דו״ח סייבר שבועי
עדכון שבועי 03.08.2023
עיקרי הדברים
1. ישראל: אתר קבוצת BAZAN נחסם לגישה במהלך סוף השבוע; בשבוע הבא יכנסו לתוקף תקנות הגנת הפרטיות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי.
2. ביקורת על חובות הדיווח החדשות של ה-SEC: העלויות גבוהות מדי, הרגולטור חרג מסמכותו, והחשיפות הנדרשות יסייעו להאקרים.
3. נוזקה חדשה בשם ״P2Pinfect״ מנוצלת על ידי תוקפים באמצעות פגיעות בשרתי Redis.
4. CISA מוציאה אזהרה חדשה על באגים של Ivanti MobileIron המנוצלים באופן פעיל.
5. *אנו ממליצים לעדכן את המוצרים הבאים: מוצר Ivanti Endpoint Manager Mobile (קריטי); דפדפן Firefox (קריטי); OpenSSH (קריטי); דפדפן Chrome (קריטי ); תוסף Ninja Forms ב-Wordpress (גבוה);*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
התגלו 3 חולשות בתוסף Ninja Forms המשומש ב-Wordpress
חולשה חדשה התגלתה בIvanti Endpoint Manager Mobile
Mozilla פרסמה עדכוני אבטחה עבור דפדפן Firefox
Red Hat פרסמה עדכון אבטחה הנותן מענה לחולשה קריטית ביישום OpenSSH
גוגל פרסמה עדכון אבטחה עבור דפדפן Chrom
התקפות ואיומים
התגלתה נוזקה חדשה בשם ״P2Pinfect״ אשר מנוצלת על ידי תוקפים באמצעות פגיעות בשרתי Redis
CISA מוציאה אזהרה חדשה על באגים של Ivanti MobileIron המנוצלים באופן פעיל
בעקבות ניצול חולשה ב SSM Agent של AWS התגלתה טכניקת תקיפה חדשה ומסוכנ
סייבר בעולם
CISA , NSA ו ACSC פרסמו מסמך משותף המייעץ לארגונים כיצד להימנע מפגיעויות בIDOR
סייבר בישראל
אתר קבוצת בזן נחסם לגישה במהלך סוף השבו
סייבר ופרטיות - רגולציה ותקינה
הרשות להגנת הפרטיות: התקנות שעוסקות בהעברת מידע אישי מהאיחוד האירופאי לישראל הן צעד חשוב להגברת פרטיות המידע
חלק מהתגובות להנחיות הסייבר החדשות של ה-SEC אינן חיוביות: העלויות גבוהות מדי, הרגולטור חרג מסמכותו, והחשיפות הנדרשות יסייעו להאקרים
ה-EDPB מפרסם הנחיות להעברת מידע אישי בין האיחוד האירופאי וארה"ב תחת ההסדר החד
כנסים
הציטוט השבועי
"מודעות ועירנות האזרחים אליהם פנו, לצד פעולות נוספות של שב"כ ומערכת הביטחון הישראלית, מנעו מהניסיונות האיראנים להשיג את יעדם״
הודעת שב״כ לאחר חשיפות קמפיין ריגול איראני על עובדי מדינה וחוקרים ע"י פישינג.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
התגלו 3 חולשות בתוסף Ninja Forms המשומש ב-Wordpress
חוקרי חברת Patchstack גילו 3 חולשות העלולות לאפשר הסלמת הרשאות וגניבת מידע של משתמשים בתוסף הפופולרי בשם Ninja Forms המשומש ב- Wordpress לצורך יצירת שאלונים בצורה פשוטה. חוקרי Patchstack דיווחו על החולשות ישירות למפתחי התוסף והתיקון שוחרר לאחר כשבועיים מהדיווח. אחת מהחולשות (CVE-2023-37979) היא חולשת Cross Site Scripting המאפשרת לתוקף בעל משתמש לא מזוהה להסלים את הרשאותיו בכך שגורם למשתמשים בעלי הרשאות לגשת לדף אינטרנטי זדוני המושך את המידע הפרטי של המתשמשים. שני החולשות אחרות שנמצאו (CVE-2023-38393 ו-CVE-2023-38386) הן חולשות Broken Access Control הנובעות מניהול לקוי בגישה למשאבים בעת שליחת טפסים, תופעה המאפשרת למשתמשים בעלי הרשאות נמוכות לייצא את כל המידע שמוכלל בטפסים שהועלו באותו אתר פגיע. עד כה יש כ-400,000 אתרים המשתמשים בתוסף הלא מעודכן, מה שהופך את אתרים אלה לפגיעים. כדי להימנע מניצול חולשות אלה, צוות קונפידס ממליץ לעדכן את גרסת הפלגאין Ninja Forms ל-3.6.26 והלאה.
חולשה חדשה התגלתה בIvanti Endpoint Manager Mobile
התגלתה פגיעות ב-Ivanti Endpoint Manager Mobile (EPMM). פגיעות זו משפיעה על כל הגרסאות הנתמכות - 11.10, 11.9 ו-11.8. גם גרסאות ישנות יותר נמצאות בסיכון. הפגיעות CVE-2023-35081 ציון (CVSS 7.2) מאפשרת למנהל מערכת מאומת לבצע כתיבת קבצים שרירותית לשרת EPMM. ניצול מוצלח יכול לשמש תוקף לכתוב קבצים זדוניים לאפליקציה, ובסופו של דבר לאפשר לתוקף לבצע פקודות באפליקציה כמשתמש ה-tomcat.
צוות קונפידס ממליץ להחיל את עדכון האבטחה בהקדם האפשרי כדי להגן על המערכות והנתונים שלכם.
Mozilla פרסמה עדכוני אבטחה עבור דפדפן Firefox
Mozilla שחררה השבוע מספר עדכוני אבטחה עבור 15 חולשות בדפדפן Firefox. מתוך 15 החולשות שתוקנו, 9 מהן מוגדרות כגבוהות ומכילות פגיעויות בהקצאת זיכרון לקויה העלולות להוביל לקריסה של הדפדפן, הרצת קוד לא מבוקר מרחוק ויצירת תהליכים מסביבת sandbox. החולשה הבולטת ביותר מבין כולן היא CVE-2023-4049 שקיבלה ציון CVSS של 8.8 המגדיר אותה ברמת חומרה גבוהה. חולשה זו יכולה להיות מנוצלת על ידי כך שהקורבן ניגש לדף אינטרנטי זדוני שהוכן מראש על ידי התוקף ולאחר כניסת הקורבן, לתוקף יכולה להיות האפשרות להריץ קוד לא מבוקר מרחוק על המערכת של הקורבן ואף לגרום לקריסת המערכת. צוות קונפידס ממליץ למשתמשי דפדפן Firefox לעדכן לגרסה העדכנית ביותר (Firefox 116) ששחררה Mozilla כדי להימנע מניצול פוטנציאלי של חולשה זו.
Red Hat פרסמה עדכון אבטחה הנותן מענה לחולשה קריטית ביישום OpenSSH
Red hat פרסמה פגיעות קריטית, CVSS 9.8 CVE-2023-38408, שהתגלתה ב-OpenSSH, יישום נרחב של פרוטוקול SSH. פגיעות זאת משפיעה על תכונת PKCS#11 ברכיב ssh-agent . הבעיה מתעוררת עקב נתיב חיפוש לא אמין בOpenSSH , ניצול מוצלח של חולשה זו עלול לאפשר לתוקף שליטה מלאה על הagent והוא יכול להגיע למערכת הקבצים של המשתמש כדי לבצע קוד שרירותי עם הרשאות המשתמש שמפעיל את ה-ssh. על מנת למנוע גישה בלתי מורשית פוטנציאלית למידע רגיש ופגיעה מלאה במערכת ,
צוות קונפידס ממליץ לעדכן את היישום בהקדם האפשרי כפי שפורסם ע״י Red Hat.
גוגל פרסמה עדכון אבטחה עבור דפדפן Chrome
גוגל שחררה עדכוני אבטחה עבור דפדפן כרום בגרסה היציבה האחרונה (115.0.5790.170) עבור macOS, Linux ו-Windows. עדכון זה מכיל תיקונים עבור 17 חולשות אשר 10 מהם מוגדרות בסיכון גבוהה ו-7 בסיכון בינוני. תיקוני אבטחה אלו כוללים תיקונים עבור פגיעויות ברמת סיכון גבוהה הנמצאו בניהול הקצאת זיכרון ב-WebGL, ANGLE ,Visuals ועוד רכיבים פנימיים של דפדפן כרום העלולים לגרום להרצת קוד לא מבוקר מרחוק ושיבוש תהליכים בזיכרון העלולים לגרום לקריסת תהלכים בדפדפן. בנוסף לכך, בנוגע לחולשות ברמת סיכון בינונית, ישנן תיקונים עבור אימות מידע לקוי וניהול משאבי מערכת לקויים במספר תוספות לדפדפן כרום. צוות קונפידס ממליץ לעדכן את דפדפן כרום לגרסה העדכנית ביותר כדי להימנע מניצול פוטנציאלי של חולשות אלו.
התקפות ואיומים
התגלתה נוזקה חדשה בשם ״P2Pinfect״ אשר מנוצלת על ידי תוקפים באמצעות פגיעות בשרתי Redis
צוות המחקר מחברת Cado Security Labs זיהה לאחרונה קמפיין זדוני המכוון לשרתי Redis (שרתים לאחסון מידע על בסיס Key–value). הנוזקה שהתגלתה נקראת "P2Pinfect" ועל פי המחקר המטרה שלה היא להשתלט על השרתים ובכך, ככל הנראה, להקים רשת בוטנטים לשם ביצוע מתקפות מניעת שירות (DDoS) או לגניבת מידע רגיש מהשרתים. במסגרת החקירה של צוות Cado התגלה שהנוזקה משתמשת בין היתר בקובץ PE (פורמט קובץ עבור קבצי הפעלה, קוד אובייקט ועוד במערכת ההפעלה Windows) יחד עם קובץ הפעלה נוסף של ELF (פורמט קבצי הריצה במערכות לינוקס). על פי מחקר נוסף של צוות חוקרים Unit 42, התוקפים מנצלים חולשה קריטית (CVE-2022-0543, CVSS 10) בשרתים, שמקורה ב-Sandbox escape שבמנוע הסקריפטים Lua הקיימת בגרסאות מסוימות של Redis.התוקפים משתמשים במגוון טכניקות וטקטיקות הקשורות לC2 על מנת להשיג גישה לרשת של הקורבן. בנוסף, העובדה ש-P2PInfect מותאמת לשרתי Redis הפועלים על מערכות הפעלה לינוקס ו-Windows, הופכת את ההנוזקה לאיום רציני עם השלכות נרחבות יותר.
צוות קונפידס ממליץ לעדכן את Redis לגרסה העדכנית ביותר ולהחיל תיקוני אבטחה כדי להפחית את הסיכון להידבק בתולעת זו.
CISA מוציאה אזהרה חדשה על באגים של Ivanti MobileIron המנוצלים באופן פעיל
הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) הודיעה ב 31.07 שהאקרים מדיניים ניצלו שני פגמים ב-Endpoint Manager Mobile (EPMM) של איבנטי.אחד הפגמים (CVE-2023-35078), פגיעות קריטית העוקפת אימות מנוצלת כZero-Day בהתקפות המכוונות לישויות ממשלתיות נורבגיות, הפגם השני (CVE-2023-35081) מאפשר שילוב של שתי הפגיעויות ויכול להוביל תוקף להזדהות בתור מנהל מערכת והשתלת Web-Shell.לאחר ניצול מוצלח, תוקפים יכולים לגשת לנתיבי API ספציפיים, שעלולים להוביל לגניבת מידע אישי (PII), כאשר הנתונים שנפגעו מכילים שמות, מספרי טלפון ופרטי מכשירים ניידים אחרים. רשות הגנת המידע הנורבגית (DPA) קיבלה התראה גם לאחר ההתקפות נגד רשתות של סוכנויות נורבגיות, ככל הנראה בגלל חשש שההאקרים ניגשו ו/או גנבו נתונים רגישים מהמערכות הממשלתיות שנפגעו.כפי ששודן (Shodan) מדווח, ישנם כיום יותר מ-2,300 פורטלי משתמש נגישים של MobileIron שנחשפים באינטרנט, כולל למעלה מתריסר מקושרים לסוכנויות ממשלתיות מקומיות ומדינתיות בארה"ב.היום ה-1.08.2023 מגיעה אזהרה כייעוץ משותף שהוצא בשיתוף עם מרכז אבטחת הסייבר הלאומי של נורבגיה (NCSC-NO), והיא באה בעקבות צו המבקש מהסוכנויות הפדרליות של ארה"ב לתקן את אחד משני הפגמים הללו שניצלו באופן פעיל עד ה-15 באוגוסט. CISA גם הורתה לסוכנויות הפדרליות ביום שני ה-31.07.2023 לתקן את המערכות שלהן נגד ניצול CVE-2023-35081 עד ה-21 באוגוסט.
בעקבות ניצול חולשה ב SSM Agent של AWS התגלתה טכניקת תקיפה חדשה ומסוכנת
חוקרים ממיטיגה חשפו טכניקה חדשה לאחר הניצול של הAgent מנהל המערכות (SSM) של (Amazon Web Services (AWS . המתקפה משפיעה הן על מחשבי Windows והן על מחשבי לינוקס ומהווה איום משמעותי בשל היכולת להישאר ללא זיהוי על ידי תוכנת אבטחה, מה שהופך אותה לשיטה מועדפת על תוקפים. סוכן SSM הוא בינארי חוקי חתום ע״ אמזון המשמש לניהול מקיף של נקודות קצה בתוך מערכות אקולוגיות של AWS, כולל תצורה, תיקון וניטור של EC2 Instances, שרתים מקומיים ומכונות וירטואליות. הסוכן מותקן מראש על שלל של מערכות הפעלה פופולריות, ויוצר מאגר גדול של מטרות פוטנציאליות לתוקפים. התגלית של מיטיגה היא שניתן להגדיר את סוכן ה-SSM לפעול במצב "היברידי", המאפשר גישה לנכסים ולשרתים מחשבונות AWS הנשלטים על ידי תוקפים, אפילו במגבלות של EC2. זה מאפשר לAgent לנהל מכונות שאינן EC2, כגון שרתים מקומיים ומכונות וירטואליות בסביבות ענן אחרות. על ידי ניצול תכונה זו, סוכן ה-SSM יכול לתפקד כתשתית טרויאנית משולבת, ולתקשר עם חשבונות AWS שונים . השימוש לרעה בסוכן SSM מאפשר לתוקפים לבצע פקודות מרחוק ללא זיהוי, שכן התעבורה נראית רגילה ולגיטימית. מיטיגה מזהירה שתוקפים עשויים לנצל טכניקה זו בהתקפות בעולם האמיתי.
וממליצה -
להגביל ולצמצם את המקורות המאושרים לשימוש בחשבון הAWS של הארגון .
להסיר את סוכן ה-SSM מרשימת ההיתרים של פתרונות אנטי-וירוס או EDR ולשלב טכניקות זיהוי בפלטפורמות ה-SIEM וה-SOAR שלהם.
ועוד המון המלצות שאפשר לראות כאן .
סייבר בעולם
CISA , NSA ו ACSC פרסמו מסמך משותף המייעץ לארגונים כיצד להימנע מפגיעויות בIDOR
מרכז הסייבר האוסטרלי (ACSC), הסוכנות לסייבר ותשתיות (CISA) והסוכנות לביטחון לאומי של ארה"ב (NSA) פרסמו מסמך ייעוץ להעלאת המודעות בנוגע לפגיעויות של (insecure direct object reference (IDOR לא מאובטחות ביישומים אינטרנטים.
הפגיעויות ב IDOR הן בבקרת הגישה המאפשרת לתוקפים לשנות, למחוק או לגשת לנתונים רגישים על ידי ניצול בדיקות אימות והרשאות נמוכות. ההשפעה של פגיעויות IDOR יכולה להיות חמורה, ויכולה להוביל לפגיעה במידע אישי, פיננסי ובריאותי של מיליוני משתמשים. כדי להפחית סיכונים אלה, ACSC, CISA ו-NSA דוחקים בספקים, מעצבים, מפתחים וארגונים המשתמשים ביישומי אינטרנט ליישם את האמצעים הבאים:
עבור ספקים, מעצבים ומפתחים:
שימוש בכלים אוטומטיים לבדיקת קוד כדי לזהות ולטפל ב-IDOR ופגיעויות אחרות.
שימוש בשירותי הפניה ועקיפה ובערכים אקראיים חזקים מבחינה קריפטוגרפית (לדוגמה, UUID או GUID) כדי להחליף מזהים חשופים בכתובות URL.
ביצוע בדיקה יסודית בעת בחירת ספריות או אפליקציות צד שלישי ושמור אותן מעודכנות.
לכל ארגוני משתמשי הקצה:
החלת תיקוני תוכנה עבור יישומי אינטרנט באופן מיידי.
קביעת התצורה של יישומים לתיעוד ויצירת התראות על ניסיונות חבלה, מה שמאפשר למיישמי הגנת הסייבר לחקור ולהגיב.
בנוסף במסמך פרסמו עוד מגוון טקטיקות ליישום על ידי ארגונים שיכולים להפחית את השכיחות של פגמים ב-IDOR ולשפר את ההגנה על נתונים רגישים בתוך המערכות שלהם.
סייבר בישראל
אתר קבוצת בזן נחסם לגישה במהלך סוף השבוע
אתר האינטרנט של קבוצת בזן, חברת בתי זיקוק של נפט הגדולה ביותר בישראל, היה חסום לגישה מרוב המקומות בעולם פרט לישראל במשך סוף השבוע האחרון כתוצאה מחסימת גישה גיאוגרפית על מנת לבלום אירוע סייבר ככל הנראה. קבוצת התקיפה האירנית Cyber Avengers הפועלת ממניעים אידיאולוגיים, טוענת שהיא אחראית למתקפה שמבוצעת לכאורה על קבוצת בזן והדליפה צילומי מסך ממערכות שליטה ובקרה של החברה. דובר חברת בזן מכחיש את ההדלפה וטוען שהחומרים שהודלפו הם מזוייפים בבירור. קבוצת התקיפה טוענת שהצליחה לפרוץ לרשת החברה על ידי ניצול חולשה ב-Firewall של חברת Check Point אך Check Point טוענים שאין חולשה כזאת שקיימת. לקבוצת התקיפה Cyber Avengers יש היסטוריה בניסיון תקיפת תשתיות בישראל ואף בעבר טענה שהיא גרמה לשריפות שהיו במתקני הזיקוק של מפרץ חיפה בשנת 2021. נכון לעכשיו, לא ידוע הסטטוס לגבי המתחרש בקבוצת בזן, אם יש תקיפה או לא.
סייבר ופרטיות - רגולציה ותקינה
הרשות להגנת הפרטיות: התקנות שעוסקות בהעברת מידע אישי מהאיחוד האירופאי לישראל הן צעד חשוב להגברת פרטיות המידע
ביום 7.8.2023 יכנסו לתוקף תקנות הגנת הפרטיות (הוראות לעניין מידע שהועבר לישראל מהאזור הכלכלי האירופי), התשפ"ג-2023, מדובר בתקנות שמקדמת הרשות במסגרת ה"גישור" בין זכויותיהם של נושאי מידע (data subjects) ישראליים, לבין זכויות של תושבי מדינות נוספות - ובעיקר המדינות של האיחוד האירופאי (ה-EU) שכפופות ל-General Data Protection Regulation. בין השאר, התקנות החדשות מטילות חובות חדשות על בעלי מאגר מידע בקשר למידע אישי שמועבר לארגונים בישארל ממדינות ה-EU, למעט מידע אישי שמועבר על ידי נושא המידע בעצמו או בעצמה. החובות הן: חובת מחיקת מידע (תק' 3), הגבלת החזקת מידע שאינו נחוץ (תק' 4), חובת דיוק מידע (תק' 5), וחובץ יידוע על עיבוד מידע אישי של נושא המידע (תק' 6). בנוסף, קובעות התקנות שני סוגים חדשים של מידע רגיש, מידע על מוצאו של אדם ומידע על חברות בארגון עובדים. התקנות החדשות ייכנסו לתוקף באופן הדרגתי, בשלושה שלבים: לגבי מידע אישי שנתקבל בישראל ממדינות ה-EU החל מיום פרסום התקנות (7.5.23) - התקנות החדשות יחולו החל מיום 7.8.23; לגבי מידע אישי כאמור שהתקבל לפני פרסומן של התקנות - הן תחולנה מיום 7.5.24; ולגבי מידע אישי של נושאי מידע ישראליים שנמצא במאגרים יחד עם מידע אישי "אירופאי" - התקנות החדשות יחולו החל מיום 1.1.25. הכניסה לתוקף המדורגת תייצר שוני בין ההגנות הנדרשות על מידע אישי של נושאי מידע ישראליים ואירופאיים. רשות הגנת הפרטיות תפרסם בקרוב חומרים שמפרטים את אופן היישום של התקנות החדשות. בהתפתחות נוספת, פרסמה הרשות לאחרונה גילוי דעת בנושא איסוף נתוני מיקום של עובדים ועובדות באמצעות אפליקציות ומערכות איכון ברכב, ודברי ההסבר של גילוי הדעת כאן.
חלק מהתגובות להנחיות הסייבר החדשות של ה-SEC אינן חיוביות: העלויות גבוהות מדי, הרגולטור חרג מסמכותו, והחשיפות הנדרשות יסייעו להאקרים
בהמשך לפרסום של הנחיות חדשות מטעם ה- US Securities and Exchange Commission ביום 26.7.23 (הסייבר, 27.7.23) מתחילות להתפרסם תגובות ציבוריות למהלך הרגולטורי החדש. הביקורת כוללת טענות כי העלויות הכרוכות בהיערכות הסייבר הנדרשת מארגונים אינן מוצדקות, הרחבת הסמכויות של ה-SEC אינה מידתית, ואף החשש שההנחיות החדשות יסייעו לפושעי סייבר בכך שיוכלו ללמוד על החולשות שבהגנת הסייבר של ארגונים. בין השאר, הנחיות הסייבר החדשות של SEC מחייבות חברות שנסחרות בבורסה בארה"ב לחשוף (to disclose) כל הפרת הגנת סייבר שהיא מהותית בתוך ארבעה ימי עסקים, אלא אם כן מתקיימת הוראה אחרת על ידי התובע הכללי של ארה"ב עקב סיכון מהותי לביטחון הלאומי או לביטחון הציבור. ה-disclosure יתבצע באמצעות הגשת טופס 8-K, החל מיום 18.12.23. מעבר לקביעת הדדליין של 4 ימי עסקים ממועד הקביעה מצד הארגון שמדובר באירוע בעל השפעה מהותית (material impact), על הארגון לתאר בהודעה את אופי האירוע, העיתוי שלו, היקפו, ופירוט השפעתו המהותית (או ההשפעה המהותית הצפויה) על הארגון. מאז פרסום ההנחיות החדשות, מספר גורמים הטילו ביקורת על הדרישןת החדשות, בטענה כי חובת הדיווח יכולה בעצם לסייע לפושעי סייבר, בכך שהדיווח יעניק מידע שיוכל לקדם את האפשרות של פריצות למערכות הממוחשבות של ארגונים וסחיטה שלהם. ביקורת נוספת, של אחד מנציבי ה-SEC, גב' הסטר פיירס, קשורה לפגיעה במשקיעים, עקב העלויות שכרוכות בהגנת סייבר והדיווחים.
ה-EDPB מפרסם הנחיות להעברת מידע אישי בין האיחוד האירופאי וארה"ב תחת ההסדר החדש
בהמשך לסיכום בין מועצת הגנת המידע של האיחוד האירופאי (European Data Protection Board) לבין ארה"ב לבין העברת מידע אישי בין שני הגושים (הסייבר, 13.7.23), פרסם ה-EDPB ב-19.7.23 מזכר לגבי היבטים שונים של העברת מידע אישי בין השניים. המזכר, Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023, קובע את רשימת הגופים שיוכלו להעביר מידע בהתאם להסדר (הרשימה כאן); וגם את תהליכי הגשת תלונות מצד נושאי מידע. הסיכום של 10.7.23 נשאר שנוי במחלוקת בקרב גומרים מסויימים באיחוד האירופאי, אבל טרם הוגשו נגדו עתירות.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתייחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע המוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רם לוי, דבּ האוסן-כוריאל, אלי זילברמן כספי, אלינה מיטלמן-כהן, עמרי סרויה, דלית אלנטר, תמר מרדיקס, שירי מס ברזילי, אורי וייס, מיתר בן-אבו, שי רז ויובל גורי.