zip/refs/heads/master

אבל זה לא עובד רק עם התוסף (זה עובד גם בלי...)

לחסומים
לא טסלה, לא אייפון 13 ולא פלייסטיישן 5… נדמה שהמוצר הנחשק ביותר לשנת 2022 הוא תור לחידוש דרכון ישראלי. כזכור, אחרי הקריסה והמחסור בתורים בלשכות רישום האוכלוסין, הרימו כמה מתכנתים בוטים שאיפשרו לאלפים לקבוע תורים, רק כדי להיחסם על ידי החברה שאחראית על השירות.

אבל עכשיו אנחנו מדווחים על שיתוף פעולה מעניין ודי מקורי בין חוקר אבטחה ליוצר הבוט המקורי, שיתוף פעולה שאולי יאפשר למשתמשים לתפוס תור ואולי להספיק לטוס בחודשים הקרובים.

תקציר האירועים הקודמים

לפני חודש דיווחנו לכם על ניסו מזוז והבוט שפיתח שהחל כערוץ טלגרם פשוט, שמדווח על תורים שנפתחו או התפנו, והפך למערכת זימון התורים שמשרד הפנים ו-MyVisit היו צריכים כנראה לפתח מלכתחילה. בין השאר כללה המערכת שפותחה בהתנדבות את היכולת לראות את כל התורים הזמינים בכל אחד מ-52 הלשכות הפתוחות ברחבי הארץ, כך שהמשתמשים לא היו צריכים לעבור לשכה לשכה ולרענן את העמוד כל היום בתקווה לתפוס את התור הנכסף.

אבל יחד עם מזוז הגיעו עוד מפתחים שניסו לפתח פתרונות כאלו ואחרים, ובהם גם בוטים שתופסים תורים ולאחר מכן מוכרים אותם. CallFlow, החברה שעומדת מאחורי שירות MyVisit, שעליו מתבססת מערכת התורים של לשכת רישום האוכלוסין, החליטה לסיים את החגיגה, וחסמה את האפשרות ל-Session אנונימי, הוסיפה מנגנון Captcha, ובפועל חסמה את הגישה של כל הבוטים.

סוף החגיגה? לא כל-כך מהר. לא כשמתעסקים עם הייטקיסטים.

צרת רבים – מתכון לתוסף

שרון בריזינוב, חוקר אבטחה ב-Claroty, בנה גם הוא בוט לשימוש אישי כדי לסייע לאחותו לקבוע תור לחידוש דרכון, ולאחר שכל הבוטים נחסמו לפני כשבועיים, הוא החליט שהוא לא מוותר עליהם, והחליט לפנות למזוז כדי לחשוב על שיתוף פעולה, שיוביל להשבת הבוט הפופולרי שלו לחיים. "הבנתי שיש כאן אתגר טכנולוגי מעניין ואני אוהב את זה. חשבתי על פתרון, שאי אפשר לסגור אותו", מספר בריזינוב לגיקטיים. אפשרות אחת שעלתה היא להשתמש בשירותים אנושיים שפותרים קאפצ'ות עבור שירותים שכאלו, אבל זה היה נראה להם כפתרון לא נכון.

במקום זאת, בריזינוב ומזוז חשבו על הדרך לנצח את הקאפצ'ה: כשאתם נכנסים ל-MyVisit ופותרים את הקאפצ'ה, אתם מקבלים טוקן ייחודי שפעיל במשך 10 דקות. זה בעצם תחליף לקובצי קוקיז שמאפשר לכם להמשיך לגלוש באתר ולחפש תורים פנויים. ברגע שעוברות 10 דקות, אתם צריכים שוב לפתור קאפצ'ה וחוזר חלילה. אז השניים יצרו תוסף שבעצם לוקח את הטוקן הזה, ומעביר אותו לבוט, כך שהבוט מקבל 10 דקות חופשיות לרוץ ולחפש עוד תורים קיימים לטובת הכלל. ברגע שהבוט מוצא תור, הוא מדווח לערוץ הטלגרם שכבר נושק ל-18 אלף נרשמים.

רוצה לקבל למייל את כל העדכונים החשובים בעולם הטכנולוגיה וההייטק?

אני מאשר/ת קבלת חומר פרסומי מגיקטיים וידוע לי כי באפשרותי לבקש הסרה מרשימת התפוצה בכל עת

כך, מי שהתקין את התוסף ונכנס לאתר משרד הפנים מסייע להפעלת הבוט, שגם יכול לעזור לו בהמשך. לטענת השניים, יותר מ-300 משתמשים הורידו את התוסף, וכששאלתי אותם האם זה מספיק, הם משיבים כי מלבד בשעות הלילה המאוחרות, הבוט עובד בצורה רציפה הודות למשתמשים. "האמת היא שהייתי סקפטי לגבי הרצון לשתף פעולה ולהוריד את התוסף, אבל זה נותן ערך לאנשים ויש להם תמריץ".

בריזינוב הוא כאמור חוקר אבטחה, ולכן רק מתבקש שנבדוק את נושא האבטחה, כיוון שמדובר בהעברה של טוקן והתקנה של תוסף. לטענתו, המשתמשים יכולים להיכנס למערכת בצורה אנונימית (אחרי מילוי Captcha כמובן), מה שאומר שהטוקן שלהם לא מקושר אליהם בשום אופן. באפשרות השנייה, המשתמש מזין את מספר הטלפון שלו ואז עובר את תהליך הקאפצ'ה, כך שבמקרה הזה, הטוקן אכן מקושר למספר הטלפון של המשתמש, אך לטענת בריזינוב התיעוד הזה נשמר רק אצל CallFlow, כמו במצב רגיל, ולא מגיע לתוסף והמערכת של מזוז, כך שבכל מקרה מידע פרטי של המשתמשים לא עובר ביחד עם הטוקן.

בהמשך: הבוט יקבע עבורכם את התור

כך זה נראה
נכון לעכשיו, הבוט, בשילוב התוסף, רק יודע לזהות תורים פנויים ולשלוח לגביהם הודעה בערוץ העמוס, אבל מזוז מספר לגיקטיים שהוא כבר חושב על השלב הבא: "אני רוצה להתחיל במהלך השבוע בפעילות של קביעת תורים. זה קצת שונה ממה שעשינו עד היום. זה יעשה בצורה קצת שונה והוגנת". לדברי מזוז, הוא יצר סקריפט שהוא מעין מנגנון תיעדוף, כך שאדם שטס בעוד חודש, ואין שום סיכוי שיקבל את הדרכון שלו בזמן לא יתפוס תור של אדם שמנסה לטוס בספטמבר, ויכול להספיק לחדש את הדרכון שלו. "בבוטים אחרים הכניסו את כולם לתור ארוך וקבעו להם תורים ללא שום מנגנון תיעדוף. הכל היה רנדומלי. נקווה שזה יעשה קצת יותר שכל". במערכת החדשה שלו, מזוז טוען כי הוא יבקש מהמשתמשים להזין תעודת זהות וטלפון נייד לצורך ההרשמה, אך לטענתו הם יישמרו בצורה מוצפנת.

ולשאלת מיליון הדולר: האם מדובר בפיתרון זמני ש-CallFlow תוכל לחסום שוב? לשאלה זו משיב בריזינוב כי "אין להם דרך לחסום אותנו. אנחנו משתמשים בכוח הקהילה כדי לעשות את זה". בשביל לחסום את הבוט החדש, CallFlow תצטרך ככל הנראה לשנות את כל מערך האבטחה שעליו היא מתבססת, וכמו שראינו עד כה, CallFlow לא מוסיפה פיצ'רים חדשים במהירות.

פנינו גם לחברת CallFlow לתגובתם, וזו לשונה: "אעדכן אותך שרשות הסייבר הלאומית הנחתה אותנו לא לאפשר בוטים. בנוסף, הסיבות להסרת הבוטים ידועות ומובנות: פעילות ספסרות, מאגר נתונים לא חוקי, תפיסת תורים ועומס מלאכותי. בנוסף, בהתאם להנחיות משרד הפנים, חלו שיפורים בממשק המשתמש ובקרוב יעלו שיפורים נוספים. בכל מקרה, על פי ידיעתנו, רשות האוכלוסין פועלת להגדלת ההיצע כך שהבעיה בכללותה תצטמצם. לידיעתך, מיי ויזיט פועלת במאות ארגונים בישראל ובעולם כפלטפורמה לזימון תורים לשביעות רצון הארגונים והלקוחות".

התוסף של בריזינוב ומזוז זמין ב-GitHub, והמערכת של מזוז זמינה כאן
מתוך