פרטי כל הבוחרים נחשפו בגלל פרצת אבטחה באפליקציה של הליכוד
שבוע לאחר חשיפת כלכליסט על פעילות אפליקציות הבחירות התגלה כשל אבטחה חמור ב"אלקטור" המשרתת את הליכוד, ופרטי פנקס הבוחרים בישראל נחשפו - תעודת זהות, שם מלא, כתובת וטלפון - גם של בכירי מערכת הביטחון. הליכוד: "האבטחה תוגברה". הרשות להגנת הפרטיות משרד המשפטים: "אירוע חמור, נפרסם הבהרות"
"אנחנו צריכים לנצח את הבחירות", הכריז ראש הממשלה, בנימין נתניהו, בכנס בחירות שנערך בשבוע שעבר ברמלה. "חסרים לנו רק שלושה מנדטים. ומה צריכים לעשות כדי להביא את המנדטים האלו? אלקטור". מאחוריו הופיעה שקופית ענקית: לוגו אפלקציית המובייל אלקטור בצד אחד, ובצד השני הכיתוב "שולחים סמס נרשמים ומתגייסים!" בתוספת מספר טלפון. "להרים טלפונים, לצלם את המספר. אלקטור!", פקד ראש הממשלה. "תביאו את זה. עם זה מנצחים!"
מה שראש הממשלה לא ידע באותם רגעים, ומה שנחשף רק אתמול, זה שנתניהו למעשה שולח את פעילי הליכוד לפרצת אבטחה חמורה, מהחמורות שנחשפו בשנים האחרונות בישראל. כי כשל אבטחה חמור באפליקציה ובמערכת של אלקטור חשף את כל נתוני הבוחרים שמנהל הליכוד לקראת הבחירות הקרובות: מאגר מידע ענקי שבבסיסו יושב פנקס הבוחרים ושמכיל מידע אישי עדכני - תעודת זהות, שם מלא, כתובת וטלפון - של קרוב ל־6.5 מיליון ישראלים בעלי זכות בחירה, לצד מידע מפורט ורגיש של עשרות אלפים, כמו סטטוס התמיכה שלהם בליכוד, שנאסף בחודשים האחרונים על ידי פעילי הליכוד בשטח.
"ישראל הצטרפה למועדון המדינות המפוקפקות"
"כמו אקוודור, הודו ומדינות עולם שלישי נוספות, ישראל הצטרפה אל מועדון המדינות המפוקפקות שמאגר האזרחים שלהם דלף לרשת", אמר ל"כלכליסט" רן בר זיק, מתכנת בכיר בוורייזון מדיה, שחשף את הפרצה ודיווח עליה למערך הסייבר.
"כל ארגון ביון, מדינה זרה או אפילו חברה מסחרית יכולה לקבל את המידע על כל אדם ואדם בישראל. ראיתי פרצות רבות בימי חיי, כזו פרצה מגוחכת שעשתה כל כך הרבה נזק, עוד לא ראיתי".
ההאקר והאקטיביסט נעם רותם, שסייע לבר זיק בחשיפה הפרצה, הוסיף: "לא היתה פה שאלה של האם המידע ידלוף, אלא רק שאלה של מתי. פעילים רבים בתחום הפרטיות התריעו בעבר על הנושא, אך למרות אלף דגלי אזהרה - לא נקבעו כללים ולא נאכפו ההנחיות. את המחיר של המחדל הזה, כרגיל, ישלמו האזרחים".
הפעילות של אפליקציות הבחירות של המפלגות, בהן אלקטור, נחשפה בשבוע שעבר ב"כלכליסט". אפליקציות אלו מאפשרות לפעילי שטח לזהות מכרים וקרובים כתומכי המפלגה שלהם, ולצרף אותם באמצעות האפליקציה למאגר המידע של המפלגה. המאגר עצמו מוזן על ידי מידע ממקורות אחרים - פנקס הבוחרים, מענה לסקרי SMS - על מנת ליצור רשימות מפולחות של תומכים ומתנגדים.
ביום הבחירות עצמו, משקיפים בקלפיות משתמשים באפליקציות על מנת לתעד אילו בוחרים כבר הגיעו להצביע. המידע הזה מאפשר למפלגה לבצע שלל פעולות, כמו קמפיין ממוקד אישית להמרצת תומכים לקלפיות, פניות שנועדו לשכנע מתנגדים להישאר בבית, ואפילו פותח פתח לביצוע זיופים.
כבר עם פרסום הידיעה התריע "כלכליסט" כי אחת הסכנות האפשריות של פעילות האפליקציות האלו היא דליפה של מאגרי המידע העשירים שהן מרכזות, והסכנות שיכולות להיגרם במקרה שמידע זה יגיע לידי גורמים עוינים או מעצמות זרות. אולם עתה מתברר כי כבר אז המידע שהזין הליכוד לאלקטור היה חשוף לעיני כל.
מידע על הרצפה, כולל ההרשאות הרגישות ביותר
לדברי בר זיק, שקיבל את המידע הראשון על הפרצה באמצעות קו הטיפים של הפודקאסט סייבר סייבר, מסביר כי הדרך אל המידע היתה פשוטה להדהים: ראשית, יש לגלוש לאתר של אלקטור ולבקש מהדפדפן להציג את קוד המקור שלו – פעולה שניתן לבצע בקלות באמצעות דפדפן כרום. קוד המקור כלל קישור פנימי לאתר אלקטור, שבו נכתב בין השאר get־admins־users. הזנת קישור זה בדפדפן הציגה את פרטי ההתחברות למערכת של כל המשתמשים עם הרשאת אדמין – השראת הגישה למידע הגבוה ביותר.
כאשר התחבר בר זיק למערכת באמצעות שם המשתמש "הליכוד לכנסת" הוא קיבל למעשה גישה מלאה לכל מאגר המידע שהקימה המפלגה וניהלה לקראת הבחירות הקרובות.
לב המידע שנחשף הוא ספר הבוחרים העדכני שקיבלה הליכוד, אשר שכלל פרטים מזהים של 6.5 מיליון ישראלים בעלי זכות בחירה. בין פרטי המידע מופיעים מספר תעודת זהות, שם מלא, כתובת מלאה, שם האב, מספר וכתובת הקלפי ומספר מצביע – מידע מזהה למעשה של כל אזרחי ישראל הבוגרים, בהם בכירי מערכת הביטחון למשל. מידע זה היה מעודכן במיוחד. בר זיק עצמו סיפר שבעקבות מעבר דירה הוא עדכן את כתובתו במשרד הפנים רק לפני שלושה שבועות. כתובתו העדכנית הופיעה במאגר שנחשף.
בנוסף, לחלק מהבוחרים שבמאגר נוספו גם פרטים שליקט הליכוד באמצעים שונים – פעילי שטח, רשתות חברתיות, מענה לסקרי SMS וכו'. אלו כללו טלפונים ליצירת קשר, תאריך לידה, האם מדובר בתומך של המפלגה או לא, שפה, כתובת מייל והאם האזרח מתכוון להצביע.
כן נחשפו במאגר פרטים שונים ויכולות של הקמפיין של הליכוד. למשל, המערכת של אלקטור מאפשרת למשתמשים לשלוח דרכה הודעות SMS לאזרחים שמספר הסלולר שלהם שמור במאגר המידע.
הליכוד רכש מראש 750 אלף הודעות SMS, ובעת שבר זיק בדק את המערכת שלח כבר 300 אלף מהם. לו רצה, יכול היה בר זיק לשלוח את 450 אלף ההודעות הנותרות.
אלקטור: "ארוע נקודתי". הליכוד: "האבטחה תוגברה"
אף שחלק ניכר מהאחריות לפרצה מונח על כתפיה של אלקטור, שכשלי המערכת שלה הם אלו שהביאו לחשיפת המידע, בר זיק אומר שאסור לנקות את הליכוד מאחריות.
"הם עובדים עם ספק שהם לא בדקו אותו, הם לא עשו לא שום בדיקה. זו לא פרצה מחוכמת, היא ברמת הגיחוך. כשאתה עובד עם בספק חיצוני, האחריות שלך היא לוודא ב־100% שהוא ראוי לאמון שלך. בעולם התוכנה, אתה לא מעביר פרטים לקוחות למערכות צד שלישי, ואם זה קורה זה רק במערכות שעשית להן הליך אימות. תהליך בחינה מסודרת לא נעשה פה, אחרת הכשלים האלו היו מתגלים".
מאלקטור נמסר בתגובה: "מדובר באירוע נקודתי שטופל באופן מיידי, ובעקבותיו תוגברה האבטחה באופן משמעותי".
מהליכוד נמסר בתגובה: "סוכל ניסיון לחבל במאמצים לגייס את מצביעי הליכוד להצביע בבחירות. בעקבות כך, האבטחה על פעילות האתרים תוגברה. יודגש כי מדובר בספק תוכנה חיצוני שנותן שירותים למפלגות רבות".
מהרשות להגנת הפרטיות במשרד המשפטים נמסר: "הרשות מטפלת באירוע האבטחה החמור של חברת אלקטור אבל אינה יכולה להתייחס לעניין תלוי ועומד. כידוע, שימוש בנתונים שמקורם בפנקס הבוחרים, כפוף למגבלות חוק הבחירות וחוק הגנת הפרטיות, והאחריות לקיום הוראות החוק מוטלת על המפלגות והמתמודדים עצמם, גם לכל הפרה שתבוצע באפליקציה או בידי ספק שירות חיצוני עבור המפלגות או מטעמן.
"הרשות מנחה את המפלגות במסגרת כנסים, הנחיות ופעולות אכיפה בדבר האחריות שלהן למידע שמקורו בפנקס הבוחרים, כמו גם לאינפורמציה שנאספת במהלך הפעלת אפליקציות מההווה גם היא מידע אישי מוגן, לרבות הימנעות משימוש במידע שאינו קשור להתמודדות בבחירות או ליצירת קשר עם הבוחר; הימנעות משימוש במידע שלא ניתנה לגביו הסכמה של נושא מידע; הימנעות משימוש במידע שהגיע מפנקס בוחרים ממערכות בחירות קודמות וביעור המידע בתום מערכת הבחירות; בעת העברת מידע לספק האפליקציה - בחינה מוקדמת של התאמת האפליקציה להוראות אבטחת המידע ולהראות החוק ופיקוח ובקרה בפועל על פעולותיהם. קיום כל הוראות אבטחת המידע המוגדרות בחוק, לרבות - הגבלת גישה רק למורשי גישה ובהיקף הנדרש לצורך ביצוע עבודתם (אימות זהות, זיהוי על בסיס אמצעי פיזי, תיעוד כל פעולות הצפייה והורדת המידע); דיווח מיידי לרשות להגנת הפרטיות על אירועי אבטחה חמורים; ביצוע ביקורות וסקרי סיכוני אבטחה ועוד.
"בכוונת הרשות לפרסם מחר מסמך הבהרות מפורט בנושא".